La consapevolezza è il primo passo nella difesa. A ottobre si celebra lo European Cybersecurity Month, il mese dedicato alla consapevolezza sulla cybersecurity per sensibilizzare l’utente finale sui rischi informatici. Questa consapevolezza andrebbe sviluppata sia promuovendo l’adozione di pratiche informatiche sicure, sia aumentando la conoscenza dell’impatto diretto che produce la mancata adozione di tali pratiche. Ogni errore incolpevole dell’utente finale ricade infatti sul difensore, l’esperto di sicurezza o l’analista che ha il compito di proteggere l’organizzazione nel suo complesso dal rischio di cadere vittima di un attacco informatico.

È quello che in Vectra chiamiamo “il dilemma dei difensori”. La nostra ricerca State of Threat Detection 2023 ha quantificato quella che abbiamo definito la “spiral of more”, ovvero la “spirale del più”: più superficie di attacco, più sofisticazione dei metodi di attacco, più strumenti, più regole, più burnout degli analisti di sicurezza. Ciò di cui gli utenti finali potrebbero non essere consapevoli è il modo in cui le loro azioni spesso innescano e alimentano questa spirale.

Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI

Più superficie di attacco, più esposizione

Gli attaccanti sono intelligenti. Sanno che uno dei modi migliori per infiltrarsi in un’organizzazione è fare leva sulla natura umana. Che si tratti di social engineering, phishing o vishing, anche l’utente finale più attento alla sicurezza può cadere vittima di un tranello. Scattered Spider ha dimostrato di avere successo nel vishing degli amministratori IT per ottenere l’accesso ai sistemi aziendali e, grazie a tecnologie come la Generative AI e i Large Language Models (LLM), la capacità di convincere gli utenti finali a impegnarsi, fare clic e/o divulgare le credenziali non potrà che migliorare. Cadere vittima dell’astuzia dei cybercriminali è uno degli elementi che può dare inizio alla spirale.

Maggiori lacune di visibilità, più punti ciechi

L’utente finale potrebbe a questo punto confidare nel fatto che il team di sicurezza si accorga dell’attacco e lo fermi, ma non è sempre così. Bisogna considerare che gli attaccanti sono molto bravi a mascherarsi da semplici utenti per muoversi all’interno dell’organizzazione. Sono abili ad assumere il ruolo di persone con privilegi più elevati rispetto a quelli dell’utente finale che li ha fatti entrare, aumentando i rischi per l’organizzazione.

Più alert, più falsi positivi

Il team di sicurezza riceverà a un certo punto un qualche tipo di avviso o di segnalazione. È vero, ma ciò che gli utenti finali spesso ignorano è che i loro colleghi incaricati di proteggere l’azienda ricevono in media 4.484 alert al giorno. Anche per il difensore più esperto è umanamente impossibile esaminarli tutti: facendo del proprio meglio, i team di sicurezza riescono a esaminarne circa un terzo. Di questi, l’83% sono falsi allarmi, non prioritari, dunque una perdita di tempo. Da qui la frustrazione degli analisti che restano concentrati tutto il giorno sulla protezione dell'organizzazione, per poi scoprire che appena il 17% del lavoro svolto ha avuto un senso.

Più attacchi ibridi sconosciuti

Spesso si ritiene che le azioni del singolo utente non siano poi così impattanti sulla sicurezza, perché altrimenti l’organizzazione sarebbe costantemente oggetto di violazioni. In realtà, gli utenti finali non sempre si rendono conto del lavoro svolto dietro le quinte dai difensori. Non è un compito facile: il 97% degli analisti si preoccupa di perdere un evento di sicurezza rilevante perché nascosto tra i tanti alert e il 71% ritiene probabile che la propria organizzazione sia stata compromessa senza che il team ne sia venuto a conoscenza. Ciò che rende il lavoro dei team di security così difficile è che spesso si ha a che fare con delle incognite, minacce sconosciute a cui si può porre rimedio solo una volta divenute note. Ecco perché gli analisti lavorano instancabilmente per unire i puntini, assemblando, aggregando e analizzando insiemi di dati disparati per identificare il problema e poter agire con sicurezza per eliminarlo.

Attaccanti ibridi più sofisticati

Gli attaccanti informatici cercano sempre di stare un passo avanti: fanno ricerche sul personale dell’azienda, utilizzando i profili LinkedIn, le attività sui social media, le informazioni disponibili online. Usano qualsiasi cosa su cui possano mettere le mani per ingannare l’utente finale ed entrare nei sistemi aziendali. Quando l’utente lo consente, questa spirale viziosa continua, cresce, accelera. E per ogni notte fonda, per ogni weekend speso dagli analisti in war room, c’è un altro attacco in corso e un’altra minaccia da cui difendersi.

Più lavoro, stress, ansia, burnout

Tutti, a prescindere dal ruolo ricoperto in azienda, dobbiamo fare i conti con l’aumento del carico di lavoro e con un certo livello di stress. Ma questo non è che un motivo in più per empatizzare un po’ di più con gli analisti della sicurezza. Quando la posta in gioco è così alta, maturare una reale consapevolezza della sicurezza informatica e adottare pratiche informatiche sicure aiuta. Basta una sola svista, un errore di valutazione o un passo falso per alimentare la spirale e scatenare il caos nel team di security. Ogni utente dovrebbe perciò fare la propria parte, perché proteggere l’organizzazione dagli attacchi informatici è, in fin dei conti, un lavoro di squadra.

Massimiliano Galvagna è Country Manager per l’Italia di Vectra AI