Cefriel: “PA vittime ideali di ingegneria sociale, un framework per difenderle”
Le PA, proprio per la loro complessità organizzativa e l’eterogeneità delle competenze e conoscenze informatiche, sono spesso soggetti deboli rispetto a queste minacce. Due recenti fatti, accaduti nel mondo sanitario, sono di aiuto a comprendere la situazione: un ospedale americano e sei tedeschi sono stati vittime di ransomware
2 Marzo 2016
Enrico Frumento, CEFRIEL- ICT Institute Politecnico di Milano
In un precedente articolo discutevo del fatto che la Social Engineering (SE) si sia evoluta negli ultimi anni, diventando forse la principale minaccia nel contesto della sicurezza informatica, anche per le PA. In quel numero scrivevo, e vale la pena di riportarlo: la “Social Engineering”, come forma di attacco, sta vivendo una seconda giovinezza a causa della crescente incidenza delle minacce informatiche che vanno a colpire quello che ancora oggi è l’anello più debole di un sistema informativo: i suoi utenti.
Vale la pena ritornare sul tema per la sua estrema importanza nel panorama attuale delle minacce informatiche. Fino a qualche anno addietro, la sicurezza IT era principalmente concentrata sulle contromisure tecnologiche (Firewall, norme ISO, best-practices, Intrusion Detection Systems, ecc.) e poco sulla parte umana della sicurezza, questo anche a seguito della portata relativamente limitata della Social Engineering [1], che era spesso condotta con metodologie scarsamente automatizzate. Concettualmente, la SE moderna non è cambiata molto rispetto al passato, è cambiata invece la grande disponibilità di informazioni su istituzioni e persone, specialmente tramite i social network, e la possibilità di analizzarli in automatico. Al fianco di questa nuova efficienza degli strumenti di SE, occorre però ricordare che le organizzazioni complesse da sempre soffrono di una relativa disomogeneità di competenze informatiche: il tipico impiegato, cui viene chiesto di fare un uso strumentale dell’ICT, non necessariamente conosce tutte le conseguenze di un eventuale “click sbagliato” e sa riconoscere le minacce con l’accuratezza necessaria.
In questo scenario le PA, proprio per la loro complessità organizzativa e l’eterogeneità delle competenze e conoscenze informatiche, sono spesso soggetti deboli rispetto a queste minacce.
Due recenti fatti, accaduti nel mondo sanitario, sono di aiuto a comprendere la situazione: un ospedale americano e sei tedeschi sono stati vittime di ransomware [2] che ha bloccato il loro sistema informativo ospedaliero (con impatto sui processi di cura, bloccati). La causa di tutto, un attacco di Social Engineering tramite mail di phishing, tramite il quale è stato inoculato il ransomware.
- Caso Americano ( Hollywood hospital’s systems held hostage by hackers ).
- Caso Europeo (circa sei ospedali coinvolti, http://www.rp-online.de/nrw/panorama/hacker-angrif…) .
Si veda anche a tal proposito l’articolo Which could be the consequences of a social engineering attack?
Parlare di sanità nel contesto più amplio delle PA è un utile esercizio poiché è ipotizzabile una estensione di tali trend ad altre realtà pubbliche: la sanità in questi ultimi anni è infatti uno dei settori più attaccati [3] ed attaccabili [4].
Oltre alle criticità del mondo sanitario, c’è anche da sottolineare un’altra tendenza generale. In particolare, una seconda fonte ( “Creating a Cyber Security Culture in Your Business” ) del 19 Gennaio 2016 racconta una situazione per le PMI particolarmente critica:
- Quasi il 90% degli attacchi coinvolge la Social Engineering nella prima fase di avvio, questo significa che senza questa fase l’attacco non partirebbe.
- Quasi il 50% delle piccole imprese ha sperimentato un attacco informatico.
- Più del 70% degli attacchi colpisce piccole imprese.
- Più del 75% dei dipendenti lascia i loro computer non protetti (per esempio, senza lockscreen in loro assenza).
- Circa il 60% delle piccole e medie imprese che sono state attaccate è fallita dopo sei mesi.
Come porre rimedio alla situazione
In generale, le realtà organizzativamente complesse, con molti ruoli e competenze ed eterogenee dal punto di vista tecnologico sono, nei confronti della SE, più vulnerabili di altre. Allo stesso tempo, la difesa dagli attacchi SE è complicata, principalmente per tre motivi:
- Gli umani fanno parte del “ loop della protezione”: gli impiegati sono allo stesso tempo la parte da proteggere (ad esempio facendo formazione), ma fanno anche parte del sistema di protezione (ad esempio segnalando spam o altri attacchi in corso, di cui si accorgono).
