La trasformazione digitale non è più una corsa tra team di sicurezza, è un tiro alla fune tra vecchie sfide e nuove opportunità
In un contesto di rapida e profonda evoluzione, la tecnologia ci semplifica la vita, ponendoci anche di fronte a nuove importanti sfide. Comprenderne le complessità e saper fronteggiare le criticità può salvarci da grossi grattacapi.
Se da un lato gruppi di ricercatori ed ingegneri sviluppano le infrastrutture tecnologiche del futuro, dall’altro c’è qualcuno che vede il progresso come una opportunità di arricchimento illecito.
Il terreno di contesa è talmente vasto e interessante da attrarre globalmente ogni organizzazione desiderosa di sviluppare il proprio business o, semplicemente, avere un proprio spazio.
In esso coltiviamo le nostre stesse esistenze, alimentandolo di informazioni, esperienze, studi, progetti ed ogni dato che ci riguardi.
Se è immediato intuire che in rete ci sono praticamente tutte le nostre vite, non è altrettanto semplice comprendere le minacce che incombono.
Forniamo subito un dato
Il costo medio di un data breach ammonta a 4,2 milioni di euro.
A cosa si riferisce questo valore è presto detto: perdite finanziarie, degrado reputazionale, conseguenze legali.
Abbiamo certamente alzato l’asticella dell’attenzione. Esaminiamo, dunque, cosa possiamo fare per ridurre il rischio.
Chiunque sarebbe pronto ad offrirci la soluzione definitiva contro tutti i mali: qualche tecnologia di difesa nuova fiammante, super aggiornata e ferrata contro ogni tipo di minaccia.
Ma sappiamo bene che non è così banale, non per essere sfiduciati, intendiamoci, solo per essere realisti e consapevoli.
E così entra in gioco la figura dell’hacker
Mentre gli stereotipi hanno lungamente dipinto gli hackers come minacciosi cattivi, chi conosce la realtà sa bene che si tratta di persone fortemente preparate, con una storia dimostrabile di rilevanti successi, sia in ambito personale che professionale.
Le motivazioni alla base delle loro azioni possono essere assai diverse, dagli scopi etici (ethical hackers) a quelli criminali (crackers).
Sfatiamo pure un mito
La finzione cinematografica ci ha abituati a personaggi incappucciati che, dai loro antri bui, sferrano attacchi micidiali e improbabili, celandosi dietro schermi zeppi di scritte incomprensibili che continuano incessantemente a scorrere.
Dimentichiamoli pure. Essi sono ben integrati in società e, il più delle volte, figurano come anonimi addetti ai lavori in imprese e organizzazioni d’ogni genere.
Il comune denominatore è la loro forte preparazione, dovuta ad un mix di personale interessamento, dedizione e grande esperienza maturata sul campo.
La differenza fondamentale tra essi e qualunque altra persona specializzata in Information Technology è che, mentre gli ultimi sono bravissimi nella progettazione e nell’esercizio dei sistemi, i primi ragionano in profondità e “vedono la vite nascosta nel fondo”.
Inizia ad essere tutto più chiaro. Perché non impiegare le conoscenze di cui disponiamo?
Come abbiamo visto, gli hacker possono occupare due distinte posizioni nel tiro alla fune.
Se è chiaro che ignoriamo chi sta per attaccarci e quali armi sfodererà, è anche vero che possiamo contare sull’appoggio degli hacker etici.
Prima ancora di imbarcarci in spese folli per acquistare tecnologie d’ogni genere, ma anche per verificare la corretta implementazione di quelle che abbiamo, chiamiamoli in gioco senza indugi. Saremo certamente più preparati e carichi di energie nel citato tiro alla fune.
Buoni e cattivi
Un black hat (il cattivo) che, sulla sua strada, trova un white hat (il buono), dovrà certamente faticare di più per forzare e manipolare un sistema.
Può variare l’esperienza maturata, ma la conoscenza di tecniche, tattiche, vettori di attacco, architetture e vulnerabilità dei sistemi, è paragonabile.
Gruppi di hacker buoni possono lavorare, di concerto, in difesa (blue team), oppure simulare attacchi realistici per perfezionare le difese (red team).
Un black hat, quando agisce, lo fa silenziosamente e, tipicamente, opera in modalità low and slow proprio per eludere i controlli e celare le proprie azioni.
Ma chi sono veramente gli hackers e dove vivono
Diciamolo subito, il 92% di essi è uomo, l’8% è rappresentato da donne. Ma non arriviamo a banali conclusioni, tra le donne vi sono hacker in gamba come la russa Kristina Svechinskaya, la norvegese Runa Sandvik o la polacca Joanna Rutkowska.
Le aree geografiche ove operano e si formano, sono prevalentemente India, Stati Uniti, Russia, Ungheria, Romania e Germania.
Ricoprono, principalmente, le seguenti posizioni lavorative: Ingegneri, professori, managers, operatori finanziari, tecnici ICT, specialisti in comunicazione, tecnici del settore healthcare.
Il 18% si cimenta per esercitare full-time, il 26% lo fa part-time, il 14% si limita al diletto, mentre il 42%, nel bene o nel male, esercita l’hacking per professione.
Non stiamo parlando di ragazzini, cosiddetti script kiddies, ma di autentici professionisti, super preparati e dotati di forte determinazione. Ecco, allora, da chi e con chi dobbiamo difenderci, è una questione di consapevolezza e buon senso.
Gli hacker criminali sono impegnati a tempo pieno nello studio dei sistemi e delle relative vulnerabilità, oltre che nell’approfondimento dei metodi per colpirli. Il modello d’azione più recente, li vede associati in veri e propri gruppi dediti all’hacking, con un sistema di affiliazione mirato al furto di informazioni a scopo di lucro.
Si tratta di una vera e propria industria, che sforna persone preparatissime e intenzionate a lucrare ai danni delle imprese che vengono colte di sorpresa.
Basta guardare al dilagante fenomeno del ransomware, per comprendere questa realtà.
Sicurezza: sinonimo di difesa a 360 gradi, all round the clock
Chi lavora nel campo IT e si intende di questioni tecniche, sa bene che i cattivi non riposano.
Alla conoscenza, si unisce la componente tempo, non possiamo permetterci ritardi o distrazioni.
Eppure, assistiamo a frequenti breach dovuti principalmente a disattenzione, sviste tecniche o carenze strutturali.
Chi gestisce il budget, deve essere consapevole che non è sufficiente acquistare scatole o licenze ma occorre, principalmente, investire sulla preparazione delle persone e sulla conduzione di vulnerability assessments e penetration tests, attività mirate a scovare e correggere falle di sicurezza, svolte, guarda caso, da hacker etici.
Autore: Marco Marra