Come Navigare Nella Tempesta Della Security Durante Il COVID-19

Cybersecurity

di Dan Woods, Vice Presidente di Shape Intelligence Center, Shape Security

Negli ultimi mesi la pandemia ha guidato la crescita di volume delle transazioni online e ha intensificato la lotta tra cyber criminali e professionisti della sicurezza, portando le aziende a ripensare alla solidità dei propri sistemi mentre gli hacker ricercano ulteriori vulnerabilità da sfruttare nella “nuova normalità”.

In Shape Security, elaboriamo miliardi di transazioni ogni settimana per conto di alcune delle maggiori banche, rivenditori, agenzie governative e compagnie aeree del mondo. Da quando, all’inizio di marzo, il lockdown è entrato progressivamente in vigore nella maggior parte dei Paesi, abbiamo notato sulla nostra rete picchi e crolli nelle attività online in diversi ambiti. Il traffico verso chi si occupa della delivery di generi alimentari online è aumentato del 400% e i login ad account legati agli investimenti sono aumentati del 53%. Sul fronte opposto, le prenotazioni di viaggi online sono diminuite del 75%, le registrazioni di nuovi conti personali si sono dimezzate e, ancora più interessante, i trasferimenti di denaro internazionali sono diminuiti del 35%.1

Queste tendenze di certo non sorprendono, alcuni settori dell’economia hanno registrano una domanda senza precedenti, mentre altri sono rimasti totalmente bloccati. Meno chiaro è, invece, se e in che modo il volume di attacchi e attività dannose sia aumentato a seguito di Coronavirus, e se vi sia realmente un collegamento diretto tra i due. I dati non sono ancora definitivi e, in base alla nostra esperienza, le variabili in gioco sono veramente troppe per essere sicuri (l’applicazione sotto esame, le contromisure adottate, lo schema di monetizzazione perseguito, etc.).

Tuttavia, per qualsiasi organizzazione che si affida alle applicazioni è importante capire come operano gli aggressori nelle circostanze attuali e valutare se le proprie misure di sicurezza siano ancora sufficienti. Indipendentemente dal fatto che il volume degli attacchi sia in aumento, stiamo infatti assistendo a una reale evoluzione del comportamento dei criminali informatici, nonché ad alcune tendenze evidenti delle quali dobbiamo essere consapevoli.

Ad esempio, negli Stati Uniti, gli aggressori hanno preso di mira portali che consentono alle persone di accedere a finanziamenti e ai sistemi di assistenza statali in base all’US Coronavirus Aid, Relief, and Economic Security (CARES) Act. Ogni richiedente deve inserire il codice identificativo del contribuente (TIN) per poter procedere e gli aggressori hanno pensato bene di attingere a questo flusso di lavoro per eseguire programmi automatizzati che consentono loro di pescare all’infinito, e quindi convalidare TIN reali, per venderli o sfruttarli a fini dannosi.

Un’altra delle principali tipologie di frode alla quale stiamo assistendo ha preso di mira l’industria dei servizi di ristorazione rapida (QSR). In questo caso, i truffatori si presentano come fornitori di sconti sui social media per poi effettuare ordini reali con QSR utilizzando carte di credito rubate. La transazione procede normalmente attraverso il loro sistema e quello del servizio di delivery. Solo quando avviene l’addebito, settimane dopo, la frode diventa evidente, e a quel punto è troppo tardi per rintracciare il mandante o recuperare quanto sottratto. Per alcune aziende del settore, il costo di questa truffa ammonta già a centinaia di migliaia di dollari al mese.

Questi esempi dimostrano quanto siano adattabili le strategie dei cybercriminali: quando avvengono cambiamenti importanti nel comportamento dei consumatori, come il recente aumento degli ordini online di generi alimentari, cambiano le proprie strategie per trarne un vantaggio.

Quindi, come possono le aziende essere altrettanto agili nella propria risposta? Il primo passo è riconoscere l’entità del problema. Un cliente di Fortune 100 è venuto da noi supponendo che circa il 20-30% del suo traffico fosse dannoso; la nostra analisi ha mostrato che la cifra reale era pari al 98%. Si tratta di un problema comune, perché un SOC (security operations center) la maggior parte delle volte si concentrerà sugli IP più vistosi, ma gli mancherà la capacità di visione rispetto alla coda più lunga di quello che contribuisce a generare piccoli volumi di traffico dannoso.

Il secondo insegnamento che riceviamo è quello di saper raccogliere quei segnali che provengono dalla propria rete, dagli utenti e dagli ambiente in grado di aiutare a identificare il traffico automatizzato e potenzialmente dannoso. Ad esempio, osservando come gli utenti navigano in un flusso di lavoro online, questi segnali possono facilmente distinguere le sequenze di tasti e i movimenti del mouse di un utente umano dal comportamento eccessivamente preciso di un bot. Spesso possono anche distinguere tra un utente legittimo e uno che effettua una truffa manualmente perché quest’ultimo, acquisita familiarità con il flusso di lavoro, in genere tende ad operare più rapidamente.

Le organizzazioni devono anche ricordare che chi attacca è sempre in movimento; si riorganizzerà dopo che sono state prese le contromisure e si sposterà tra le interfacce Web, mobile e API per cercare nuove vulnerabilità. Pertanto, i team di sicurezza devono guardare attentamente a come chi attacca reagisce di fronte alle contromisure per determinare la loro prossima mossa. Alcuni, ad esempio, non riconoscono nemmeno di essere stati bloccati, mentre altri si adattano rapidamente.

La flessibilità di chi attacca dimostra anche la necessità di non fare un affidamento eccessivo sull’intelligenza artificiale e sull’apprendimento automatico. Certo, si tratta di elementi essenziali che devono essere parte di qualsiasi toolkit di sicurezza, ma è anche importante riconoscerne i limiti. I segnali grezzi rilevati dai sistemi AI e ML saranno pieni sia di falsi positivi che di falsi negativi. È necessario avere a disposizione del personale in grado di analizzare questi dati e che rappresenti una seconda linea di difesa fondamentale, capace di guardare le anomalie e osservare come gli aggressori si riorganizzano.

Infine, non bisogna dimenticare l’esperienza utente. Un’attività rivolta al cliente non dovrebbe dipendere eccessivamente da strumenti come i CAPTCHA che possono infastidire i clienti finali a volte più dei potenziali attacchi.

Credo che tutti noi abbiamo a che fare con un momento di forte adattamento e, in questa fase, la sicurezza si conferma una priorità che richiede un’attenzione costante. Gli aggressori si stanno evolvendo rapidamente in questo nuovo ambiente e le organizzazioni di tutto il mondo devono fare altrettanto per proteggere se stesse e i propri clienti.


1 Analisi comparative del traffico registrato dal 7 al 31 marzo rispetto a quello dal 1 gennaio al 7 marzo 2020.