Difendersi dal phishing.
Aaron Higbee, Cofondatore e CTO di Cofense, parla del futuro della difesa dal phishing e chiede su cosa si baserà: uomini o macchine?
La maggior parte degli attacchi informatici moderni inizia con una mail di phishing. Dato che il vettore è digitale, siamo istintivamente inclini a cercare una soluzione digitale. Dopotutto, i computer possono eseguire algoritmi complessi, non si stancano e possono fornire supporto 24 ore su 24, quasi sempre al massimo della loro capacità. Basti pensare allo scorso anno: gli hacker hanno usato gli attacchi di phishing per fermare aziende multinazionali, truccare le elezioni più pubblicizzate al mondo e hanno tenuto interi governi offline per lunghi periodi.
Inoltre, gli esseri umani sono un target vulnerabile e una facile preda per i sistemi digitali molto avanzati.
Che si tratti di una mail di phishing o di una truffa telefonica riguardante le tasse, gli hacker hanno perfezionato l’arte del social engineering. Sanno come scavalcare la nostra solita diffidenza e ci mettono nelle condizioni di agire in maniera impulsiva. Lo fanno applicando delle tecniche di psicologia umana, spesso sfruttando emozioni come la paura, la curiosità, la commozione o la sensazione di urgenza. O, in alcuni casi, la distrazione. Ad esempio, questi attacchi via email di lavoro avvengono nelle prime ore della giornata lavorativa, mentre i dipendenti bevono un caffè guardando la posta ricevuta la sera prima. Gli hacker creano inoltre campagne stagionali nel periodo di chiusura dell’anno fiscale e durante le festività, come Natale. Provocano risposte basate sullo stress mentre attingono alla nostra avidità con promozioni irresistibili o sconti allettanti. A tutto questo aggiungono le informazioni che si trovano facilmente sul dark web (o da un dipendente scontento). Non è difficile utilizzare i dipendenti per ottenere accesso alla rete, se sai come fare.
La potenza dell’informatica cresce di giorno in giorno. E noi? Siamo competitivi? Forse no, visto che siamo noi gli indiscussi punti deboli della sicurezza informatica. La soluzione più facile sarebbe rimuovere l’elemento umano dai processi informatici ma questo non giocherebbe certo a nostro favore…
Ci serve un’altra soluzione
Gli esseri umani hanno molti vantaggi sui loro “colleghi” meccanici e digitali. Anche il più entusiasta tra i robophile ammetterà che ci sono cose che gli esseri umani possono fare a livelli più alti di un computer, e alcuni aspetti chiave della protezione dal phishing ne sono un buon esempio.
Strano ma vero, i saluti sono un buon modo per capire se l’email che avete ricevuto è opera di un hacker. Per esempio, uno dei vostri contatti vi scrive “Caro Michele” invece che il solito e più breve “Michele” al quale siete abituati. Un computer non vede queste sfumature, ma una persona sì. Sebbene venga generalmente considerata un’emozione negativa, il sospetto è radicato in noi con lo scopo preciso di proteggerci dalla nostra ingenuità. Per impiegare al meglio le capacità dei propri dipendenti le aziende dovrebbero considerare l’intuizione come una risorsa che può avere effetti positivi quando usata nel contesto giusto. Una risorsa che i computer non hanno.
Un altro vantaggio, per esempio, è la nostra capacità di dubitare. Un computer svolge senza discutere i compiti impostati da un amministratore di sistema, non va oltre, accetta ogni comando e lo esegue. Non si adatta, non aggiunge nulla, non “pensa”. Se una mail arriva da una fonte attendibile, cosa importa al computer se l’account è“MichaelBreok@gmail.com”invece che il solito“MichaelBroek@gmail.com”?
Un’altra caratteristica importante dell’essere umano è l’imprevedibilità, o creatività. Molti hacker si guadagnano da vivere violando un sistema sicuro e approfittando delle loro vittime informatiche. Quindi, mentre da un lato la crescita del modello di business del malware-as-a-service significa che più persone inesperte sono coinvolte in questa corsa agli armamenti della sicurezza informatica, dall’altro coloro che creano il malware diventano invece degli specialisti delle vulnerabilità che vogliono sfruttare. In altre parole, sanno come una macchina reagisce a determinati input. Non si può dire lo stesso degli esseri umani.
