Tag
Protezione

Il rischio di cybersecurity che stai trascurando: il tuo ufficio.

Ingresso di un edificio di uffici con molte persone che entrano

Autori

Stephanie Carruthers

Chief People Hacker for IBM X-Force Red

Hai i filtri antispam più recenti e potenti su tutti gli account di posta elettronica. Strumenti di rilevamento e risposta degli endpoint su tutti i dispositivi dell'azienda. Un sistema di rilevamento e prevenzione delle intrusioni sorveglia le porte della tua rete, pronto a bloccare ogni pacchetto di dati sospetto che osa avvicinarsi.

I tuoi sistemi sono completamente blindati. Nessun hacker può accedervi.

Per quanto riguarda la porta di ingresso ai tuoi uffici, invece, la questione è ben diversa. Un malintenzionato potrebbe probabilmente varcarla senza sforzi.

So di cosa parlo. Lo so per esperienza. L'ho provato in prima persona.

Uno degli aspetti più divertenti del mio ruolo di Chief People Hacker di IBM è che posso occuparmi delle valutazioni della physical security. Fondamentalmente, mi introduco negli edifici dei clienti (con il loro permesso) per individuare eventuali falle nelle loro difese fisiche.  

E quando sono dentro, posso fare molti danni. Quel laptop incustodito nella sala relax? Puff, ora è mio, insieme all'accesso a tutti i documenti a cui può accedere il suo proprietario. Quei file riservati lasciati su una scrivania in un ufficio vuoto e aperto? Sono miei anche quelli.

La maggior parte di noi crede che la cybersecurity sia una questione puramente digitale. E non è sbagliato: la parola "cyber" nel nome fa pensare proprio a questo. Ma gli attacchi informatici possono in realtà iniziare proprio qui, nel mondo fisico, e non sto parlando di robot senzienti in cerca di vendetta (almeno, non ancora).

Sto parlando di estranei malintenzionati, e persino di insider malevoli, che possono compromettere i tuoi sistemi informatici direttamente all'interno degli uffici. Spesso la minaccia non è lì fuori, ma proviene dall'interno.

Con il ritorno delle persone in ufficio, questi attacchi fisici potrebbero diventare più comuni e più efficaci. Dopo anni di lavoro da remoto, molti di noi hanno dimenticato come tenere al sicuro il proprio ufficio.

Vediamo alcuni rischi fisici della cybersecurity e cosa possono fare le organizzazioni per difendersi. 

Uomo che guarda il computer

Rafforza la tua intelligence sulla sicurezza 


Rimani al passo con le minacce con notizie e insight su sicurezza, AI e altro ancora, ogni settimana con la newsletter Think. 


Anatomia di un'intrusione fisica

Le intrusioni fisiche possono manifestarsi in molti modi, ma in base alla mia esperienza, tendono a verificarsi in tre fasi:

  • Fase 1: raccolta di informazioni
  • Fase 2: accesso
  • Fase 3: esecuzione dell'attacco

Analizziamo queste fasi.

Fase 1: raccolta di informazioni

La prima fase di una valutazione fisica di IBM X-Force è la raccolta di informazioni sugli obiettivi. Naturalmente, non chiediamo queste informazioni al cliente, perché non ne abbiamo bisogno. È incredibile quello che si può scoprire su un'azienda semplicemente osservando i suoi dipendenti nella loro vita quotidiana.

Ad esempio, potrei visitare l'account Instagram dell'azienda per cercare foto dei dipendenti. Indossano un'uniforme? Hanno un abbigliamento particolare? Queste sono informazioni che posso usare per mimetizzarmi tra loro. (E magari tutti pensavano, anzi, speravano, che nessuno avrebbe mai guardato le foto della festa di Natale in ufficio).

Se sono molto fortunato, potrei intravedere il badge di un dipendente, che mi aiuterà a creare un falso convincente. Non mi farà entrare, ma mi aiuterà a non attirare l’attenzione mentre giro per il campus.

Potrei trovare un elenco di venditori sul sito web dell'azienda e impersonare il fattorino che effettua le consegne per l'ufficio.

Potrei persino recarmi in sede e fare un piccolo appostamento. Quali porte usano i dipendenti? Ci sono ingressi separati per il pubblico? Ci sono gli addetti alla sicurezza? Dove sono posizionati?

Anche i dettagli apparentemente più insignificanti possono tornare utili. Ad esempio, potrei scoprire i giorni in cui viene raccolta la spazzatura. È strano, lo so, ma ha un senso: se il giorno della raccolta è il mercoledì, tornerò martedì sera perché so che la spazzatura è piena. Ciò significa che avrò buone probabilità di trovare una password scarabocchiata su un post-it, o un promemoria riservato che qualcuno non si è preoccupato di distruggere.

(So che avverti la mia minaccia in questo momento. Lo sento attraverso lo schermo. Ma è una parte del mio lavoro, e non sono neanche felice di farla. Quindi, se potessi semplicemente distruggere i tuoi documenti sensibili, sarebbe perfetto per me. Davvero).

