La più grande minaccia alla cybersecurity: l'ingegneria sociale

La più grande minaccia alla cybersecurity: l’ingegneria sociale

Ingegneria sociale: la più grande minaccia alla cybersecurity

Le violazioni dei dati sono diventate una pandemia globale. Nel 2023, più di 17 miliardi di record personali sono stati esposti, e il 2024 ha già visto una serie di violazioni di alto profilo nei primi tre mesi, tra cui l’esposizione dei dati di milioni di titolari di account AT&T.

Le grandi aziende tecnologiche sono nel mirino, affrontando una crescente pressione da parte dei funzionari governativi che chiedono riforme urgenti. Anche la catena di approvvigionamento del software open source è minacciata da campagne di ingegneria sociale che cercano di compromettere i progetti di mantenimento.

L’ingegneria sociale: la chiave della minaccia

Il termine chiave qui è “ingegneria sociale”, poiché non sono le vulnerabilità software a preoccupare le aziende. Queste rappresentano solo il 5% delle violazioni, mentre il 68% è dovuto all’elemento umano. Come è possibile? E cosa possono fare le aziende per affrontarlo?

Le porte aperte per gli hacker e come chiuderle

Gli attacchi zero-day esotici e sofisticati e gli exploit delle vulnerabilità attirano l’attenzione della stampa, dei CISO e delle squadre di sicurezza, ma la realtà è che gli strumenti di sicurezza informatica di oggi stanno diventando sempre più efficienti nel prevenire e rimediare a questi attacchi.

Gli hacker lo sanno. Non stanno attaccando le vulnerabilità software. Stanno attaccando l’identità perché è molto più economico e facile da sfruttare o costringere all’errore umano. Pertanto, mirano alle credenziali come password, cookie del browser e chiavi API private.

I dati lo dimostrano: un rapporto Verizon mostra che queste credenziali compaiono nel 86% delle violazioni di sicurezza relative ad applicazioni e piattaforme web-based.

Ottenere queste credenziali è il modo in cui gli aggressori infliggono il danno maggiore con il minimo sforzo. A volte, queste credenziali vengono condivise un po’ troppo liberamente. Altre volte, una quantità sorprendente rimane inutilizzata. Il punto è che le organizzazioni hanno perso il controllo delle loro credenziali, e il risultato è una frammentazione crescente delle identità attraverso pile tecnologiche sempre più complesse. Queste pile sono piene di strati che gestiscono la sicurezza in modi diversi, da cluster Kubernetes a server Linux, enormi quantità di database specializzati, IoT, API cloud, ecc.

La situazione si complica ulteriormente a livello granulare una volta all’interno di un account cloud. Se hai tre server Windows e sette server Linux, ognuno di essi gestisce anche le proprie credenziali di accesso. Se hai un setup multi-cloud con sia AWS che Azure, anche queste aziende tracciano l’identità in modi diversi.

Nel perseguire l’efficienza, gli ingegneri DevOps stanno persino dividendo le applicazioni cloud-native in microservizi più piccoli, ciascuno con la propria identità.

Ogni uno di questi strati apre un’altra porta per gli aggressori da entrare. Se sei un’azienda che opera con più DevOps e infrastruttura cloud, inevitabilmente aggiungerai ancora più strati alla pila. Più strati significano più porte.

In altre parole, la semplice presenza di segreti, come chiavi private, chiavi API, password o persino cookie del browser, dovrebbe essere vista come una vulnerabilità in attesa di essere sfruttata in un attacco di identità.

Smettere di usare segreti per scopi di accesso

Il problema non è la tecnologia stessa, ma il comportamento umano. Ogni volta che crei più porte, aumenti la probabilità di errore umano.

Quindi, come si risolvono queste violazioni dei dati? Il primo passo è consolidare tutte le identità. Tutte le identità – inclusi persone e macchine come server, laptop, bot, database, microservizi, ecc. – devono essere unificate in un inventario che fornisca una singola fonte di verità.

Il secondo passo è rendere queste identità impossibili da imitare o “rubare”, rendendo la sicurezza dell’infrastruttura immune agli errori umani. Per fare questo, è necessario ridurre o eliminare la dipendenza da segreti per l’autenticazione.

In linea di principio, la tua identità non dovrebbe mai essere presentata come informazione. L’unico modo per prevenire il furto di dati su larga scala è eliminare tutte le credenziali statiche e i privilegi permanenti e invece distribuire l’autenticazione forte con identità crittografiche. In pratica, questo significa basare l’identità su criteri a tre punti che includano 1) il dispositivo specifico dell’utente, 2) un marcatore biometrico e 3) un numero di identificazione personale (PIN).

In teoria, questo è esattamente come funziona l’iPhone: il marcatore biometrico è il riconoscimento facciale, il PIN è il tuo codice PIN e il modulo TPM (Trusted Platform Module) integrato nel telefono gestisce l’identità della macchina.

Tuttavia, le credenziali – o le porte, se vuoi – sono solo metà della storia.

L’osservabilità non è sufficiente

L’errore umano è cieco rispetto alla qualità dei tuoi strumenti di sicurezza informatica e osservabilità. Basta un errore umano per concedere l’accesso alle persone sbagliate.

Questo sta già accadendo. Come abbiamo imparato all’inizio di quest’anno, gli amministratori di Google Kubernetes Engine non sono immuni a una comprensione errata dell’importanza e della portata dei gruppi utente predefiniti e assegnano permessi pericolosi.

