Oggi parliamo di cybersecurity con Marco Albonetti, COO di Intergic.
Nessuno è immune dagli attacchi cyber. Sia le aziende che i privati possono essere colpiti. Ogni giorno, infatti, leggiamo di tanti tipi di attacchi: malware, ransomware, adware, attacchi tramite cookie, DDoS, phishing, data breach, SQL injection…
Marco Albonetti è certo che pochi di noi conoscano approfonditamente l’argomento e che pochi di noi conoscano bene le dinamiche stesse di questi attacchi. Oggi approfondiamo questa tematica; comprenderemo come un attacco cyber venga pianificato e come si manifesta. Per approfondire l’argomento Intergic, 4Securitas e Iusintech hanno organizzato un webinar gratuito sul tema il giorno mercoledì 3 marzo alle ore 15.00. Il titolo del webinar è ‘Cybersecurity: proteggere e sviluppare il patrimonio informativo aziendale‘. Ci si può registrare a questo link.
Per comprendere il fenomeno possiamo prendere come esempio una rapina in banca: se l’espressione “Fermi tutti, questa è una rapina!” appartiene esclusivamente al mondo della fiction televisiva e dell’immaginario comune, è invece più plausibile pensare a un attacco informatico sulla scia della serie ‘La Casa di Carta’ e a tutta quella – lunga, anzi lunghissima – parte di pianificazione volta a rendere la rapina perfetta.
Se è quindi altamente improbabile che un ladro si annunci alla sua entrata in banca, non lo è per un attacco cyber. Per attaccare un’infrastruttura l’hacker, infatti, esegue una pianificazione che dura settimane, se non mesi. Durante questo lungo periodo di tempo acquisisce un’enorme quantità di dati, per un attacco che, in realtà, durerà poi pochissimo.
Ma come avviene un attacco informatico? Innanzitutto la maggior parte avviene in server-side – perché si tratta da un lato di un sistema statico e più esposto e, dall’altro, perché qui si trovano i dati più importanti, nonché i più interessanti. Per questo motivo un attacco informatico avviene più raramente su un pc personale – sia perché i dati personali sono meno interessanti di quelli aziendali, sia perché si utilizza di solito per qualche ora e poi si spegne.
Si tende poi spesso a pensare che gli attacchi più comuni siano quelli ben visibili, come i ransomware, nei quali si limita l’accesso ai dati (che vengono criptati), ripristinabile solo attraverso il pagamento di un riscatto.
In realtà però gli attacchi hacker sono nel 99% dei casi invisibili, quindi non se ne è conoscenza – contrariamente a quanto si è portati a immaginare.
Un esempio? Un hacker decide di compromettere un server, sul quale però non ci sono dati abbastanza interessanti: a quel punto può decidere di utilizzarlo come proxy (relay) per attaccare un’infrastruttura più importante e rilevante, trasformando la vittima in carnefice (inconsapevole).
Perché gli hacker sono più interessati ai dati aziendali rispetto a quelli dei privati? Oggi le aziende hanno a disposizione qualcosa che ha un valore molto più alto del denaro stesso – i dati. Rubare un database non significa vendere i dati una volta, ma tantissime, ottenendo così un guadagno considerevole (molto più vantaggioso di una rapina in banca). In un database possono essere presenti sia dati grezzi che dati arricchiti – in quest’ultimo caso si tratta di utenti verificati. Ecco tutti questi dati vengono venduti sul dark web e le possibilità di guadagno sono infinite, principalmente per due motivi:
- Con i dati degli utenti verificati si può risalire più o meno facilmente alle credenziali di tutti i suoi account (quindi dati bancari, digital wallet, ecc.),
- Sempre con questi dati, un competitor potrebbe capire che cosa interessa agli utenti di quel dato e-commerce, per fare campagne promozionali mirate, o ancora campagne spam, phishing…
C’è un altro aspetto poi da considerare: gli attacchi non si limitano a qualche evento sporadico, anzi tutt’altro. Siamo esposti continuamente ad attacchi, senza peraltro accorgercene o averne visibilità completa – nella maggior parte dei casi si scopre di essere stati attaccati mesi (o anni) dopo perché i dati aziendali e degli utenti sono in vendita sul dark web.
Che cosa si può fare quindi? Le soluzioni di cybersecurity sono o non sono sufficienti? L’ecosistema di soluzioni cyber si concentra sulla reattività, quindi a intervenire quando un attacco è in corso o è avvenuto – le possibilità di bloccarlo sono del 50%. Ma appunto ogni attacco cyber è costituito da un lungo periodo di studio e analisi del sistema. È proprio in questa fase, chiamata anche di ricognizione (o perlustrazione), che è necessario intervenire. Per non essere solo reattivi, ma anche proattivi, quindi bloccare una minaccia ancor prima che possa manifestarsi.
Ogni attacco infatti si fonda sulle stesse premesse ed è possibile scoprirlo sulla base di un principio di correlazione: se il server viene interrogato sul dato A, poi sul B e ancora dopo sul C si può già essere sicuri al 100% che si tratti di un attacco in pianificazione e si può quindi comprendere che cosa l’hacker voglia fare. Da notare poi che la fase di perlustrazione, quindi di acquisizione di informazioni, non è illegale perché va a richiedere dati pubblicamente disponibili.
Un tool che permette di bloccare una minaccia prima ancora che si manifesti è ACSIA – acronimo di Automated Cybersecurity Interactive Application. Non solo reattività all’attacco in corso, ma proattività e intervento anche nelle fasi di perlustrazione è ciò che lo differenzia dalle altre principali soluzioni di cybersecurity.
ACSIA è uno strumento data-centric, basato su small data, dall’approccio combinato di log analysis, AI e Machine Learning.
ACSIA può essere utilizzato anche dai non addetti ai lavori, grazie all’approccio molto semplice e intuitivo: ACSIA può essere gestito anche solo tramite smartphone e permette l’invio di notifiche in real-time su quei comportamenti ritenuti anomali. Permette quindi una protezione completa e costante, perché attivo 24/7. Scopriremo di più di ACSIA durante il webinar: ‘Cybersecurity: proteggere e sviluppare il patrimonio informativo aziendale’ di mercoledì 3 marzo 2021.
