“Gli esseri umani sono notoriamente un disastro nel valutare il rischio,” sostiene Tom Van De Wiele, Principal Security Consultant per i Servizi di Cyber Security di F-Secure.
E ha le prove per affermarlo.
“Abbiamo un tasso di successo del 100%” spiega.
Fin dal 2004, Tom ha condotto esercitazioni di “red teaming” in cui lui e i suoi colleghi — solitamente in team di tre persone — devono violare strutture e reti di aziende. “Prendiamo il nome dell’azienda, il logo e la location, ed è così che iniziamo.”
Qualche volta le aziende hanno un compito specifico da assegnare per provare l’efficacia del Red Team — come hackerare un ATM o farsi un selfie alla scrivania del CEO.
Ma il risultato è sempre lo stesso: il Red Team entra!
Nel 100% dei casi.
Questo video offre un assaggio di ciò che accade quando Tom e i suoi colleghi prendono di mira la tua azienda:
Sembra eccitante. Ma il vantaggio di Tom è che la sicurezza è spesso “noiosa”, specialmente quando consideri che un errore è tutto ciò di cui i criminali hanno bisogno.
“Le persone stanno cercando di proteggere se stesse contro gli hacker ‘cattivi’ – ma poi lasciano il telefono o il notebook su un autobus o un taxi.”
E sapendo che un avversario determinato può sempre trovare una via per entrare, la maggior parte delle aziende lo sta semplicemente facendo male.
“Per 20 anni, la sicurezza IT ha cercato di costruire barriere. Con firewall e protezione degli endpoint per esempio. Certo, ti serve tutto questo. Ma non è sufficiente, non più” sostiene Tom. “La sicurezza non è un muro. E’ più un campo da calcio pieno di trappole.”
I red team — come gli hacker — non sono limitati da alcuno scopo. Cercano qualsiasi cosa che abbia sopra un logo aziendale. Rimarresti scioccato su ciò che possono fare con un giubbotto catarifrangente, una scala e una bomboletta di aria compressa.
E cosa ne viene alle aziende provando a sottoporsi a questi test? Perché ingaggiare una lotta con un pugile professionista?
Per scoprire le tue debolezze prima che le persone sbagliate lo facciano. Perché quando il costo di una tipica violazione di dati si aggira sui 4 milioni di dollari, il lavoro che potresti salvare è proprio il tuo.
Pensi che non funzioni? Tom pone queste domande per farti capire se sei stato sottoposto a un Red Team (o attaccato) proprio ora.
- Qualcuno che non conosci ti ha chiesto di prestargli la tua tessera di accesso?
- C’è un tizio sconosciuto al computer del tuo collega?
- C’è qualcuno che sta girando nel tuo ufficio senza un badge di sicurezza o senza un accompagnatore? E’ un ragazzo della manutenzione? Un consulente?
- Qualcuno è entrato subito dietro di te e/o qualcuno è stato lasciato entrare senza passare dalla reception o dal desk di sicurezza o senza un accompagnatore?
- Ti ha chiamato qualcuno al telefono chiedendoti certe informazioni sul tuo computer o sui processi? Ti stanno chiedendo di fare qualcosa sul tuo computer o di fornire certe informazioni sul tuo computer? Persone che ti chiamano per chiederti dati personali o informazioni tecniche, spesso ti stanno attirando in una truffa di phishing.
Sei preoccupato di essere vulnerabile? Puoi fare tu da Red Team.
Dai uno sguardo a questa checklist di Tom e poi prova a fare due passi guardandoti intorno. Rispondi in modo errato a solo una di queste domande, e il 100% del tasso di successo di Tom rimarrà invariato.
- Il computer di qualcuno/a rimane senza blocco quando è lontano dalla sua scrivania?
- Il tuo computer è in ufficio, ma sembra essere connesso all’access point Wi-Fi di un aeroporto anche se tu non sei in aeroporto?
- Ti stai loggando a qualcosa dalla tua azienda da Internet — webmail o portali di ticketing, con solo una login e una password? Tu e i tuoi colleghi siete ora un bersaglio primario per il phishing.
- Ti stai loggando a qualcosa su Internet fuori dalla rete del tuo ufficio e non stai usando https://?
- E’ stato collegato qualcosa tra la tua tastiera e il computer? Potrebbe essere un keylogger o un dispositivo maligno?
- Qualcuno ha lasciato un portachiavi con una chiavetta USB attaccata nel parcheggio, sulla bicicletta o vicino alla tua azienda o al tuo ufficio? Consegnalo al tuo dipartimento di sicurezza così che nessun altro lo trovi e lo inserisca.
- C’è qualche dispositivo fuori dall’ordinario connesso in rete?
- Documenti cartacei sensibili vengono lasciati per un lungo periodo sulla stampante?
- Stai usando un trita-documenti o un servizio per l’eliminazione dei documenti?
- Le prese di corrente per le connessioni di rete sono disabilitate quando non in uso?
- Noti qualcosa, come delle viti disallineate, che possono portare a pensare che un computer o altra risorsa – NAS, server, rack, ecc — sia stata aperta o compromessa?
- Ci sono chiavette USB, hard disk, nastri, CD-ROM e altre informazioni in giro per l’ufficio? Dovrebbero essere messi sotto chiave.
- I tuoi computer hanno tutti la crittografia dell’hard disk? Se no, al Red Team bastano 5 minuti per creare una backdoor nella tua macchina.
- Stai tenendo le chiavi di certi locali che contengono dati sensibili in armadietti poco sicuri e non protetti? Perché andremo all’Ikea o dal fornitore dell’arredamento a comprare tutte le chiavi. O in alternativa, useremo le maniere forti rompendoli.
Questi non sono tutti i trucchi che vengono usati ovviamente. Ma se rispondi a queste domande in modo corretto, sei più avanti della maggior parte delle aziende. E questo è un buon punto di partenza.
Sei interessato a sapere in cosa consiste un vero Red Team? Contatta un esperto di F-Secure.
Categorie