“Ci basta essere fortunati una sola volta, tu devi esserlo sempre”.
Questa frase viene attribuita all’IRA dopo un fallito attentato alla vita di Margaret Thatcher. Non è una citazione di classe, ma colpisce nel segno.
Il significato è semplice: quando la posta in gioco è alta, i tentativi ripetuti aumentano il rischio in modo cumulativo. Questo è il vantaggio dell’attaccante.
Il vantaggio dell’attaccante
Hai ricevuto un’email e l’hai correttamente identificata come spear-phishing.
Qualcuno sta prendendo di mira la tua organizzazione, ma questa volta hai evitato il disastro. Ottimo lavoro!
Ora però chiediti:
- Riuscirai a identificare tutti i tentativi futuri provenienti dalla stessa fonte?
- Tutto il personale dell’azienda farà lo stesso, ogni singola volta?
Questo è il vantaggio dell’attaccante: gli basta avere successo una sola volta. È limitato solo dalla determinazione e dalla volontà.
Sì, prima o poi si arrenderà e passerà a un’altra vittima, ma qualcun altro prenderà il suo posto.
Le probabilità sono chiaramente contro di te. Un solo errore può causare un disastro, e gli esseri umani commettono errori.
E questo è solo phishing. Esistono molte altre tecniche che un attaccante può usare per violare il perimetro, tecniche di cui tu o i tuoi colleghi potreste non essere nemmeno consapevoli e contro cui non avete gli strumenti necessari.
Il punto chiave è questo: indipendentemente da quanto siano solide le difese, puoi lanciare i dadi solo un numero limitato di volte prima che la fortuna finisca. E stai giocando alla roulette russa.
Il vantaggio del difensore
Se l’attaccante ha potenzialmente tentativi illimitati per superare il perimetro, una volta entrato la situazione si ribalta: ora, paradossalmente, è il difensore ad avere il vantaggio.
La violazione del perimetro è solo una fase dell'attacco. Da lì in poi l’attaccante deve muoversi lateralmente, aumentare i privilegi e farlo senza farsi notare. Se viene individuato, viene isolato prima di raggiungere l’obiettivo e incassare il riscatto.
Questo periodo si chiama dwell time ed è di cruciale importanza. Può durare da poche ore a diversi mesi, con una media di circa 10 giorni. Giorni in cui i ruoli sono invertiti.
Non sfruttare questa finestra è imperdonabile.
Eppure, nel settore PMI, le capacità di rilevare un intruso sono tutt’altro che comuni.
Quando senti che l’azienda di Tal dei Tali è stata colpita da un ransomware, non significa solo che l’antivirus ha fallito, cosa che accade spesso. Significa che l’intera strategia di sicurezza era insufficiente o inesistente. Significa che hanno lasciato un intruso aggirarsi indisturbato nella rete per giorni, senza rendersi conto che l'attacco era già in corso.
Il punto chiave
Una buona difesa deve essere stratificata e in profondità, con misure che aumentino l’attrito e quindi il tempo necessario all’attaccante per raggiungere l’obiettivo. Tempo che deve essere sfruttato per individuare e fermare la minaccia.
La prevenzione è fondamentale, perché prevenire è sempre meglio che curare, ma affidarsi a una sola linea di difesa è un errore grave. Un errore che può costare milioni.
Una buona postura di sicurezza non deve per forza essere costosa, ma deve essere strategica e pensata dal punto di vista di come operano realmente i criminali informatici, non di ciò che promettono i venditori.
Deve essere consapevole dei vantaggi e degli svantaggi di ogni attore in gioco e pianificata di conseguenza.