Fase 2: accesso

Vorrei poter dire che faccio acrobazie alla James Bond per intrufolarmi nelle aziende dei miei clienti, ma la verità è che di solito entro dalla porta principale come tutti gli altri. Questo è un metodo di attacco chiamato "tailgating".

Il tailgating si verifica quando un malintenzionato segue una persona autorizzata in un'area protetta. Pensiamo a un edificio di uffici: i dipendenti spesso hanno bisogno di una sorta di badge o di un dispositivo per aprire la porta. Se sei tu l'autore dell'attacco, ovviamente non ne avrai uno. Quindi, quello che puoi fare è camminare a fianco di un dipendente sperando che, quando entra con il badge, tenga la porta aperta o tu possa bloccarla prima che si chiuda.

A quanto pare, il tailgating è molto efficace. Le persone sono educate! Anche quando sanno che non dovresti essere lì, la maggior parte di loro non dice nulla. Sarebbe spiacevole farlo. E l'ingegneria sociale conta esattamente su questo tipo di risposta fin troppo umana.

Questo non vuol dire che i criminali non si introducano mai negli edifici alla vecchia maniera. Solo che non ne hanno davvero bisogno.

Fase 3: esecuzione dell'attacco

Quando entro, di solito rubo qualcosa. (O meglio, faccio finta di rubare qualcosa). I documenti e i dispositivi sensibili lasciati incustoditi sono i miei obiettivi principali, ma non è tutto. Potrei usare il badge di un dipendente o un mazzo di chiavi dell'edificio per entrare in altre stanze e rientrare in un secondo momento se devo andarmene.

Se riesco a mettere le mani su un dispositivo aziendale, posso accedere alla rete aziendale. Posso spacciarmi per il proprietario del dispositivo e inviare e-mail di phishing dal suo account. Posso introdurre file dannosi nelle directory aziendali.

Un'altra cosa divertente che posso fare è lasciare unità USB piene di malware (cioè, falsi malware) in giro per l'edificio.

Le persone sono davvero curiose: quando vedono un'unità USB a caso, sentono il bisogno di collegarla e vedere cosa c'è dentro. Forse sono dei buoni samaritani che cercano di scoprire l'identità del proprietario. Forse sono solo ficcanaso. In ogni caso, sono nei guai. Quell'unità USB infetterà segretamente i loro dispositivi con qualcosa di spiacevole, come un keylogger o un ransomware

Mixture of Experts | 12 dicembre, episodio 85

Decoding AI: Weekly News Roundup

Unisciti al nostro gruppo di livello mondiale di ingegneri, ricercatori, leader di prodotto e molti altri mentre si fanno strada nell'enorme quantità di informazioni sull'AI per darti le ultime notizie e gli ultimi insight sull'argomento.
Guarda tutti gli episodi di Mixture of Experts

Tre strategie per evitare che i malintenzionati si introducano nel proprio edificio

In ogni valutazione fisica, di solito cerco di vedere quanto tempo ci vuole prima che qualcuno mi fermi. 

Ricordo una valutazione in cui ci sono volute quattro ore prima che la sicurezza iniziasse a cercarmi, anche se una dipendente aveva notato che la seguivo nell'edificio. (E sono comunque sgattaiolato fuori prima che mi trovassero).

Il punto è che le nostre pratiche di physical security sono spesso piuttosto scadenti. Ecco cosa fare al riguardo:

Mettere in discussione le proprie certezze

Sappiamo tutti cosa succede quando si dà per scontato qualcosa, giusto?

Questo rende molto più facile il lavoro di un malintenzionato.

Uno degli errori più grandi che le persone commettono in materia di physical security è quello di dare per scontato che siano state implementate tutte le protezioni necessarie. E sto parlando di cose semplici, come presumere che la "porta a chiusura automatica" si blocchi effettivamente automaticamente. O che le persone usino i distruggi documenti. O che i dipendenti fermino dei perfetti sconosciuti nel corridoio per chiedere cosa stanno facendo.

Poi entro ed ecco cosa trovo: la serratura della porta non funzionava bene da molto tempo. La gente getta i documenti riservati insieme al resto della spazzatura. Vede uno sconosciuto nel corridoio e pensa: "Non sono affari miei".

Tutte queste piccole falle si sommano, consentendo ai malintenzionati di portare a termine attacchi sofisticati sotto gli occhi di tutti. (Vedi il mio post precedente su quando ho ingannato una receptionist convincendola a collegare una chiavetta USB non verificata al suo computer, mentre la sicurezza era proprio dietro di me e mi cercava).

Consiglio alle organizzazioni di non dare per scontato nulla. Verificate che le porte siano davvero chiuse. Non fidatevi solo della lucina rossa sul lettore badge: tirate la maniglia. Dite chiaramente alle persone quali documenti distruggere. E se vedete uno sconosciuto, non abbiate paura di chiedergli cosa sta facendo. (Potete farlo anche educatamente: "Ehi, vedo che non hai il badge visitatore. Lascia che ti accompagni dagli addetti alla sicurezza, altrimenti continueranno a fermarti!") 

Offrire una migliore formazione sulla physical security

La formazione sulla cybersecurity dovrebbe soffermarsi di più sulla physical security. Potrebbe non essere la via di attacco più comune, ma è una lacuna nella difesa di molte organizzazioni.

Pensiamo ai tipici corsi di formazione sulla cybersecurity. Se c'è qualcosa sulla physical security (ed è raro), di solito non va oltre il "Non farti rubare il laptop aziendale".

La physical security dovrebbe essere trattata con la stessa attenzione riservata ad altri argomenti. Ad esempio, i corsi di formazione spesso trattano i segnali d'allarme nei messaggi di phishing, come errori grammaticali e richieste urgenti. Perché non insegnare ai dipendenti a riconoscere i segnali d'allarme nei visitatori in ufficio, come ad esempio quando si aggirano senza badge e senza accompagnatore?

Più le istruzioni sono esplicite, meglio è. Prendiamo ad esempio il tailgating. Dire semplicemente alle persone di non far entrare estranei nell'edificio non le rende in grado di reagire a un vero tailgater.

Invece, dovrebbero sapere esattamente qual è il processo da seguire quando individuano un estraneo. Basta una semplice domanda: "Sei qui per vedere qualcuno?" Ti accompagno ai controlli di sicurezza così puoi fare il check-in". Se hai a che fare con un vero visitatore, apprezzerà il tuo aiuto. Se hai a che fare con un malintenzionato, probabilmente interromperà la missione quando capirà di essere stato individuato.

Dobbiamo poi ricordare cosa accade quando si dà qualcosa per scontato. Anche il più piccolo dettaglio merita di essere trattato nella formazione sulla physical security. È necessario dire chiaramente alle persone di proteggere dati e dispositivi sensibili. Assicurarsi che siano a conoscenza dei distruggi documenti. Istruirle sui pericoli delle chiavette USB non identificate.

Allestire uno spazio apposito per facilitare la physical security

È anche importante rendere il più semplice possibile per i dipendenti seguire le policy, i processi e le best practice in materia di physical security, assicurandosi che abbiano a portata di mano le risorse di cui hanno bisogno.

Ad esempio, consiglio di tenere a portata di mano su ogni scrivania e su ogni dispositivo il numero di telefono e l'indirizzo e-mail di tutti i referenti della sicurezza. In questo modo, se succede qualcosa, i dipendenti sanno subito a chi segnalarlo. Dovrebbe anche essere facile condurre fisicamente i visitatori ai controlli di sicurezza, quindi si può prendere in considerazione l'installazione di un banco apposito.

I dipendenti, inoltre, devono disporre dei mezzi giusti per proteggere i propri dispositivi e documenti, come armadietti personali, schedari con serratura e lucchetti per computer su ogni scrivania.

La cybersecurity inizia con la physical security

Gli attacchi informatici non avvengono solo online, quindi non si può fare affidamento solo sulle difese digitali.

Se c'è una lezione importante da imparare, forse è questa: per la physical security, i piccoli dettagli contano tanto quanto il quadro generale, o forse anche di più.

Naturalmente, è necessaria una strategia di physical security globale, che sia a sua volta legata a una strategia di cybersecurity globale. Ma non è necessariamente una mancanza di pensiero strategico a rendere le organizzazioni vulnerabili agli attacchi fisici. Spesso è una questione di praticità: le persone sanno esattamente cosa fare per difendersi dalle minacce fisiche, e hanno gli strumenti per farlo?

Mettendo in discussione le proprie certezze, investendo in una formazione migliore e dotando il personale delle risorse giuste, è possibile sventare molti potenziali attacchi. Il mio lavoro diventerebbe molto più difficile, ma il mondo diventerebbe molto più sicuro.

Quindi ne vale certamente la pena. 
Soluzioni correlate
Soluzioni di sicurezza aziendale

Trasforma il tuo programma di sicurezza con le soluzioni offerte dal più grande provider di sicurezza aziendale.

 Esplora le soluzioni di cybersecurity
Servizi di cybersecurity

Trasforma il tuo business e gestisci i rischi con la consulenza sulla cybersecurity, il cloud e i servizi di sicurezza gestiti.

         Scopri i servizi di sicurezza informatica
    Cybersecurity dell'intelligenza artificiale (AI)

    Migliora la velocità, l'accuratezza e la produttività dei team di sicurezza con soluzioni di cybersecurity basate sull'AI.

         Esplora la cybersecurity dell'AI
    Fai il passo successivo

    Che tu abbia bisogno di soluzioni di sicurezza dei dati, di gestione degli endpoint, o di gestione delle identità e degli accessi (IAM), i nostri esperti sono pronti a collaborare con te per farti raggiungere un solido livello di sicurezza.Trasforma il tuo business e gestisci i rischi con un leader a livello globale nel campo della consulenza per la cybersecurity, del cloud e dei servizi di sicurezza gestiti.

         Esplora le soluzioni di cybersecurity Scopri i servizi di cybersecurity