L’industria della sicurezza informatica ha speso una quantità sproporzionata di tempo e denaro per l’osservabilità. Le aziende stanno acquistando e mantenendo strumenti per rispondere alle minacce piuttosto che correggere l’applicazione delle autorizzazioni per proteggere in modo proattivo l’infrastruttura.

Una ragione per cui le aziende tendono a essere riluttanti a correggere l’applicazione è la complessità delle moderne pile tecnologiche. L’assunzione naturale è che tu abbia team competenti che possono configurare ogni singolo strato con la propria autenticazione, autorizzazione, crittografia e audit.

La soluzione più intelligente qui sarebbe per l’industria della sicurezza informatica adottare un nuovo paradigma per la modernizzazione dell’accesso sicuro all’infrastruttura. Questo paradigma dovrebbe essere costruito sull’adozione di meccanismi che unifichino tutti gli accessi in un unico punto di controllo per l’autenticazione e l’autorizzazione. La maggior parte delle aziende ne ha disperatamente bisogno (e tuttavia mancano) come front-end a tutta la loro infrastruttura dispersa.

L’accesso dovrebbe essere concesso solo in base ai compiti e dovrebbero essere concessi solo i privilegi minimi richiesti. Questi dovrebbero quindi essere revocati immediatamente dopo. Questo concetto di accesso on-demand con privilegi minimi dovrebbe quindi essere applicato sia agli account umani che a quelli non umani, come account di macchine e servizi.

In altre parole, ogni azienda dovrebbe essere in grado di applicare facilmente la politica che agli sviluppatori non dovrebbe essere concesso l’accesso ai dati di produzione. Tuttavia, senza controlli di accesso unificati, questo rimarrà un concetto di fantascienza per molti professionisti della sicurezza informatica.

Unificare i controlli di accesso non è utile solo in senso proattivo. Se si verifica una violazione dei dati, una vista centralizzata di tutte le relazioni di accesso attribuite a un utente o a una risorsa è essenziale per scopi come la revoca rapida dell’accesso non desiderato o l’auditing. Questo è come l’applicazione e l’osservabilità possono essere combinate per l’agilità.

E se hai già assegnato l’identità crittografica a ciascun utente o risorsa individuale, hai ora associato l’utente umano effettivo a ciascuna azione. Ciò rende molto più semplice l’assegnazione delle autorizzazioni corrette alle persone giuste.

Difendi il comportamento umano

Ci sono, naturalmente, segnali positivi di leader tecnologici nel settore che prendono le violazioni dei dati molto sul serio. Microsoft si è impegnata a rafforzare le vulnerabilità cloud, a impedire il furto di credenziali e ad applicare automaticamente l’autenticazione a più fattori per i dipendenti. Qualsiasi sforzo per abbracciare misure di autenticazione più forti e crittografiche dovrebbe essere incoraggiato.

Per vincere in cybersecurity, le aziende devono capire che impedire le violazioni dei dati non riguarda la difesa dai virus o dalle tecniche di hacking ultra sofisticate. Si tratta di difendersi dal comportamento umano che espone l’infrastruttura alle perdite di dati. Questa è la mentalità che deve cambiare. Il controllo di accesso unificato, abbinato a zero trust, deve essere la base per la modernizzazione dell’accesso sicuro.

Suggerimenti, soluzioni e best practice per la difesa contro l’ingegneria sociale

  1. Consolidare tutte le identità: unificare tutte le identità, inclusi i dipendenti, i contractor, le macchine e i servizi, in un inventario che fornisca una singola fonte di verità.
  2. Eliminare o ridurre la dipendenza da segreti: minimizzare o eliminare la dipendenza da segreti per l’autenticazione per rendere le identità impossibili da imitare o rubare.
  3. Implementare l’autenticazione forte: basare l’identità su criteri a tre punti che includano un dispositivo specifico dell’utente, un marcatore biometrico e un PIN.
  4. Adottare un paradigma di accesso sicuro unificato: adottare meccanismi che unifichino tutti gli accessi in un unico punto di controllo per l’autenticazione e l’autorizzazione.
  5. Grant access based on tasks: concedere l’accesso solo in base ai compiti e concedere solo i privilegi minimi richiesti.
  6. Rivedere e aggiornare regolarmente le autorizzazioni: rivedere e aggiornare regolarmente le autorizzazioni per garantire che solo le persone appropriate abbiano accesso ai dati e alle risorse.
  7. Educare i dipendenti sulla sicurezza: fornire formazione sulla sicurezza ai dipendenti per aiutarli a comprendere i rischi e le migliori pratiche per prevenire le violazioni dei dati.
  8. Monitorare e rilevare le attività sospette: utilizzare strumenti di monitoraggio e rilevamento per identificare e rispondere alle attività sospette in tempo reale.
  9. Implementare la crittografia end-to-end: crittografare i dati in transito e a riposo per proteggere le informazioni sensibili.
  10. Avere un piano di risposta alle violazioni dei dati: sviluppare e testare regolarmente un piano di risposta alle violazioni dei dati per garantire una risposta rapida ed efficace in caso di violazione.

L’ingegneria sociale è la più grande minaccia alla cybersecurity, ma spesso viene trascurata. Le aziende devono adottare misure per consolidare le identità, eliminare o ridurre la dipendenza da segreti, implementare l’autenticazione forte e adottare un paradigma di accesso sicuro unificato. Seguendo questi suggerimenti, le aziende possono proteggersi dalle minacce dell’ingegneria sociale e mantenere i propri dati al sicuro.

Fonte: https://hackernoon.com/social-engineering-is-the-biggest-cyber-threat?source=rss

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto