Massimiliano Brolli : 11 Giugno 2020 08:00
Articolo di: Massimiliano Brolli
Data pubblicazione: 11/06/2020
Nel 2019 è stato pubblicato il rapporto annuale “Cost of data breach” sviluppato da Ponemon Istituite in collaborazione con IBM Security, che riporta il costo medio che le aziende sostengono per singolo data-breach.
La NIS2 è complessa da capire?
Non perdere tempo, segui l'anteprima gratuita del corso che stiamo preparando.Accedi quindi alla nostra Academy e segui l'anteprima del corso della durata di 30 minuti per comprendere i contenuti esclusivi che tratteremo nel corso.per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ad oggi un data-breach si attesta a 3.9 milioni di dollari dove nel campione italiano analizzato di 11 aziende, la media si aggira a circa 3,1 milioni di euro.
Nel report viene inoltre riportato che il costo non risulta distribuito nel periodo “strettamente successivo” all’incidente di sicurezza, ma viene distribuito anche nei due anni successivi.
Quanto riportato da IBM Security fa comprendere, come il fenomeno data-breach, possa influenzare in modo sensibile il cammino di ogni azienda, oltre a portare perdite ingenti (dirette e indirette) trainate anche da quello che potrebbe essere il “miglioramento delle politiche di sicurezza” e del “sistema controllo interno” a valle dell’incidente informatico.
Prima di addentrarci a quali potrebbero essere i potenziali miglioramenti, citerei quello che dice il NIST (National Institute of Standards and Technology) ovvero l’ente “supremo” che tutti noi riteniamo punto di “ispirazione” e “autorevolezza” in termini di tecnologia, standard e metodologia.
Nella Special Publication 800-115 denominata, “Technical Guide to Information Security Testing and Assessment” nel capitolo 2.3 riporta:
I Test di sicurezza non forniscono una valutazione completa della sicurezza di un sistema, spesso hanno un ambito ristretto a causa delle risorse e delle limitazioni di tempo. I pirati informatici, d’altra parte, possono prendere tutto il tempo di cui hanno bisogno per sfruttare e penetrare un sistema.
Inoltre, sempre il NIST riporta che i “Security Assessment, seppur possono indicare importanti debolezze tecniche presenti sui sistemi, forniscono chiare indicazioni sulla postura dell’organizzazione rispetto alle politiche di sicurezza informatica adottate”.
Premesso che tutti siamo d’accordo nel dire che i processi di Patching management, di Hardening e di Sviluppo sicuro devono essere garantiti e presidiati da chi disegna, sviluppa, colluda ed esercisce i sistemi, comincerei a porci una domanda che probabilmente alle volte dimentichiamo di farci, in preda all’operatività che regna sovrana tra gli addetti ai lavori della sicurezza informatica.
Qual’è l’obiettivo principale della Sicurezza informatica?
Far in modo che possa essere garantita la Riservatezza, l’Integrità e la Disponibilità dei dati contenuti in un sistema informatico. Ma sintetizziamo meglio… far in modo che si possano evitare gli accessi indebiti ai sistemi … ma facciamo di meglio, in chiave moderna, nel 2019…
Fare in modo che i data-breach non ci siano!
Analizzando con attenzione il fenomeno, mi viene spontaneo pensare se risulti corretto il posizionamento delle attività di Red Team nei processi aziendali di oggi o se possa esserci un “modello” alternativo, più efficace che possa anche essere misurato in termini di abbattimento del rischio “economico” e “di impresa” dovuto soprattutto alla rimozione preventiva dei data-breach, prima che questi possano essere sfruttati da un ipotetico “nemico”.
La Data Breach Prevention è una tipologia di Security Assessment che consente di effettuare una analisi del sistema, finalizzata a rilevare, nei punti di esposizione più “critici”, la presenza di vettori di attacco capaci di generare una esfiltrazione di dati sensibili. Generalmente questa attività viene svolta da rete internet in puro ethical-hacking, in quanto la potenziale esfiltrazione viene generata concatenando diversi requisiti e carenze di sicurezza presenti sul sistema, cosa che oggi le macchine (le attività di Vulnerability Assessment nello specifico) non possono fare, se non al limite rilevare il primo strato di vulnertabilità utilizzabile per un vettore di attacco completo.
I principali punti di forza sono:
Ricordiamoci però che la rilevazione dei data-breach potenziali, risulta direttamente proporzionale alla capacità di sperimentazione dell’hacker etico. Inoltre, minore sarà la complessità nei processi da agire, maggiore sarà la sua concentrazione nel vincere la partita (la parte a lui più congeniale per natura) ovvero violare il sistema e fornire le risultanze del vettore di attacco rilevato essendo consapevole di aver vinto la sua sfida.
Questo perché il “White Hat Hacker” (il tester di sicurezza) non sta facendo altro che simulare un’attività di attacco. L’unica cosa che differisce è “l’ampiezza temporale”, in quanto tale ampiezza risulterà “definita” e non potenzialmente “infinita” come nel caso dei “Black Hat Hacker” e come riportato giustamente dal NIST,
Qualora il Red Team avesse il mandato di svolgere attività di Data Breach Prevention con continuità, dandogli modo di sperimentare e analizzare al meglio le superfici di attacco (evitando di imbrigliarlo in processi documentali e formalismi che potrebbero non essere attuali), potrà essere misurato attraverso il:
Oltretutto, tutto questo potrebbe consentire di migliorare anche l’indotto e quindi:
La sicurezza informatica ha sempre insegnato che le migliori idee e strategie, sono sempre state avviate dopo un grande fallimento, anche se su questo occorrerebbe una riflessione da parte di tutti.
Il Red Team può svolgere una attività di “carotaggio” importante, anche se per un tempo limitato, fornendo grandi benefici in termine di abbattimento del rischio, ma per fare questa scelta occorre abbandonare le convinzioni e i retaggi del passato in termini di gestione delle attività di controllo e vedere il tutto da una angolazione differente, anche rispetto alla tradizionale cybersecurity spesso concentrata sugli aspetti “formali” che “sotanziali”.
Occorre infatti entrare nell’ordine di idee che la Security da sola non può evitare che i data-breach ci siano, perchè sarebbe come sostenere che se esista una funzione Legale in azienda, non ci saranno più cause intentate ai danni della stessa.
La sicurezza informatica, infatti, è una Responsabilità condivisa; solo se tutte le organizzazioni avranno la giusta “consapevolezza al rischio” e garantiranno l’adozione delle politiche di sicurezza con rigorosa costanza ed attenzione, gli incidenti di sicurezza potranno essere evitati.
Risulta quindi necessaria una completa “rigenerazione” (non parlo di miglioramento) di questa attività, dando modo ai tester di dedicarsi a simulare un attacco reale, facendo in modo di garantirgli in quel “tempo limitato”, di mettere in campo tutto il loro bagaglio culturale di Tecnica, sperimentazione, genio e passione.