Sicurezza informatica: se l’utente non fosse il vero problema?

Del resto lo avevamo già anticipato: siccome la difesa muscolare su cui sono basate le tecnologie dei principali vendor di sicurezza (in primis gli antivirus) non risultano più efficaci, allora la colpa la si dà all’utente.
Nei gialli di un volta, per i delitti si incolpava sempre il maggiordomo. Oggi è l’utente che causa disastri telematici, è lui che clicca a sproposito, che causa dei danni con la sua imperizia.
Ma sarà davvero sempre colpa dell’utente?
Per capire dobbiamo analizzare le fasi con le quali vengono portati a termine gli attacchi.

Osservare la preda

Studiare le abitudini della vittima riveste una fase fondamentale del processo di attacco. Fra le pieghe delle sue abitudini ci sono le chiavi per far partire l’attacco.Ad esempio: quali sono i fornitori abituali della preda? Con chi si rapporta di solito?

Preparare la lenza

A questo punto quando si conosce abbastanza bene la nostra preda si può confezionare un’esca appetitosa. Si inizia a dar forma al progetto ad esempio mettendo in piedi un sito web che assomiglia moltissimo a quello di un fornitore, si rubano loghi, si guarda a come un fornitore si muove per replicare i contatti in modo similare.

Exploit kit

Un exploit kit, chiamato a volte exploit pack, è un dispositivo software che cerca le vulnerabilità di un sistema allo scopo di sfruttarle per comprometterle. A questo punto l’attacco ha un dispositivo che una volta attivato si preoccupa di cercare le strade di ingresso per raggiungere i vostri dati. Una volta individuate le vulnerabilità, l’exploit kit inizierà a sfruttarle eseguendo dei malicious code confezionati appositamente.

Innescare il detonatore

A questo punto si ha tutto il necessario e si dà il via all’attacco. Come? si usano Mail di spear phishing che richiamano a fatture o spedizioni. Sempre più spesso si utilizza lo spoofing, oppure si inoltrano allegati eseguibili, link a siti compromessi o documenti office con macro malevole.
Il malware si installa e contatta il server su internet per ottenere chiavi di cifratura. In caso di macro Office viene scaricato direttamente un eseguibile.
Spesso vengono sfruttate reti botnet come Dridex ed exploit kit come Angler.

Furto dei dati o distruzione dei dati

A questo punto abbiamo ingerito il veleno. L’attacco è stato portato a termine. Sono dentro i nostri sistemi. Da qui in poi Dio solo sa cosa faranno. Ci ruberanno i dati per rivenderli? Ci monitoreranno per un po’ solo per sfruttarci come testa di ponte per un altro attacco? Si divertiranno con atti vandalici di cancellazione casuale? Oppure ci ricatteranno perché nel frattempo ci hanno già cifrato tutte le informazioni più preziose che avevamo?

E il firewall?

Come si diceva un tempo “il firewall protegge PC e server purché gli utenti non mettano le mani sulla tastiera”.
Quindi, ricapitoliamo: il firewall serve fino a un certo punto, l’antivirus fino a un certo punto, l’anti malware fino a un certo punto…allora è vero: il problema è l’utente!

L’utente va educato?

Eggià, siccome pago per avere un servizio di sicurezza ma le mie “guardie” fanno un lavoro solo parziale la colpa sarebbe del mio utente. Un utente che io stipendio per lavorare. Per fare altro, per aiutarmi in altre mansioni (in cui eccelle ed è qualificato). Oggi scopro che non basta avere un buon magazziniere, un buon impiegato amministrativo, un buon medico, un buon tecnico, un buon ingegnere, bisogna che tutti questi siano anche ben “educati” sui principi della sicurezza informatica.
Certo, posso spiegar loro che è meglio non aprire email di africani che annunciano l’arrivo di un’eredità da un parente che manco avevano mai sentito nominare. Posso fare in modo che quando arriva loro un allegato da uno sconosciuto dal nome cifrato non ci clicchino sopra, perché non è molto probabile che abbiano vinto ad una lotteria per la quale non hanno nemmeno comprato il biglietto.
Ma se l’attacco arrivasse da un’email camuffata, apparentemente l’email del fornitore abituale, come la metteremmo? O se, ancor peggio, l’infezione arrivasse navigando il sito del corriere espresso che tutti i giorni viene chiamato per le consegne? Potrei continuare a dire che è colpa dell’utente che è ignorante?
La formazione potrebbe evitare tutto questo?
La colpa non può essere sempre degli utenti, specialmente quanto sono selezionati per eccellere in specifiche mansioni. Chi vorrebbe investire in personale che per metà del tempo è impegnato a indagare se le email che gli arrivano sono davvero vere o no? Non sono degli ispettori telematici!
Personalmente sono stufo di addossare tutte le colpe all’ignoranza dell’utente.
Il presupposto è errato perché l’attività dell’utente che naviga un sito o riceve un allegato è corretta e più che lecita.
Non ha senso rovesciare sugli utenti delle inefficienze che non competono loro: la protezione delle postazioni di lavoro deve essere intrinseca al sistema.

La soluzione è cambiare approccio

A volte basta vedere le cose da un’altro punto di vista per agire efficacemente. Per questo mi piace l’approccio di Avecto e in generale dei sistemi di protezione che si basano sul whitelisting applicativo.
L’utente deve essere messo in grado di lavorare al meglio, di eccellere nel suo campo, senza preoccupazioni e lentezze dovute ad un sistema basato su una filosofia che non è più efficace.
E allo stesso modo, anche l’IT manager che implementa le policy non deve impazzire. Per questo Avecto mi piace. A ciascun utente fornisce la possibilità di far girare solo i software di cui ha bisogno offrendogli il giusto grado di libertà, senza dimenticare di fornire all’IT manager una gestione semplice e completa della soluzione. In modo che siano tutti contenti e sicuri: gli utenti e gli IT manager.

Se vi dovesse interessare trovate tutte le informazioni che vi servono qui….siate buoni con i vostri utenti!