Mi piace osservare i venditori di prodotti per la sicurezza che si attaccano al Cybersecurity Awareness Month come opportunità per sensibilizzare i professionisti della cybersecurity alla sicurezza informatica. Lo trovo divertente e frustrante, perché lo scopo del Cybersecurity Awareness Month non è forse quello di sensibilizzare gli utenti finali alla cybersecurity e alla sicurezza informatica? Le ultime persone che hanno bisogno di una maggiore consapevolezza della cybersecurity sono i difensori che la vivono e la respirano tutto il giorno, tutti i giorni. Conoscete il vostro pubblico, per favore.
Due facce della medaglia della consapevolezza informatica dell'utente finale
Nel blog introduttivo di questa serie, ho proposto la nostra idea che esistono due facce della medaglia della consapevolezza informatica dell'utente finale. Da un lato c'è la consapevolezza dell'utente finale sull'adozione di pratiche informatiche sicure, dall'altro c'è la consapevolezza dell'utente finale sull'impatto umano diretto della mancata adozione di tali pratiche. A ogni errore innocente dell'utente finale, a ogni errore di valutazione o a ogni passo falso nella politica, corrisponde un altro essere umano, il difensore, che ha il compito di proteggere l'organizzazione nel suo complesso dal rischio di cadere vittima di un attacco informatico, e gli utenti finali devono sapere che ciò che fanno (o non fanno) ha un impatto diretto sul benessere di questa persona.
Lo chiamiamo il "dilemma dei difensori".
Nella nostra ricerca State of Threat Detection 2023, abbiamo quantificato quella che abbiamo definito la "spirale del di più" della sicurezza e ciò di cui gli utenti finali potrebbero non essere consapevoli è il modo in cui le loro azioni spesso innescano e alimentano questa spirale.
Più superficie di attacco, più esposizione
Gli aggressori sono intelligenti. Sanno che uno dei modi migliori per infiltrarsi in un'organizzazione è fare leva sulla natura umana. Che si chiami social engineering, phishing o vishing, anche l'utente finale più ben intenzionato e attento alla sicurezza può cadere vittima del fascino di un attaccante. Scattered Spider ha dimostrato di avere successo nel vishing degli amministratori IT per ottenere l'accesso e, grazie a tecnologie come l'IA generativa e i Large Language Models (LLM), la capacità degli aggressori di convincere gli utenti finali a impegnarsi, fare clic e/o divulgare le credenziali non potrà che migliorare. Cadere vittima dell'astuzia degli aggressori dà inizio alla spirale. Sono entrati e voi li avete invitati.
Maggiori spazi di visibilità, punti ciechi
Ora alcuni utenti finali potrebbero dire "oops" e confidare che il team di sicurezza si accorga dell'aggressore e lo fermi. Dopo tutto, "è il loro lavoro". Sono certo che i vostri collaboratori (difensori) apprezzano la fiducia e il voto di fiducia, ma non è sempre così. Quello che gli utenti finali devono sapere è che gli aggressori sono molto bravi ad assomigliare a voi, a fare quello che fate, a mascherarsi come voi per muoversi all'interno dell'organizzazione. Sono molto bravi ad assumere i ruoli di persone con privilegi più elevati dei vostri e questo è il momento in cui le cose peggiorano ulteriormente. Voi li avete invitati a entrare e loro vi hanno usato per ottenere un pass di accesso.
Più avvisi, più falsi positivi
Questa volta alcuni utenti finali potrebbero dire: "Non c'è problema, sono sicuro che la sicurezza riceverà qualche tipo di avviso o di segnalazione, ho visto dei film al riguardo". Gli utenti finali non si rendono conto che i vostri colleghi, i difensori, ricevono in media 4.484 avvisi al giorno. 4.484 cose da rivedere. Immaginate se il vostro elenco di cose da fare fosse lungo 4.484 voci ogni giorno. Ora, è umanamente impossibile esaminare 4.484 avvisi anche per il difensore più esperto, quindi il vostro team di sicurezza fa del suo meglio per esaminarne circa un terzo, e indovinate un po': l'83% di questo terzo di avvisi sono falsi allarmi, non prioritari, una perdita di tempo. Immaginate la frustrazione. Ci siamo passati tutti: lavorare a un progetto che qualcun altro considerava prioritario per poi scoprire che non ha prodotto alcun risultato. Immaginate di farlo ogni giorno, tutto il giorno, concentrati sulla protezione dell'organizzazione, per poi scoprire che il 17% del lavoro svolto aveva un significato.
Altri attacchi ibridi sconosciuti
So che alcuni utenti finali potrebbero pensare: "Non può essere così grave. Se le mie azioni fossero così negative, non saremmo sempre stati violati e sui giornali". Non così in fretta. Gli utenti finali potrebbero non rendersi conto di ciò che i difensori fanno dietro le quinte per tenere l'azienda lontana dai titoli dei giornali. Non è un compito facile. Gli aggressori sono abili a entrare, a mascherarsi da dipendenti e a nascondersi in una coda di allarmi di migliaia di persone. In effetti, il 97% dei difensori teme di perdere un evento di sicurezza rilevante perché nascosto tra gli avvisi. Inoltre, il 71% ritiene che l'organizzazione sia stata probabilmente compromessa e che loro non lo sappiano ancora. Un aspetto che rende il lavoro dei difensori così difficile è che spesso hanno a che fare con delle incognite, finché non diventano note, e allora inizia il vero lavoro. Gli utenti finali non si rendono conto che dietro le quinte i difensori lavorano instancabilmente per unire i puntini. Assemblano, aggregano e analizzano serie di dati eterogenei per diagnosticare il problema in questione, in modo da poter intervenire con sicurezza per impedire che si verifichi un'intromissione.
Attaccanti ibridi più emergenti e avanzati
"La violazione è stata evitata, la reputazione, le operazioni e le entrate sono rimaste intatte, quindi tutto va bene. Complimenti al team di sicurezza per aver fatto il suo lavoro", potrebbe dire un utente finale più supponente. Io dico di trovare un po' di empatia. Per ogni notte fonda, weekend in war room, tempo sacrificato in famiglia, c'è un altro attacco in corso, un altro attacco da difendere. Gli aggressori informatici cercano sempre di essere un passo avanti. Fanno ricerche su di voi, utilizzando il vostro profilo LinkedIn, l'attività sui social media, le informazioni disponibili pubblicamente, qualsiasi cosa su cui possano mettere le mani per ingannarvi e farvi entrare, e quando lo fate, questa spirale viziosa continua, cresce, accelera.
Più carico di lavoro, stress, ansia, burnout
So cosa stanno pensando gli utenti finali: "Tutti abbiamo un certo livello di aumento del carico di lavoro, di stress, di ansia, di burnout", e lo capisco e sono d'accordo: un motivo in più per avere un po' di empatia per i difensori. Quando la posta in gioco è così alta come per i difensori, prendere sul serio la consapevolezza della sicurezza informatica e adottare pratiche informatiche sicure aiuta. "Ma io sono solo una persona". Basta un solo errore innocente, un errore di valutazione o un passo falso nella politica per alimentare la spirale e scatenare il caos tra i vostri colleghi, quindi fate la vostra parte perché, in fin dei conti, proteggere l'organizzazione dagli aggressori è uno sport di squadra.