Possiamo davvero sfuggire agli attacchi informatici? Due casi recenti hanno dimostrato ancora una volta il contrario. La società di trasporto privato Uber è stata vittima di un massiccio attacco di hacking all’inizio di settembre e ha dovuto mettere offline gran parte dei suoi sistemi informatici. Poi è stata la volta del gigante informatico Microsoft: è stato dimostrato che l’accesso al suo file system locale o remoto è relativamente permeabile, in quanto ha permesso di rubare le credenziali valide degli utenti di Teams.
Accettare di vivere nel caos
Questi due casi sembrano particolarmente interessanti da ricordare perché non si tratta di attacchi di alto profilo. Non ci sono squadre di cyber-attaccanti armati fino ai denti, né hacking ad alta tecnologia. Nel caso di Uber come nel caso di Microsoft, si tratta di vulnerabilità minuscole, irrisorie e banali, con conseguenze importanti. In Uber un amministratore ha commesso il classico errore di rivelare la propria password. Per Microsoft si è trattato di un difetto di progettazione, ma è lì a ricordarci che nessuna macchina, nessun sistema è inespugnabile. E questo è ciò che dobbiamo accettare: le falle, le vulnerabilità e gli attacchi informatici sono qui per restare. Sono, in altre parole, un male che dobbiamo accettare, perché il nostro campo di gioco è diventato troppo grande, soprattutto a causa dell’infinito universo SaaS in cui operiamo.
Inseguire l’aggressore sulle sue tracce
Dobbiamo smettere di credere di poter anticipare tutto ed evitare gli attacchi informatici. Un tale cambiamento di postura è soprattutto tattico. Dobbiamo partire dal principio che l’attacco avverrà, inevitabilmente, e che in fondo questa è una buona notizia. Perché? Perché una volta che l’aggressore è entrato nel sistema, può essere individuato. Perché tecnicamente abbiamo i mezzi per rilevare i suoi movimenti laterali, le ricerche che farà, il suo comportamento. Perché l’Intelligenza Artificiale e il Machine Learning ci permettono di osservarlo distintamente prima di metterlo fuori gioco.
Inseguire l’aggressore seguendo le sue orme: questo è il segreto della battaglia che stiamo conducendo contro gli attacchi informatici. Accettare una volta per tutte di “giocare” con il nemico, lasciando che sia lui a venire da noi. Adottare una tattica difensiva e punitiva, perché qualsiasi attacco è necessariamente rumoroso quando si propaga all’interno del sistema informatico. Per questo, è fondamentale disporre di un buon sistema di rilevamento automatico degli attacchi informatici. Grazie a esso, il SOC manager può individuare in tempo reale il minimo comportamento anomalo, fare una semplice telefonata all’utente e rendersi conto che non è lui, ma un cybercriminale a muoversi all’interno dei sistemi.
Contrastare la criminalità informatica è un affare altamente strategico e tattico. Uno dei maestri della guerra, il generale cinese Sun Zu, ci ha ricordato quanto sia importante avere un approccio metodico alla battaglia. “Dobbiamo fingere debolezza in modo che il nemico si perda nell’arroganza”, ha detto. Trasponiamo questo concetto alla sicurezza informatica e ammettiamo finalmente che il nemico non potrà mai essere combattuto meglio di quando si trova nel nostro territorio: è credendo di aver raggiunto l’obiettivo che sarà sconfitto. E la tecnologia odierna ci permette di farlo senza colpo ferire.
di Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI
