Yarix, il social engineering e le vulnerabilità delle aziende

Yarix, il social engineering e le vulnerabilità delle aziende

Yarix è una società italiana che si occupa di sicurezza informatica, prevalentemente nell'ambito sanitario, scolastico, industriale e governativo. Dall'analisi dei servizi di VA e PT erogati nel 2014 da Yarix, emerge che il 74% delle aziende è vulnerabile ad attacchi condotti sfruttando tecniche di social engineering.
Si chiama Social Engineering ed è lo studio del comportamento individuale al fine di carpire informazioni utili. Una metodologia efficace applicata al penetration testing professionale non ancora sufficientemente sfruttata dalle aziende e tesa a testare il livello di vulnerabilità del personale interno. Il dato allarmante è indicativo di una forte mancanza di consapevolezza del rischio.

Nel campo della sicurezza informatica, il social engineering (o ingegneria sociale) è l'analisi del comportamento di una persona finalizzata all'estrazione di informazioni utili. Nella sostanza: quando un hacker non riesce a trovare dei bug sfruttabili per attaccare un determinato sistema informatico, un attacco di social engineering può rappresentare una tecnica molto utile per procurarsi le informazioni desiderate. Tale tipologia di attacco presuppone che il social engineer (colui che conduce l'attacco) sfrutti il dolo e l'inganno per portare a termine il suo intento; abile a mascherare la propria identità, fingendosi un'altra persona, egli riesce a ricavare informazioni che non potrebbe mai ottenere con la sua identità reale.

L'attività di social engineering spesso unita a quella di phishing è strutturata in più fasi: la fase preliminare, definita footprinting, nella quale il social engineer si occupa della raccolta delle informazioni sulla vittima e cerca di reperire tutte le informazioni necessarie per condurre l'attacco sul bersaglio individuato; la fase intermedia dove l'ingegnere si occupa di verificare che le informazioni in suo possesso siano attendibili per poi entrare in contatto diretto con la "vittima"; la fase finale coincide con l'attacco vero e proprio, in cui si contatta la vittima per reperire le informazioni. Se la vittima cade nel tranello, il social engineer potrà iniziare una fase di sperimentazione allo scopo di violare il sistema stesso. Particolarmente minacciosi sono gli APT (Advance Persistent Threat), processi di attacco mirati e sofisticati che seguono schemi precisi, volti a compromettere un obiettivo nel tempo e che hanno un impatto rilevante sul business, essendo volti a trafugare informazioni strategiche, sabotare l'organizzazione, danneggiare i sistemi. Lo strumento più utilizzato è senza dubbio la telefonata, che viene effettuata utilizzando uno stile vocale adeguato e studiato ad hoc.

I test commissionati a Yarix da diverse aziende sono stati portati avanti dal Red Team Yarix, un'equipe che coinvolge il Programm Manager insieme a tecnici con pluriennale esperienza in Ethical Hacking. I tecnici hanno dimostrato una vulnerabilità complessiva che supera il settanta per cento: le "zone deboli" possono interessare diverse aree dell'azienda, dalla videosorveglianza all'amministrazione fino al reparto tecnico e agire su diversi dati sensibili relativi alla privacy di una persona (password) e a credenziali di accesso relative a sistemi.

Ma quali sono gli obiettivi reali del Social Engineering? E cosa può fare un'azienda dopo aver scoperto i suoi punti di vulnerabilità? Riorganizzare le competenze, agire con dei corsi o dei seminari al fine di sensibilizzare il personale dell'azienda, proporre dei corsi mirati. In questo modo l'intervento sarà servito a potenziare la sicurezza e la protezione di tutti i dati aziendali. Le tecniche di ingegneria sociale stanno diventando sempre più sofisticate e per questo diventa sempre più importante per le imprese provvedere alla sensibilizzazione e alla formazione dei dipendenti.

"La sicurezza non è un prodotto ma è un processo aziendale che coinvolge persone e infrastrutture e che va continuamente affinato e verificato affinché sia efficiente ed efficace. La sicurezza non è questione esclusiva del dipartimento IT, ma coinvolge tutte le componenti aziendali, risorse umane comprese" ha affermato Mirko Gatto. Insomma la questione è: "È possibile ridurre i rischi legati agli errori umani?", la risposta è : "Sì, si può."