Un buon analista delle minacce informatiche sa quando è il momento del BLUF 

Nel mondo della cybersecurity, il modo in cui diciamo qualcosa conta tanto quanto ciò che diciamo, o forse anche di più. 

Facciamo un esperimento mentale per illustrare meglio questo punto:

Poniamo il caso che tu sia il CEO di uno dei più grandi oleodotti del Paese. Sei stato convocato a un briefing di threat intelligence perché i tuoi analisti hanno trovato alcune minacce informatiche gravi che potrebbero impattare sulla tua Organizzazione.

A quale di queste darai priorità?  

• Minaccia 1: "Un gruppo di ransomware ha preso di mira altre società energetiche, bloccando dati critici fino a quando l'azienda non avrà pagato un riscatto. Se questo ransomware dovesse compromettere la nostra rete, stimiamo che potrebbe crittografare fino a 100 GB dei nostri dati".

• Minaccia 2: "Un malware altamente distruttivo ha colpito diversi sistemi infrastrutturali critici negli ultimi mesi, mettendo offline i servizi principali. Se penetra nella nostra rete, stimiamo che questo malware chiuderebbe l'intera pipeline per una settimana".

È una domanda trabocchetto. Entrambe le minacce descrivono lo stesso attacco: l'attacco ransomware Colonial Pipeline del 2021, il più grande attacco informatico alle infrastrutture petrolifere nella storia degli Stati Uniti. Gli hacker hanno chiuso l'oleodotto che trasporta il 45% del carburante della costa orientale e hanno spinto le vittime a pagare un riscatto di 4,4 milioni di dollari. (Alla fine il Dipartimento di Giustizia ha recuperato una parte del riscatto.)

Puoi notare come, nonostante descrivano lo stesso attacco, queste segnalazioni di minacce non sembrino altrettanto urgenti. La minaccia 1 è grave, sì, ma la minaccia 2 richiede una risposta immediata da parte di tutti.

La minaccia 2 è molto più urgente perché enfatizza l'impatto aziendale dell'attacco piuttosto che i dettagli tecnici. Purtroppo, gli analisti delle minacce spesso interpretano questi due casi al contrario, creando un profondo divario di comunicazione tra cybersecurity e business.  

Questo divario è più di un semplice inconveniente: può infatti lasciare l'organizzazione esposta a attacchi di tutti i tipi. 

Tutti.

Da un lato, noi professionisti di cybersecurity non sempre esprimiamo i nostri insight in termini commerciali. Spesso adottiamo un approccio più tecnico, enfatizzando l'essenza delle cose: i nomi degli attori delle minacce e dei ceppi di malware, IOC, punteggi CVE e CVSS e un muro impenetrabile di acronimi ultra specialistici.

Questi nomi significano molto per noi come professionisti, ma non vogliono dire quasi niente per i leader aziendali che vogliamo formare. 

Inoltre, quegli stessi dirigenti aziendali potrebbero avere idee poco chiare sul ruolo della cybersecurity e sulla reale portata del suo valore. La cybersecurity viene spesso considerata un semplice elenco di caselle da spuntare, una serie di regole da rispettare per evitare multe o ottenere una certificazione. 

Questa mentalità rende la sicurezza poco più di un'altra voce del budget, un centro di costo piuttosto che un risparmio o addirittura un vantaggio competitivo. 

Di conseguenza, quando ci sediamo al tavolo delle conferenze, finiamo per chiacchierare e basta. Qui però ci sono conseguenze materiali da considerare. Se la sicurezza non è in grado di comunicare le minacce in un linguaggio comprensibile, l'azienda potrebbe sottovalutare i rischi o negare determinati investimenti in sicurezza perché "non ne vale la pena".

Fino a quando non succede il disastro. 

Ma a nessuno piace sentirsi dire "Te l'avevo detto". Di certo non ti farà guadagnare amicizie tra i dirigenti aziendali. 

Ancora una volta, i professionisti della cybersecurity non sono del tutto responsabili di questa lacuna. Tuttavia, siamo nella posizione giusta per colmarla.

Se comunichiamo in termini comprensibili dai dirigenti, possiamo allineare meglio l'intera organizzazione sulle priorità di gestione delle minacce e sui controlli di sicurezza.

Questo allineamento, a sua volta, rende più facile per il team di sicurezza ricevere supporto in base ai propri consigli. Con il tempo, man mano che questi investimenti in sicurezza danno i loro frutti, l'azienda inizierà a vedere la sicurezza come un vero elemento di creazione del valore. 

Ecco quattro modifiche alla comunicazione che i team di cybersecurity possono apportare per iniziare a colmare questo divario: 

È facile concentrarsi su ciò che potrebbe accadere: attacchi che potrebbero concretizzarsi, sistemi che potrebbero essere vulnerabili, attori delle minacce che potrebbero insorgere. 

I dirigenti aziendali tendono ad essere più interessati a ciò che è già successo: attacchi che siamo riusciti a prevenire e vulnerabilità che abbiamo corretto.

Per certi versi, questo è un aspetto positivo. Innanzitutto, è un segno di fiducia nel team di sicurezza. I dirigenti aziendali non hanno bisogno di conoscere tutte le possibilità perché si fidano di noi per prevenirle la maggior parte, se addirittura non tutte. 

Questo ci consente anche di promuovere maggiormente le nostre vittorie, di dimostrare il nostro valore spiegando come abbiamo difeso l'organizzazione dai pericoli. 

Detto questo, qui si apre il primo punto di intervento. Anche se vogliamo enfatizzare ciò che è successo nella realtà, non possiamo abbandonare totalmente il reame delle possibilità. Dopotutto, parte del nostro compito è identificare le nuove minacce informatiche e mettere in atto le giuste misure di sicurezza per fermarle.

Ecco un possibile approccio da adottare per bilanciare questi fattori:

Quando si presenta una nuova minaccia informatica, identifica la probabilità che ti colpisca e il potenziale impatto. Quindi, identifica tutte le misure a disposizione per affrontarla senza dover richiedere autorizzazioni o nuove risorse, quindi implementale. Valuta in che modo queste misure riducono la probabilità e l'impatto della minaccia, quindi determina il suo livello di rischio complessivo. 

Le minacce ad alto rischio probabilmente richiederanno più risorse e devono essere portate all'attenzione dei leader aziendali.  Le minacce a basso rischio possono essere inserite in un elenco supplementare o menzionate più rapidamente, ma non devono occupare tempo prezioso durante le riunioni.  

A proposito di impatto delle minacce: è meglio ancorare i report e le stime di impatto a numeri reali e conseguenze aziendali concrete.

Noi professionisti della sicurezza a volte diamo per scontato che le vulnerabilità siano palesemente gravi. Se c'è un difetto in un sistema, vogliamo risolverlo perché è un difetto. 

Ma, al di fuori del reparto di security, la semplice esistenza di una vulnerabilità potrebbe non essere una motivazione sufficiente.

In parte, ciò è dovuto al fatto che spesso discutiamo delle vulnerabilità in termini astratti: "Il nostro sistema è vulnerabile ai nuovi ceppi di ransomware che aggirano molti dei nostri controlli esistenti. Proponiamo di implementare nuove protezioni dai ransomware al costo di 200.000 dollari".  

Una raccomandazione ragionevole, ma 200.000 dollari sono tanti. I decisori potrebbero essere contrari a un investimento del genere, soprattutto se l'unica giustificazione è qualcosa di vago come "fermare i ransomware".

Proviamo invece a inquadrare il problema così: "Il nostro sistema è vulnerabile ai nuovi ceppi di ransomware. Abbiamo analizzato gli incidenti avvenuti in organizzazioni simili e questi attacchi ransomware costano in media 2 milioni di dollari al giorno a causa di una combinazione di perdita di affari e costi di correzione. Proponiamo di implementare nuove protezioni dai ransomware al costo di 200.000 dollari". 

Ora, stiamo sempre parlando di spendere 200.000 dollari ma non per "fermare i ransomware", bensì per impedire all'organizzazione di perdere 2 milioni di dollari al giorno. Così sembra un buon affare. 

Noi professionisti di cybersecurity tendiamo a esagerare con la prudenza. Tuttavia, per molte aziende il livello ottimale di rischio non è pari a zero. 

Pensiamo alla classica triade della sicurezza delle informazioni stilata dalla CIA, secondo la quale un sistema informatico sicuro richiede riservatezza, integrità e disponibilità. 

In altre parole: i dati e i sistemi sensibili devono essere protetti, ma anche disponibili per l'uso da parte dei dipendenti. Questo equilibrio è difficile da trovare. Protezioni troppo rigorose possono garantire la sicurezza dei sistemi, ma il danno alla produttività non sempre ne vale la pena.

Uno di noi, per esempio, lavorava in una società di media che preferiva limitazioni piuttosto lasse sui tipi di dipendenti tecnologici utilizzati. Questa politica apriva opportunità per lo shadow IT non gestito e la navigazione a rischio, ma permetteva anche ai dipendenti di effettuare ricerche rapide e dinamiche su store in via di sviluppo. Questa attività era fondamentale per il business model dell'azienda, quindi l'organizzazione era disposta ad accettare i rischi che ne derivavano.  

Con una comprensione condivisa di cosa significa il rischio, i team di cybersecurity possono perseguire tattiche e strumenti che soddisfino le esigenze di sicurezza senza interrompere le operazioni. 

Si noti che allinearsi sulla tolleranza al rischio non significa che la cybersecurity sia sempre disposta a piegarsi al business. I team di cybersecurity possono e devono utilizzare la loro esperienza per influenzare la comprensione del rischio da parte dell'azienda.

Uno di noi ricorda un particolare briefing di threat intelligence nel quale un attacco specifico era stato identificato come a basso rischio. Un dirigente ha respinto questa valutazione ritenendo che il livello di rischio dovesse essere più alto, considerato che l'organizzazione aveva già subito questo tipo di violazione in passato.

Il team di threat intelligence aveva sottolineato che, dal primo incidente, il panorama era cambiato: l'organizzazione aveva installato protezioni che riducevano la probabilità e la gravità di un attacco del genere. Inoltre, di recente, la minaccia non aveva preso di mira organizzazioni come questa azienda.   

Il dirigente ha ascoltato il caso e ha accettato la valutazione di basso rischio. Se non ci fossimo presi il tempo necessario per allinearci sul rischio, avremmo finito per dedicare tempo e risorse a una minaccia che avrebbe causato pochi danni.

Quest'ultimo punto è il più semplice, ma forse quello più d'impatto. Non richiede né cambiamenti di mentalità né reindirizzamenti strategici. Si tratta piuttosto di un piccolo cambiamento strutturale nel modo in cui scriviamo i report.

Stiamo parlando di BLUF, acronimo di "bottom line up front", ovvero di "mettere il risultato finale in primo piano".

Soprattutto nei circoli di threat intelligence, abbiamo l'abitudine di produrre report lunghi e ultra dettagliati di 20, forse 30 pagine, che comprendono approfondimenti su tutte le nuove informazioni che vogliamo condividere.

Per noi potrà essere molto interessante, ma molti dirigenti, vedendoli, penseranno: "no grazie, troppo lungo!" 

Quando si fa BLUF, si inizia dai risultati finali: ecco cosa è successo. Ecco di cosa dobbiamo preoccuparci. Ecco la nostra valutazione della situazione e cosa secondo noi dovremmo fare al riguardo.

Il resto del report può comunque rappresentare un approfondimento per i lettori che lo desiderano. Ma un riassunto digeribile, basato su dettagli pertinenti e concreti, è spesso sufficiente per consentire ai leader aziendali di prendere una decisione informata. 

Per colmare il divario nelle comunicazioni di cybersecurity, ciò che dobbiamo fare è tradurre i termini tecnici del nostro mestiere in un linguaggio di urgenza e impatto comprensibile per i leader aziendali.

Modificando il nostro approccio alla comunicazione, possiamo anche cambiare la percezione della sicurezza da parte dell'azienda: da un semplice elemento in una lista a un investimento critico che aiuta l'organizzazione a operare, innovare e prosperare.