Mi piace osservare come i responsabili marketing dei fornitori di soluzioni di sicurezza sfruttino il Mese della sensibilizzazione alla sicurezza informatica come un'opportunità per rendere i professionisti della sicurezza informatica più consapevoli della sicurezza informatica. Lo trovo divertente e frustrante perché lo scopo del Mese della sensibilizzazione alla sicurezza informatica non è forse quello di rendere gli utenti finali più consapevoli della sicurezza informatica e della sicurezza cibernetica? Le ultime persone che hanno bisogno di una maggiore consapevolezza in materia di sicurezza informatica sono proprio i difensori che la vivono e la respirano tutto il giorno, ogni giorno. Conoscete il vostro pubblico, per favore.
I due lati della medaglia della consapevolezza informatica dell'utente finale
Nel blog introduttivo a questa serie, ho esposto il nostro punto di vista secondo cui la consapevolezza informatica degli utenti finali presenta due facce. Da un lato c'è la consapevolezza degli utenti finali riguardo all'adozione di pratiche informatiche sicure, dall'altro c'è la consapevolezza degli utenti finali dell'impatto diretto che il mancato rispetto di tali pratiche ha sulle persone. Ogni errore innocente, errore di valutazione o violazione delle politiche da parte di un utente finale ha ripercussioni su un'altra persona, il difensore, che ha il compito di proteggere l'organizzazione nel suo complesso dal rischio di cadere vittima di un attacco informatico, e gli utenti finali devono sapere che ciò che fanno (o non fanno) ha un impatto diretto sul benessere di quella persona.
Lo chiamiamo il "dilemma dei difensori".
Nella nostra ricerca "Stato dell'arte del rilevamento delle minacce 2023", abbiamo quantificato ciò che abbiamo definito la "spirale dell'eccesso" della sicurezza e ciò di cui gli utenti finali potrebbero non essere consapevoli è come le loro azioni spesso innescano e alimentano questa spirale.
Più superficie di attacco, più esposizione
Gli aggressori sono astuti. Sanno bene che uno dei modi migliori per infiltrarsi in un'organizzazione è quello di sfruttare la natura umana. Che si tratti di ingegneria sociale, phishing o vishing, anche l'utente finale più ben intenzionato e attento alla sicurezza può cadere vittima del fascino di un aggressore. Scattered Spider dimostrato di avere successo nel vishing degli amministratori IT per ottenere l'accesso e, con tecnologie come l'IA generativa e i modelli linguistici di grandi dimensioni (LLM), la capacità degli aggressori di convincere gli utenti finali a commettere, cliccare e/o divulgare le credenziali non potrà che migliorare. Cadere vittima dell'astuzia degli aggressori dà inizio a una spirale. Sono entrati e li avete invitati voi.
Maggiori lacune di visibilità, punti ciechi
Ora, alcuni utenti finali potrebbero dire "ops" e confidare nel fatto che il team di sicurezza individui l'autore dell'attacco e lo blocchi. Dopotutto, "è il loro lavoro". Sono certo che i vostri colleghi (i difensori) apprezzino la fiducia e il voto di fiducia, ma non è sempre così. Ciò che gli utenti finali devono sapere è che gli aggressori sono molto bravi a sembrare voi, a fare ciò che fate voi, a mascherarsi da voi per muoversi all'interno dell'organizzazione. Sono davvero bravi ad assumere i ruoli di persone con privilegi superiori ai vostri ed è qui che le cose peggiorano ulteriormente. Li avete invitati voi e ora vi hanno usato per ottenere un pass di accesso illimitato.
Più avvisi, più falsi positivi
Questa volta alcuni utenti finali potrebbero dire: "Va bene, sono sicuro che la sicurezza riceverà qualche tipo di avviso o segnalazione: l'ho visto nei film". Gli utenti finali non si rendono conto che i loro colleghi, i difensori, ricevono in media 4.484 avvisi al giorno. 4.484 cose da esaminare. Immaginate se la vostra lista di cose da fare fosse lunga 4.484 voci ogni giorno. Ora, è umanamente impossibile esaminare 4.484 avvisi anche per il difensore più esperto, quindi il vostro team di sicurezza fa del suo meglio per esaminarne circa un terzo, e indovinate un po': l'83% di quel terzo di avvisi sono falsi allarmi, non prioritari, una perdita di tempo. Immaginate la frustrazione. Ci siamo passati tutti: lavorare su un progetto che qualcun altro ha ritenuto prioritario solo per scoprire che non ha prodotto alcun risultato. Ora immaginate di farlo ogni giorno, tutto il giorno, concentrandovi sulla protezione dell'organizzazione solo per scoprire che il 17% del lavoro che avete svolto ha avuto un significato.
Altri attacchi ibridi sconosciuti
So che alcuni utenti finali potrebbero pensare: "Non può essere così grave. Se le mie azioni fossero così gravi, non saremmo costantemente oggetto di violazioni e finiremmo sui giornali". Non è così semplice. Ciò che gli utenti finali potrebbero non rendersi conto è ciò che i difensori stanno facendo dietro le quinte per evitare che l'azienda finisca sui giornali. Non è un compito facile. Gli aggressori sono abili nell'introdursi, mascherandosi da dipendenti e nascondendosi in una coda di avvisi che ne conta migliaia. Infatti, il 97% dei difensori teme di perdere un evento di sicurezza rilevante perché sepolto tra gli avvisi. Inoltre, il 71% ritiene che l'organizzazione sia stata probabilmente compromessa e che ancora non lo sappia. Una cosa che rende il lavoro dei difensori così difficile è che spesso hanno a che fare con incognite: finché queste non vengono alla luce, il vero lavoro non può iniziare. Gli utenti finali non si rendono conto che dietro le quinte i difensori lavorano instancabilmente per collegare i puntini. Assemblano, aggregano e analizzano set di dati disparati per diagnosticare il problema in questione, in modo da poter agire con sicurezza per impedire che si verifichi qualsiasi evento degno di nota.
Attaccanti ibridi avanzati sempre più emergenti
"Il titolo del giornale sulla violazione è stato evitato, la reputazione, le operazioni e le entrate sono intatte, quindi va tutto bene. Complimenti al team di sicurezza per aver fatto il proprio lavoro", potrebbe dire un utente finale più opinabile. Io dico di trovare un po' di empatia. Per ogni notte in bianco, ogni weekend trascorso in sala operativa, ogni momento sacrificato con la famiglia, c'è un altro attacco in arrivo, un altro attacco da respingere. La caratteristica dei cybercriminali è che cercano sempre di stare un passo avanti. Fanno ricerche su di voi, utilizzando il vostro profilo LinkedIn, la vostra attività sui social media, le informazioni disponibili pubblicamente, tutto ciò su cui riescono a mettere le mani per ingannarvi e convincervi a farli entrare, e quando lo fate, questa spirale viziosa continua, cresce, accelera.
Più carico di lavoro, stress, ansia, esaurimento
So cosa pensano gli utenti finali: "Tutti noi abbiamo un certo livello di aumento del carico di lavoro, stress, ansia, esaurimento", e lo capisco e sono d'accordo: un motivo in più per provare empatia nei confronti dei difensori. Quando la posta in gioco è così alta come lo è per i difensori, prendere sul serio la consapevolezza della sicurezza informatica e adottare pratiche informatiche sicure aiuta. "Ma io sono solo una persona". Basta un solo errore innocente, un errore di valutazione o un'inosservanza delle politiche per alimentare la spirale e causare il caos tra i tuoi colleghi, quindi fai la tua parte perché, in fin dei conti, proteggere l'organizzazione dagli aggressori è un lavoro di squadra.