17.9.10

La formazione dei dipendenti in ambito sicurezza deve fare ancora molta strada

Social-Engineer.Org, un'organizzazione che ha lo scopo di aiutare le aziende a comprendere le minacce inerenti le tecniche di social engineering ha annunciato ieri la pubblicazione del rapporto finale sui risultati di una recente competizione tenutasi durante lo scorso Defcon 18 a Las Vegas. Scopo della gara era la raccolta di informazioni dalle aziende utilizzando tecniche di social engineering.
Tra le 15 aziende obiettivo di questo contest figuravano BP, Shell, Apple, Google, Microsoft, Cisco Systems, Proctor and Gamble, Pepsi, Coca-Cola, Symantec, Phillip Morris, Walmart, Mcafee e Ford.
Il rapporto pubblicato sul sito di Social-Engineer.Org rivela interessanti e al contempo allarmanti dati.
Ad esempio che non è necessario essere un esperto navigato in social engineering per penetrare con successo un'azienda: un attaccante senza esperienza ha comunque un facile accesso a risorse gratuite come Facebook, LinkedIn, Twitter, Google Search e Google Street View, risorse che, congiuntamente ai call center e agli uffici di customer service, costituiscono un'ottima fonte di informazioni da molte delle aziende obiettivo.
Per cercare di carpire informazioni dalle aziende "più tenaci" si è ricorsi a varie tecniche tra cui l'uso di pretesti credibili quali i sondaggi sulla soddisfazione dei dipendenti, camuffarsi da clienti inetti o da agenzie di collocamento per intervistare quegli impiegati che avevano pubblicato il curriculum vitae in un sito di ricerca lavoro.
L'obiettivo non era di raccogliere informazioni sensibili, ma di catturare delle "bandiere" corrispondenti a informazioni che possono costituire le basi per approntare un vettore di attacco successivo.
Ecco alcuni esempi di dati da raccogliere:
  • esistenza di una rete wireless aziendale;
  • il nome della rete wireless;
  • l'apertura di un URL;
  • le versioni di browser, lettore PDF, di sistema operativo con service pack, del software antivirusm del client email;
  • l'utilizzo di VPN;
  • come vengono smaltiti i documenti;
  • come viene smaltita la spazzatura;
  • il tipo di sistema telefonico;
  • il corriere utilizzato;
  • il processo di assunzione e licenziamento.
I risultati dell'analisi hanno mostrato che l'impiegato medio di un call center non ha avuto un adeguato training sulla sicurezza e, per questo motivo, non riesce a individuare un potenziale pericolo nella condivisione di informazioni che lui percepisce come insignificanti. Con le informazioni corrette, ovvero grazie alle bandiere citate sopra, un social engineer può fingersi un dipendente guadagnando così la fiducia delle persone chiave che in azienda possono portarlo alla compromissione di informazioni sensibili o confidenziali.
La grande sfida che devono affrontare le aziende che vogliono difendersi da minacce di questo tipo è di inserire in maniera adeguata un training anti ingegneria sociale all'interno del piano di formazione del personale.
Perché un piano di formazione sia veramente efficace, è necessario che coinvolga tutte le persone in azienda: i call center sono uno degli anelli deboli della catena perchè spesso non sono stati sottoposti a un programma di security awareness. Questo si può tradurre in fughe di informazioni e in incremento del rischio in azienda.
Ma il call center è solo la tradizionale punta dell'iceberg, la parte più evidente del sistema.
La dimostrazione dell'inefficacia del training (o della sua inesistenza) è stata riscontrata nella mancanza di resistenza degli impiegati alle domande loro poste: quando non esistono linee guida chiare per affrontare determinate situazioni, essi agiscono come il loro ruolo richiede, ovvero essere utili alla persona che chiama.
Le aziende devono anche agire nei confronti dei social network: questi strumenti costituiscono un vettore di informazioni notevole, ma ancora questa realtà non viene percepita dalle aziende che, sebbene ne possano gestire l'accesso con sistemi tecnologici, non danno direttive su come il singolo dipendente si debba comportare nei confronti della divulgazione di informazioni aziendali.

Nessun commento: