Nel mondo della Cybersecurity, sempre più spesso si parla della necessità di dotarsi di opportune metriche per la misurazione del fenomeno del cyber crime – un elemento che faciliterebbe molto sia la comunicazione al business e al board di quanto avviene dal punto di vista tecnico, sia più in generale una condivisione coerente di informazioni all’interno di settori o nazioni.
Un esercizio di questo tipo non dovrebbe però essere puramente basato su parametri tecnici, in quanto negli attacchi e negli incidenti informatici, il ruolo del fattore umano ha grande importanza, sia visto dal lato degli attaccanti, sia anche di chi subisce le azioni. Ma quali sono gli indicatori da considerare per una modellazione della cybersecurity che tenga conto appunto di tutti gli aspetti? E questo tipo di attività, ha un’importanza puramente “scientifica”, accademica, o implicazioni pratiche nella vita di tutti i giorni?
Ne abbiamo parlato in questa intervista con Giovanni Vigna, Professor of Computer Science all’Università della California a Santa Barbara, Direttore del centro per la CyberSecurity a UCSB e CTO di Lastline, azienda di protezione anti malware.
“Ci sono due elementi della quantificazione del danno di un possibile attacco informatico che al momento sono trascurati mentre andrebbero invece investigati maggiormente – spiega Giovanni Vigna -: la caratterizzazione del costo per gli attaccanti e il ROI (return of investment) della cybersecurity, ossia, quale vantaggio economico abbia l’azienda dall’adozione di una particolare misura o processo di cybersecurity.
Quello che abbiamo osservato dalla metà degli anni 2.000 in poi, è stata la trasformazione del modo di agire degli attaccanti: si è passati dall’artigianato ad una vera e propria industria. Come ricercatore presso l’Università della California a Santa Barbara, ho seguito l’evoluzione delle infrastrutture da cui origina il malware, per capire come le macchine sono infettate. Abbiamo studiato sia le infrastrutture fisiche sia anche i business model alla base del fenomeno, per comprendere bene e quindi modellare da tutti i punti di vista come avveniva / quali erano i costi della distribuzione del malware”.
TIG. Negli anni c’è stata una trasformazione del cyber crime: come funziona oggi questa industria? Quali sono i modelli di contrasto più efficaci?
Giovanni Vigna. Siamo passati da gruppi criminali che erano fondamentalmente gruppi unitari in cui si compivano tutti gli aspetti, dalla creazione alla distribuzione del malware, a processi più frammentati in cui vari attori si specializzano e comprano / vendono capacità. Ad esempio uno sviluppatore di malware punta a mettere sul black market uno strumento nuovo, che può evadere il rilevamento; i distributori progettano vari modi per inviarlo; altri semplicemente comprano il malware e quindi pagano i distributori un prezzo per macchina infettata. Il mercato è diventato così sofisticato che i prezzi dipendono dalla localizzazione degli host compromessi. Ad esempio, un host compromesso negli USA vale di più di uno compromesso nel Ghana, perché l’economia che si attacca è più importante.
Abbiamo verificato con le nostre ricerche che è molto importante qualificare bene tutte le transazioni, perché un’azione di law enforcement diventa efficace se colpisce gli attaccanti dove questo fa più male. Collaborando con l’FBI e altre forze dell’ordine, abbiamo puntato a comprendere quale ganglio deve essere sottoposto a uno scrutinio particolare. Ad esempio, studiando una campagna di fake antivirus (un tipo di attacco piuttosto frequente qualche anno fa) abbiamo compreso che i criminali cercavano di viaggiare al di sotto della frode rilevata dalle società di carte di credito e in questo modo mantenevano i contatti con le banche senza essere isolati.
La strategia di risposta a questa forma di attacco è stata quella di isolare piano piano questi processor di carte di credito. Il problema fondamentale oggi è che cambiare un sito web, cambiare l’infrastruttura, muoversi da un sito a un altro non richiede grandi costi. Invece aprire un nuovo contratto per processare carte di credito è un processo costoso, più complesso: richiede l’apertura di un conto bancario, la firma di documenti … Influenzare proprio questo aspetto è stato più efficace.
