Cybersecurity, un'esigenza reale e necessaria: come funziona un attacco hacker

Cybersecurity, come funziona un attacco hacker: l'intervista di Affari a Eylam Tamary, fondatore di una società specializzata nella sicurezza informatica

Eylam Tamary lavora nel mondo della cybersecurity e dell’intelligence da circa 20 anni: da quando è nato il concetto di cybersecurity pubblico, diventando non più solo una questione prettamente militare. In questi anni il suo lavoro si è focalizzato nel fare grow up e start up di aziende israeliane che hanno creato, e creano, degli standard e delle metodologie della cybersecurity seguite in tutto il mondo. Nel 2018 ha fondato la “TAG COMPANY”, poiché accortosi, vivendo da diversi anni in Italia, che mancava una vera cultura, una piena consapevolezza, e la giusta sensibilità nel comprendere quanto sia necessaria la messa in sicurezza della rete della propria azienda e, conseguentemente, della propria sfera personale.

La mission etica di TAG è quella di essere “Always one Step Ahead” per esser capaci e adatti a evangelizzare le aziende enterprise e le PA, oltre che i system integrator, sul mondo, che ormai è più un universo privo di confini, della cybersecurity e dell’intelligence, portando a conoscenza le tecnologie e i servizi più innovativi nel mercato. Ciò che sta accadendo negli ultimi mesi (per non dire anni) è la riprova di quanto l’esigenza della messa in sicurezza cibernetica sia reale e assolutamente necessaria, ORA. Adesso. Tant’è che, proprio sul concetto di non perdere altro tempo, come si evince anche dall’intervista, egli sostiene fortemente che: “il fatto che siamo già in ritardo rispetto alla maggioranza dei paesi europei e soprattutto extraeuropei, deve farci riflettere, per prendere posizioni ed agire alla svelta”.

Chi è l’attaccante (hacker) e perché attacca?

Chi attacca sono aziende, vere e proprie corporate di dimensione Enterprise con fondi illimitati, visto la quantità di riscatti che hanno ricevuto, che investono a doppia velocità nello sviluppo di tecnologie. Alcune di esse negli ultimi anni si sono addirittura unite in vere e proprie congregazioni dove ognuna di esse si è specializzata in una particolare attività. Ultimamente oltre ad avere grandi capacità interne, alcune di esse hanno addirittura informazioni e fondi di tipo governativo

Come attacca? 

Molti parlano di Ransomware, della cifratura. Solo ultimamente si parla del concetto del doppio riscatto, cioè della richiesta di pagamento per avere le chiavi di cifratura ma soprattutto che non vengano diffuse informazioni importanti della società attaccata. Nella realtà il Ransomware è quello che chiamiamo “la giusta causa”. E’ solo l’effetto finale di una grande quantità di azioni che gli attaccanti fanno per entrare all’interno dell’azienda, mappare le informazioni, le persone, le relazioni; dopo questa fase inizia una fase di esfiltrazione delle informazioni all’esterno. Solo alla fine di questo processo che può durare anche oltre 200 giorni (l’ultima stima parla di 287 giorni fonte dati IBM) avviene la fase di cifratura e la richiesta del riscatto

Quali sono le conseguenze di un attacco?

Molteplici. Il primo più evidente è il fermo produzione. Questo causa un danno che è calcolabile ma sono le restanti conseguenze che hanno il maggior peso per l’azienda e che difficilmente riescono ad essere calcolate. Il pagamento del riscatto non garantisce di ricevere la chiave di cifratura, ma sopratutto, quasi sicuramente, le informazioni sono già in vendita oppure sono già state utilizzate per pianificare ed attuare altri attacchi a società connesse. Una email confidenziale verso un nostro fornitore può essere manipolata attraverso tecniche di social engineering per fare una attività di whaling, cioè dirottamento di pagamenti. Questo può avvenire anche a posteriori, molto molto tempo dopo. Vi è quindi un considerevole danno di immagine, di relazione e di fiducia con clienti, partner e fornitori. Quest’ultima parte è incalcolabile come danno ma è la parte maggiore che ha causato in certe situazioni la chiusura di attività produttive estremamente positive commercialmente parlando

Chi è il target degli attacchi?

In questo momento si parla di RaaS (Ransomware as a service). Sono dei veri e propri market place dove persone anche con poca esperienza possono comprare attacchi in modalità servizio. I target di questi attacchi può essere chiunque, qualsiasi azienda, in quanto le aziende attaccanti utilizzano da molto più tempo di noi l’intelligenza artificiale. Hanno un volume di informazioni impressionante che può essere utilizzato per iniziare una fase di attacco. Per ora il social engineering è uno dei maggiori vettori di attacco. Questo vuole dire che chiunque in questo momento che è presente con le sue informazioni in internet è un target appetibile

La Supply chain è in crisi?

Sì è in crisi. L’attacco verso importanti aziende che offrono soluzioni informatiche per la Cybersecurity è iniziato molto tempo addietro. Si è avuta l’evidenza esplicita a seguito dell’attacco di Solarwind. In realtà questo è stato forse il caso più eclatante e portato in auge dalla stampa ma vi sono casi molto più indietro nel tempo. Oggi in Italia molte aziende fanno gestire gli aspetti di cybersecurity in modalità servizio attraverso altri fornitori. Questi non sono altro che una estensione della superficie di attacco per un possibile attaccante ma sono sicuramente molto più interessanti. Colpire un Vendor o colpire un fornitori di servizio IT o cybersecurity vuole dire avere la facilità di colpire molti in una sola volta

Quali consigli daresti per per proteggersi da questi attacchi?

Adottare nuove metodologie. Da tempo stiamo parlando della metodologia Zero Trust. Non è un prodotto od un servizio. E’ una metodologia di approccio alla cybersecurity che è stata definita da entità autoritarie come il NIST, NSA e altri. Se ne parla anche negli ultimi security report redatti da IDG Communication Ing., IBM e molti altri player (Google e Microsoft ad esempio) come una necessità da intraprendere in breve tempo per riuscire a far fronte alle minacce

Come si evolverà la cybersecurity nei prossimi anni?

Se non si cambia in maniera forte e rapida sarà sicuramente difficile poter rimanere competitivi con altri paesi. In questo momento governi, anche a noi vicini, hanno intrapreso politiche atte a creare cultura, fin dalla scuola, per quanto riguarda la sicurezza dei cittadini. Inoltre hanno implementato concetti di sicurezza nazionale, hanno istituito “ministeri”, incentivi per fare in modo di agevolare le aziende ad intraprendere un percorso. Professionalmente parlando, il mercato italiano è estremamente arretrato e confuso da messaggi totalmente fuori tempo rispetto lo scenario che stiamo vivendo

Quali sono le maggiori minacce alla sicurezza informatica in questo momento?

La perdita di dati personali dovuti a tanti data breach, sia in ambito pubblico che privato ha creato una enorme base di attacco. Le minacce purtroppo sono molteplici e facilmente attuabili

Perché devo preoccuparmi della sicurezza dei dati? 

Perché qualsiasi informazione in questo momento è utile per creare uno o più vettori di attacco. Più informazione l’attaccante ha a disposizione, maggiore sarà la creazione di vettori di attacco efficaci a raggiungere l’obiettivo dell’attacco.