In materia di cybersecurity non esistono schemi fissi: le tecniche e i metodi d’attacco messi in campo dai cyber criminali cambiano continuamente, per adattarsi ai nuovi scenari tecnologici e all’evoluzione degli ambienti aziendali. Ecco perché intendere la sicurezza come un elenco di caselle da spuntare spesso non paga. Per contrastare davvero gli attaccanti, bisogna iniziare a pensare come loro. Serve un hacker mindset!
Capovolgere la prospettiva, insomma, per vederci più chiaro. È quello che si intende quando si parla di “hacker mindset”, l’approccio alla sicurezza che suggerisce di adottare la mentalità dell’hacker invece di aspettare di vederlo in azione. Fare proprio questo mindset vuol dire adottare un punto di vista esterno sulla propria azienda, puntando sull’analisi e sul monitoraggio continuo non solo della propria superficie di attacco, ma anche del panorama delle minacce e dei rischi presenti sul dark web.
Comprendere le tattiche messe in atto più comunemente durante un attacco, aggiornare regolarmente le competenze degli analisti e le conoscenze del personale sulle minacce e sui rischi presenti in rete e soprattutto scandagliare l’ambiente aziendale alla ricerca delle vulnerabilità esistenti è la chiave per proteggere il perimetro dell’organizzazione e prevenire le violazioni.
Pensare come un attaccante per difendersi meglio
Adottare un hacker mindset aiuta i responsabili della sicurezza ad anticipare i potenziali punti di accesso che espongono l’organizzazione alle violazioni, mettendoli in condizione di poter costruire per tempo una difesa efficace. Questo processo inizia, infatti, dalla comprensione delle tecniche, tattiche e procedure che gli attaccanti utilizzano per violare i sistemi e spostarsi da un punto all’altro della rete aziendale. Anche perché nella maggior parte dei casi le vulnerabilità non sono isolate. Ogni falla è collegata ad un’altra, come in una catena, e ne porta con sé altre. I cyber criminali lo sanno e sono soliti combinare più vulnerabilità per crearsi un percorso di attacco completo fino alla metà. Gli analisti della sicurezza devono perciò essere in grado di seguire le loro tracce per ricostruire il piano originario. Identificando i percorsi critici che gli attaccanti potrebbero seguire, dalla fase di ricognizione dell’ambiente aziendale e delle sue vulnerabilità fino allo sfruttamento delle stesse e agli effetti concreti sulla rete, i responsabili della sicurezza possono prevedere possibili scenari di attacco, testare l’intero ambiente, stabilire le priorità e porre rimedio in modo efficace alle falle esistenti.
Testare la reale efficacia degli strumenti e delle procedure di sicurezza è, dunque, essenziale. Non si tratta solo di capire se i rilevamenti dell’EDR sono puntuali o se la risposta del SOC è tempestiva, ma anche di verificare l’efficacia complessiva delle difese messe in campo. È importante analizzare i rischi a cui è esposta l’azienda, prendendo in considerazione l’architettura informatica, i processi di business e la struttura dell’organizzazione. Serve, in altre parole, un “check up” completo della postura di sicurezza aziendale: controllo degli accessi, policy sulla privacy, sicurezza degli ambienti produttivi, gestione della supply chain. Ogni elemento conta per determinare il livello di rischio informatico a cui è esposta l’azienda. Se i tradizionali strumenti di simulazione degli attacchi sono fondamentali per verificare la permeabilità della rete rispetto alle minacce note, occorre anche testare come si comporterebbe l’organizzazione di fronte a una minaccia sconosciuta. Scegliere la prospettiva dell’avversario, adottando un hacker mindset, consente di mettere alla prova tutti gli scenari e tutte le minacce possibili: password deboli, dati esfiltrati e pubblicati sul dark web, errori di configurazione, shadow IT. Queste lacune di sicurezza, spesso non note all’organizzazione, sono le più difficili da individuare per gli analisti e perciò sono anche quelle più ricercate dai cybercriminali. Imparare a riconoscerle, come farebbe un hacker, è il modo migliore per ridurre il rischio.Migliorare la sicurezza con un “cyber-checkup”