In un altro caso abbiamo lavorato con FBI e con il blogger Brian Krebs per tracciare il costo associato ai shipping mules. Ci sono oggi organizzazioni specializzate nel furto dei numeri di carte di credito, poi utilizzati per comprare beni sul web, che sono inviati a cittadini americani – i cosiddetti mules – che poi prendono questi oggetti e li mandano via posta in Russia perché vengano poi venduti sul mercato nero. In questo modo il valore passa dalla carta di credito ad una vendita legittima. Analizzando tutta la transazione, abbiamo osservato che arruolare i shipping mules è il momento che richiede molta più attenzione. Si rispettano cicli precisi: ad esempio i mules sono sfruttati finché non avviene il pagamento. In conclusione, modellare anche economicamente il funzionamento dell’Underground Economy è importante per avere un’azione efficace, per creare un reale disagio al criminale.
TIG. Il secondo aspetto che secondo lei andrebbe oggi investigato è quello dell’analisi del ritorno economico (ROI) di un investimento in cybersecurity: ci può spiegare meglio perché?
Giovanni Vigna. Non solo bisognerebbe stimare il costo e l’impatto di un data breach, ma anche il valore fornito dalla soluzione di cybersecurity che lo blocca. Quanti oggi vanno a leggere il numero di attacchi bloccati dal firewall? Nessuno lo fa. Invece sarebbe importante partire dall’analisi iniziale degli attacchi noti e del relativo danno potenziale, per capire qual è il valore della soluzione che lo blocca, perché questo ci dice anche quale deve essere l’investimento.
TIG. Oggi si parla sempre più spesso della necessità di impostare un piano di cybersecurity su un’analisi preliminare del rischio: lo richiedono sia i framework (NIST, Framework nazionale), sia le stesse norme, pensiamo al nuovo regolamento europeo GDPR. Come sposare al meglio l’analisi del rischio con un’analisi economica di impatti, costi, ritorno dell’investimento della cybersecurity? I due aspetti sono complementari o alternativi?
Giovanni Vigna. L’analisi del rischio in questo ambito è molto difficile, perché i fattori coinvolti sono moltissimi. Quello che normalmente si sceglie, è di concentrarsi sul rischio “catastrofico” cioè quello associato ad una compromissione totale di un sistema protetto. Però questo non è l’unico scenario possibile. I prossimi anni vedremo un raffinarsi delle tecniche di analisi del rischi associati alla cybersecurity per poter meglio valutare come investire in sistemi di protezione.
TIG. Nella sua esperienza, queste misurazioni e modellazioni associate al cyber crime hanno avuto impiego soprattutto negli ambiti di contrasto e law enforcement, o anche in organizzazioni che hanno utilizzato questi modelli per migliorare la propria capacità di risposta?
Giovanni Vigna. Il capire quali siano gli aspetti essenziali di un processo di cyber crime è essenziale. Specialmente in termini di azione/reazione. Identificare parti del processo a cui un’azione richiede una reazione “costosa” (per esempio in termini di tempo e risorse), permette di agire con efficacia. Per esempio, questa è una delle ragioni per cui il mondo criminale si sta muovendosi dalle carte di credito alle cryptocurrencies.
TIG. In futuro, le aziende si doteranno secondo lei di una migliore comprensione e misurazione del fenomeno? Quali saranno i vantaggi? Ci possiamo aspettare che un aiuto maggiore in questa sfida venga in futuro da strutture pubbliche deputate ad aiutare aziende e cittadini?
Giovanni Vigna. Le aziende stanno evolvendo e stanno sviluppando una nuova sensibilità verso il problema sicurezza. La domanda non è più “Sono sotto attacco?” ma è diventata invece “Come mi proteggo?”. È un cambiamento importante, che dovrebbe essere associato ad una campagna pubblica di sensibilizzazione a tutti i livelli, dall’utente che naviga sul web, al dipendente che gestisce informazioni di grande importanza strategica.
INTERVISTA A:
GIOVANNI VIGNA,
Faculty Member del Computer Science Department dell’Università della California a Santa Barbara, CTO di Lastline, azienda di protezione anti malware.
A cura di: Elena Vaciago
Associate Research Manager, The Innovation Group