Social engineering, lo strumento Cefriel che ci dice quanto è vulnerabile la PA
Il Social Driven Vulnerability Assessment è un framework che permette di compiere dei Vulnerability Assessment sia presso le Enterprise che le PA per testare la resilienza nei confronti degli attacchi di Social Engineering ed in particolare delle metodiche usate dai Targeted Attacks
26 Aprile 2016
Enrico Frumento, Cefriel, ICT Institute Politecnico di Milano
Riprendiamo nel presente articolo quanto discusso a proposito delle minacce di Social Engineering e la metodologia di test “SDVA” .
Il CEFRIEL da qualche anno ha sviluppato ed applicato un framework per l’esecuzione in contesti Enterprise di “SDVA” – Social Driven Vulnerability Assessment . Tale framework è uno strumento che permette di compiere dei Vulnerability Assessment (VA) sia presso le Enterprise che le PA per testare la “resilienza” nei confronti degli attacchi di Social Engineering ed in particolare delle metodiche usate dai Targeted Attacks [1].
CEFRIEL ha collaudato questa metodologia in vari settori:
- Bancario/Finanziario/Assicurativo
- Energy/Multi utility
- Amministrazione Pubblica
- Prodotti/Servizi
- Altro
Un SDVA, in tutti questi casi, consiste di solito in una mail di phishing creata ad-hoc e inviata a un campione selezionato dalla Enterprise stessa. Il phishing viene creato di volta in volta usando le stesse metodiche di un attaccante reale, usando cioè solo informazioni che un hacker potrebbe reperire in rete e con un preciso piano di attacco. Molti degli schemi di attacco simulati in questi casi possono essere ricondotti alle categorie context aware phishing, spear-phishing o phishing.
Un SDVA è però uno strumento rispettoso dei vincoli legali giuslavoristici e non un tool di attacco; pertanto, tecnicamente parlando, anche semplicemente visitando un sito malevolo si può infettare un sistema, ad esempio tramite una vulnerabilità del browser usato per accedere al sito web [2], ma questa possibilità non viene usata per installare alcun malware.
A tal proposito è quindi interessante andare ad analizzare il risultato cumulativo delle operazioni di test svolte negli ultimi anni, per comprendere quale sia l’esposizione media (i dati non provengono solamente da enterprise italiane).
Fonte: CEFRIEL, 2016
I dati riportati[3] inquadrano uno spaccato abbastanza rappresentativo della situazione europea, che ricalca in larga parte quella a livello mondiale, come evidenziato dai numerosi whitepaper pubblicati negli U.S. (per esempio ProofPoint nel 2015). Tali dati sono interessanti per capire la reale “potenza” della SE.
Una sintesi dei dati ottenuti dal CEFRIEL è la seguente:
- 3 email in media sono necessarie per ottenere il primo click da parte di un utente su una mail di phishing;
- 5 email in media per il primo utente che inserisce nel sito “esca” anche le credenziali richieste (per esempio, quelle aziendali);
- 34% la media di persone che effettuano un click nella mail inviata;
- 21% la media delle persone che inseriscono anche le credenziali richieste;
- 2 ore il tempo medio per ottenere circa il 50% sul totale delle vittime;
- 6 ore il tempo minimo per bloccare un attacco (intervenire sul DNS) da parte dei sistemi informativi aziendali.
La cosa più evidente è la differenza fra i tempi di attacco (2 ore in media) e di reazione (6 ore di minimo): in quel lasso di tempo l’attaccante ha tutto il tempo di concludere l’operazione, intrufolarsi in azienda, installare un malware o una backdoor ed eliminare ogni traccia del suo operato.
Un confronto…
A questo punto, è molto interessante incrociare i nostri risultati con quelli del report di Proofpoint del 2015 o del 2016, ottenuti con una metodologia simile, ma su un campione di ditte americane:
- 4% circa il numero di persone in media che cliccano sui link (malevoli) della mail di phishing inviata;
- 18% il massimo numero di vittime registrato;
- 66% delle vittime cliccano il primo giorno.
Confrontando i numeri del rapporto ProofPoint con quelli ottenuti dal CEFRIEL, appare evidente una certa diversità. Sembra quasi che il problema della SE sia meno grave nel caso delle ditte americane. Prima di commentare questo risultato, occorre però chiarire un punto: l’efficacia delle metodiche di attacco basate sulla SE è invariante per geografia e cultura, cioè l’utente medio americano e l’utente medio europeo o italiano sono equivalenti.
A cosa potrebbe essere dovuta quindi questa differenza? Il punto focale è la conoscenza da parte di chi esegue un SDVA dei limiti legali di quanto sta facendo: conoscere in modo dettagliato i limiti formali fino ai quali ci si può spingere permette di creare attacchi più aggressivi con la certezza di non violare alcune norma o violare il rapporto etico fra datore di lavoro e lavoratore permettendo quindi di simulare più approfonditamente il comportamento criminale. Questo consente di conseguenza di aumentare la contestualizzazione delle mail di phishing rendendole più “aggressive” senza violare la legge. Viceversa, un quadro normativo non chiaro comporta un approccio conservativo da parte del tester che non sa fino a che punto possa spingersi e, conseguentemente, una sotto-stima del rischio.
In generale, la SE rappresenta una delle frontiere nell’ambito delle problematiche di sicurezza con cui è necessario confrontarsi, sia per quanto riguarda il mercato (è significativo a riguardo il caso delle startup “ KnowBe4” e “Phishme” che si occupano quasi esclusivamente di Social Engineering ) che nell’ambito della ricerca. A questo proposito, dal settembre 2015, il CEFRIEL è responsabile scientifico del progetto Europeo DOGANA (www.dogana-project.eu), che, al fine di risolvere tale problema a livello Europeo, ha fra i propri scopi la definizione di un quadro legislativo di riferimento per lo svolgimento degli SDVA.
La caratteristica di qualsiasi Vulnerability Assessment è quella di misurare la probabilità che una vulnerabilità si verifichi, a monte e a valle di una contromisura. In questo specifico caso, misurare la vulnerabilità verso la SE con un SDVA significa valutare l’efficacia delle contromisure peculiari intraprese, come ad esempio specifici programmi di awareness.
[1] I Targeted Attacks non vanno confusi con gli APT, in quanto, seppure condividano con essi la maggior parte delle tecniche, sono normali attacchi di cybercrime (si veda http://securityaffairs.co/wordpress/40228/cyber-cr…).
[2] Questo tipo di attacco prende il nome di drive-by-infection.
[3] Si veda anche “An innovative and comprehensive framework for Social Vulnerability Assessment ”, Magdeburg Journal of Security Research, 2014. This article appears in the special edition „In Depth Security – Proceedings of the DeepSec Conferences“.