Nella security imparare dal passato per un futuro più sicuro

La privacy deve essere integrata delle decisioni aziendali e la forza lavoro va sensibilizzata in proposito. Il non farlo costa caro, evidenziano casi concreti

 

Dalla storia, anche se non sempre avviene, va tratto insegnamento. E per la security vale la stessa regola. È importante continuare a ricordare a individui e organizzazioni quanto sia importante imparare dalle violazioni salite nel passato più o meno recente agli onori della cronaca.

In particolare, osserva Massimo Carlotti, Presales Team Leader di CyberArk, fino a poco tempo fa, la privacy era considerata critica solo in ambito digitale, ma poiché l’integrazione con il mondo fisico è sempre più stretta, oggi diventa fondamentale non solo per proteggere l’identità digitale di un individuo o di un’azienda, ma anche evitare che sia compromessa la sicurezza dei cittadini.

La privacy dovrebbe in sostanza  essere parte integrante di tutte le decisioni aziendali e le organizzazioni dovrebbero incoraggiare tutta la loro forza lavoro – e non solo i team IT – a rivalutare il modo in cui proteggono e gestiscono i dati.

I dati risorsa preziosa

È ormai un dato incontrovertibile che i dati rappresentano la risorsa tra le più preziose al mondo e un bersaglio allettante per gli hacker.  E uno dei punti di attacco sono le credenziali.

Il più delle volte gli aggressori sono alla ricerca di credenziali da utilizzare per introdursi in azienda e prendere di mira dati sensibili e preziosi, cercando di causare danni irreparabili in tutti i settori, sequestrando le credenziali di login dell’amministrazione e compromettendo dati, al fine di bloccare gli utenti e ottenere un riscatto.

È uno scenario gravissimo, ma reale, che abbiamo visto accadere in molteplici settori.

Ad esempio, in ambito sanitario potrebbe anche comportare l’impossibilità per un medico di eseguire un’operazione salvavita a causa della mancata disponibilità della cartella clinica del paziente (o di una possibile corruzione dei dati in essa contenuti, che renderebbe le informazioni inaffidabili).

Massimo Carlotti - CyberArk

Massimo Carlotti – CyberArk

Alcuni attacchi hacker hanno avuto successo e sarà così anche in futuro. Affrontarli e limitare la possibilità che gli attaccanti si introducano nelle infrastrutture critiche è imperativo al fine di salvaguardare la sicurezza nazionale. L’intrusione o la compromissione delle infrastrutture critiche di un paese, ad esempio, potrebbe comportare la perdita del controllo di servizi pubblici essenziali come gli ambiti delle utility, della sanità e del governo, rappresentando un grave rischio per la sicurezza pubblica. Per questo è importante fare un passo indietro per comprendere non solo il valore dei dati in nostro possesso, ma anche l’importanza di consentire l’accesso ai dati solo a persone e sistemi che ne hanno realmente bisogno”. sottolinea Carlotti.

E quanto a effrazioni della sicurezza i casi recenti che Carlotti  evidenzia non mancano. Vediamo alcuni.

Equifax – 2017

Diversi guasti tecnici – tra cui un dispositivo per la scansione del traffico crittografato configurato in maniera errata e un’analisi automatica che non è stata in grado di identificare una versione vulnerabile di Apache Struts – hanno portato alla violazione che ha colpito 145 milioni di clienti negli Stati Uniti e 10 milioni di cittadini britannici.

La cosa che si evidenzia è che gli attacchi sono sempre più mirati, complessi e dannosi ed è fondamentale non ignorare le basi delle buone prassi di sicurezza. Le patch devono essere applicate tempestivamente, i certificati di sicurezza devono essere aggiornati e così via.

Uber2017

Nel 2017 Uber ha dichiarato di aver subìto una violazione nel 2016 che aveva esposto online le informazioni personali di 57 milioni di utenti, tra autisti e clienti.

In pratica, i dati Uber sono stati esposti perché le chiavi di accesso AWS erano state incorporate nel codice archiviato in un repository accessibile da un fornitore esterno.

E’ un esempio che nessun archivio di codici è un luogo sicuro per il salvataggio delle credenziali. In particolare, è necessario ricordare che le terze parti son sono all’interno della propria supply chain e potrebbero venire attaccati perché “anello debole” della catena.

Facebook Cambridge Analytica – 2018

Cambridge Analytica ha raccolto i dati dei profili Facebook di milioni di persone senza il loro consenso e li ha utilizzati per scopi pubblicitari a livello politico. Lo scandalo è scoppiato a marzo 2018 con la soffiata di un informatore e Facebook ha ricevuto una multa di 500.000 sterline (663.000 dollari), cifra massima consentita al momento della violazione.

In proposito I legislatori sostengono che Facebook “ha violato la legge non salvaguardando le informazioni delle persone” – e ne ha subìto le conseguenze.

Ora il governo degli Stati Uniti sta esercitando ulteriori pressioni su Facebook per fermare la diffusione di notizie false, l’interferenza straniera nelle elezioni e l’incitamento all’odio (al fine di evitare altre multe, anche più salate).

Più in generale, le aziende sono responsabili (a diversi livelli e titolo) dei dati che conservano. Queste responsabilità devono essere note e gestite.

Ecuador – 2019

I dati relativi a circa 17 milioni di cittadini ecuadoregni, tra cui 6,7 milioni di bambini, sono stati violati a causa di una vulnerabilità su un server AWS Elasticearch non protetto, sul quale l’Ecuador memorizzava parte dei propri dati.

Un server Elasticsearch simile ha esposto i dati degli elettori di circa 14,3 milioni di persone in Cile, circa l’80% della sua popolazione.

Il problema è che la maggior parte dei cloud provider opera secondo un modello di responsabilità condivisa, in cui il fornitore gestisce la sicurezza fino a un certo punto, superato il quale diventa responsabilità di chi utilizza il servizio.

È fondamentale far evolvere le strategie di sicurezza cloud per proteggersi in modo proattivo dalle minacce emergenti e rafforzare la fiducia degli utenti che si affidano al cloud.

Desjardins – 2019

La violazione dei dati che ha fatto trapelare informazioni sui 2,9 milioni di individui non è stata causata da un attacco esterno, ma da una persona interna malintenzionata: qualcuno all’interno del reparto IT ha deciso di rubare informazioni protette e riservate dal luogo di lavoro.

Quello che si evince da questo caso, osserva  Carlotti, è che Identificare attività pericolose da parte di risorse interne può essere più difficile, soprattutto se l’utente dispone di diritti di accesso privilegiati.

Per questo, dotarsi di una soluzione per monitorare le attività insolite e non autorizzate, in grado di adottare misure di rimedio automatico in caso di necessità, può contribuire a ridurre il tempo necessario per fermare un attacco e ridurre al minimo l’esposizione dei dati.

Questa violazione dimostra che una strategia di protezione che includa la sicurezza degli accessi privilegiati, l’autenticazione multifattore ed il rilevamento di comportamenti anomali grazie al monitoraggio delle attività del database è sempre più importante.