- Gli attacchi tecnologici cambiano e lo scenario precedente, nel quale il malware doveva introdursi automaticamente dentro un sistema di protezione (i cosiddetti attacchi automatizzati), è tramontato a favore del cosiddetto malware 2.0,[5] che fa un uso avanzato della SE nelle sue strategie di intrusione.
- Modificare comportamenti ed abitudini tramite programmi di awareness mirati ed efficaci è realmente difficile e nel migliore dei casi avviene con una estrema lentezza, questo si traduce in una vulnerabilità persistente [6]
La domanda principale che ci si pone, però, è quella di capire quanto questo rischio sia effettivamente misurabile. Misurare un rischio ad intervalli regolari e la corrispondente vulnerabilità è, infatti, un processo essenziale per definirne la portata del danno e valutare il tipo di risposta necessaria.
Il CEFRIEL da qualche anno ha sviluppato ed applicato il framework “SDVA” – Social Driven Vulnerability Assessment , uno strumento che permette di compiere dei Vulnerability Assessment (VA) sia presso le Enterprise che le PA, per misurare l’effettivo rischio che il personale venga colpito da una minaccia di SE “ben fatta”. Si tratta in altre parole di una via di mezzo fra un VA tecnologico ed una sorta di “esercitazione anti-incendio”.
Come ogni VA anche un SDVA deve avere alcune caratteristiche particolari:
- Il framework SDVA non serve per effettuare attacchi di SE, nel senso non è uno strumento di attacco ma di difesa.
- Il framework SDVA sfrutta attacchi di SE ma li include in un processo più ampio.
- Il framework SDVA deve compiere operazioni del tutto legali, garantire l’anonimato delle persone coinvolte ed il corretto trattamento delle informazioni secondo la legge giuslavorista Italiana. In questo senso rappresenta una approssimazione per difetto di quel che farebbe un vero hacker.
- L’utilizzo dello strumento è, almeno in parte, assimilabile all’esecuzione di un pentest tradizionale. Con questo condivide: una struttura articolata in fasi, il dover sottostare a limiti legali, il non dover “danneggiare” il bersaglio, il dover presentare un report finale che illustra la procedura svolta e il poter essere ripetuto con risultati consistenti.
Gli SDVA sono un’iniziativa progettuale di una certa complessità, anche in considerazione della normativa Italiana/EU e alla luce di una naturale “ritrosia” degli interlocutori, vista la delicatezza del tema, o semplicemente una mancata consapevolezza del rischio reale. CEFRIEL ha sviluppato una metodologia ad-hoc per lo svolgimento di queste analisi, collaudata ad oggi in più di 20 esecuzioni differenti su circa 20.000 utenti, appartenenti sia al settore privato che alle PA in Italia ed Europa. I risultati mostrano che questo tema sta divenendo uno dei più critici e sensibili per la vita stessa di ogni azienda o amministrazione pubblica.
[1] Le best practices in ambito IT security suggerivano l’adozione di contromisure specifiche per la Social Engineering in ambito “security-in-depth”, cioè per contesti particolari.
[2] Con il termine ransomware si definiscono i programmi malevoli che impediscono l’accesso ai documenti personali, cifrandoli, fino a quando non venga pagato un riscatto (in inglese ” ransom“). Solitamente i riscatti vengono pagati tramite valuta virtuale es. bitcoin
[3] “Healthcare industry sees 340% more security incidents than the average industry”, Help Net Security, http://mcaf.ee/4xk97p
[4] “Hospitals vulnerable to cyber attacks on just about everything”, Naked Security, http://mcaf.ee/rsidbm
[5] Il concetto di malware 2.0 è stato introdotto per primo da Kaspersky e successivamente esteso. L’uso da parte mia di questo concetto è utile anche per definire una netta distinzione fra la precedente generazione di malware, adatto a compiere attacchi automatizzati e solitamente con un business model primitivo (il malware in genere esfiltra tutto quel che capita), rispetto alla moderna generazione nella quale la SE e soprattutto un piano di business ben preciso giocano un ruolo fondamentale. Si vedano i report Kaspersky del 2008 e del 2009 per una introduzione: “Malware Evolution 2008,” http://latam.kaspersky.com/sites/default/files/kno… e “Kaspersky security bulletin 2007: Malware evolution in 2007,” https://securelist.com/analysis/kaspersky-security….
[6] Ad esempio si veda I. Kirlappos and M. A. Sasse, “Security education against Phishing: A modest proposal for a major rethink,” IEEE Security & Privacy Magazine , vol. 10, no. 2, pp. 24–32, Mar. 2012.