A fronte dei due casi recenti che ha visto la società di trasporto privato Uber, vittima di un massiccio attacco di hacking che l’ha costretta a mettere offline gran parte dei suoi sistemi informatici, e di Microsoft che ha subito il furto delle credenziali valide degli utenti di Teams, dimostra che non è semplice fuggire dagli attacchi informatici.
Per i due casi non si tratta di attacchi di alto profilo, non ci sono squadre di cyber-attaccanti armati fino ai denti, né hacking ad alta tecnologia. Nel caso di Uber come nel caso di Microsoft, si tratta di vulnerabilità minuscole, irrisorie e banali, con conseguenze importanti. In Uber un amministratore ha commesso il classico errore di rivelare la propria password. Per Microsoft si è trattato di un difetto di progettazione, ma è lì a ricordarci che nessuna macchina, nessun sistema è inespugnabile.
“Questo è ciò che dobbiamo accettare: le falle, le vulnerabilità e gli attacchi sono qui per restare – come dice Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI -. Sono, in altre parole, un male che dobbiamo accettare, perché il nostro campo di gioco è diventato troppo grande, soprattutto a causa dell’infinito universo SaaS in cui operiamo”.
Cybersecurity: sulle tracce dell’aggressore
Secondo Galvagna “dobbiamo smettere di credere di poter anticipare tutto ed evitare gli attacchi. Un tale cambiamento di postura è soprattutto tattico. Dobbiamo partire dal principio che l’attacco avverrà, inevitabilmente, e che in fondo questa è una buona notizia”.
Infatti, una volta che l’aggressore è entrato nel sistema, può essere individuato e tecnicamente esistono i mezzi per rilevare i suoi movimenti laterali, le ricerche che farà, il suo comportamento. Inoltre, l’Artificiale e il Machine Learning permettono di osservarlo distintamente prima di metterlo fuori gioco.
“Inseguire l’aggressore seguendo le sue orme” è questo secondo Galvagna il segreto della battaglia che stiamo conducendo contro gli attacchi informatici: “accettare una volta per tutte di “giocare” con il nemico, lasciando che sia lui a venire da noi. Adottare una tattica difensiva e punitiva, perché qualsiasi attacco è necessariamente rumoroso quando si propaga all’interno del sistema informatico. Per questo, è fondamentale disporre di un buon sistema di rilevamento automatico degli attacchi informatici. Grazie a esso, il SOC manager può individuare in tempo reale il minimo comportamento anomalo, fare una semplice telefonata all’utente e rendersi conto che non è lui, ma un cybercriminale a muoversi all’interno dei sistemi”.
Contrastare la criminalità informatica è un affare altamente strategico e tattico. Uno dei maestri della guerra, il generale cinese Sun Zu, ci ha ricordato quanto sia importante avere un approccio metodico alla battaglia. “Dobbiamo fingere debolezza in modo che il nemico si perda nell’arroganza”, ha detto.
Le tecnologie odierne permettono di intercettare il nemico quando è già all’interno della struttura informatica e quando crederà di aver raggiunto l’obiettivo sarà possibile sconfiggerlo.