Gli esseri umani potrebbero cadere vittime del tentativo di phishing, o ignorarlo. Potrebbero segnalarlo alla polizia, o al loro provider di sicurezza. Potrebbero addirittura inoltrare la mail ad un destinatario indesiderato, o registrare un dominio associato con il malware e fermare la campagna. Tutte queste possibili reazioni fanno sì che i criminali informatici impegnati in campagne di phishing debbano spesso limitare il loro “target audience”, e dedicare del tempo a creare sistemi al fine di non far pervenire il phishing a determinati gruppi. Sebbene questo possa sembrare un vantaggio relativamente insignificante, qualsiasi barriera alla distribuzione del phishing è una vittoria.
Infine, i sostenitori dell’utilizzo dei dipendenti nella sicurezza informatica puntano al “paradosso dell’accuratezza”, il quale afferma che è possibile avere un’accuratezza del 99,99% nelle difese, ma il restante 0,01% si tradurrà spesso in migliaia di allarmi di sicurezza.
Poiché gli amministratori IT non hanno il tempo di indagare su tutti questi alert, il paradosso della precisione richiede l’interazione umana per incrementare la sicurezza. Le aziende possono vedere i benefici derivanti dal coinvolgimento dei propri dipendenti nella sicurezza informatica nel momento in cui questi stessi dipendenti non agiscono come uno svantaggio. Ciò di cui le aziende hanno realmente bisogno sono dipendenti capaci di rispondere agli attacchi informatici e in modo appropriato anche in situazioni stressanti.
Analizziamo ora la situazione da un altro angolo: i punti deboli delle macchine rispecchiano le stesse debolezze degli umani che li progettano. Gli esseri umani progettano e monitorano le macchine. Tutta la sicurezza si basa su azioni progettate da umani. Fortunatamente, sappiamo come agire: pratica, pratica, pratica. È per questo che le esercitazioni e le simulazioni sono fondamentali per qualsiasi programma di addestramento militare – l’unico modo per sovrapporre le migliori pratiche sugli istinti espressi in situazioni di carico emotivo è quello di rendere le best practices istintive, o parte della memoria muscolare. I sondaggi dimostrano che il condizionamento comportamentale può ridurre la probabilità che i dipendenti rispondano a una email dannosa del 97% dopo solo quattro simulazioni – esercizi di apprendimento in cui le aziende “attaccano” i propri dipendenti. La logica alla base della sua efficacia è che questa tecnica non si limita a rendere gli utenti consapevoli dell’esistenza di una minaccia ma li costringe a esercitarsi a rispondere costantemente.
Quindi, se gli umani possono essere condizionati, avremo mai un ambiente di sicurezza privo di intelligenza artificiale?
Aspettarsi che la prossima generazione di professionisti della sicurezza informatica torni ai processi di sicurezza manuali è impossibile. I programmi anti-malware, i firewall e i filtri anti- spam sono essenziali per tenere lontano gran parte dei malware. Sacrificare queste risorse sarebbe semplicemente inefficiente.
Possiamo paragonare la sicurezza informatica alla costruzione di un forte: qualsiasi fortificazione attiva dovrebbe avere grandi mura all’esterno e una serie di rigide misure di sicurezza che regolano chi dovrebbe e non dovrebbe essere permesso all’interno. Ma per avere un forte veramente sicuro, sarà necessario assumere qualcuno per assicurarsi che nessuno stia scavalcando il muro, o fingendo di essere qualcun altro mentre entra dal cancello.
È anche importante assicurarsi che le guardie ricevano una formazione – perché spendere miliardi sui muri se le guardie consegnano le chiavi del cancello ad estranei? Eppure questo è essenzialmente ciò che accade quando i dipendenti fanno clic sui link di phishing e consegnano agli hacker ciò di cui questi hanno bisogno per accedere alla rete.
Uomini + Computer = Difesa profonda
I dipendenti possono essere sia le pedine più forti che le più deboli nella sicurezza informatica della vostra azienda. Hanno bisogno di tutto l’aiuto che possono ottenere dalla tecnologia avanzata – dopotutto, gli hacker possono e spesso impiegano pro- cessi automatizzati per inviare migliaia di email di phishing ogni ora.
Il trucco per combattere questo flagello automatico è operare a un livello gestibile di sicurezza tecnica e aiutare le persone a cogliere potenziali minacce che la tecnologia potrebbe non bloccare. Un recente studio del MIT condotto dal CSAIL (Computer Science and Artificial Intelligence Laboratory) ha rivelato che il futuro della sicurezza informatica potrebbe essere in parte umano e in parte robotizzato, proprio per questo motivo.
Se non sai se affidarti all’uomo o alle macchine, la soluzione migliore è affidarsi a entrambi. Perché scegliere, se puoi avere tutto?
In fondo, dietro le macchine ci sono comunque uomini.