Giu 26, 2024 Stefano Silvestri Approfondimenti, Attacchi, Campagne malware, Gestione dati, Hacking, Leaks, Malware, Minacce, Software, Tecnologia, Vulnerabilità 0

Se c’è un concetto che abbiamo sentito ripetere decine di volte nel corso dello Zenith Live ’24, è “Zero Trust”.

Ed è sulle implicazioni di questo concetto (ma potremmo anche chiamarla ‘filosofia di vita’) che abbiamo incentrato la nostra intervista con Deepen Desai, Chief Security Officer e SVP Security Engineering & Research di Zscaler.

Lei è ultimo baluardo della fortezza, il nume tutelare della sicurezza della sua azienda e, a cascata, di tutti i clienti di Zscaler. Quanto spesso siete oggetto di attacchi esterni?

Deepen Desai: Non attiriamo più attenzioni di altre aziende. Come ogni grande organizzazione, registriamo la nostra quota di tentativi di intrusione contro la nostra infrastruttura. Per contrastarli, disponiamo di un team globale composto da analisti SOC ed esperti di minacce informatiche.

Il vantaggio di cui godo è che dirigo anche il nostro team di threat intelligence, ThreatLabZ, distribuito in sette paesi diversi. Gran parte dell’intelligence che raccogliamo viene utilizzata per la sicurezza interna dell’azienda, permettendoci di mantenere un vantaggio strategico.

Con quale frequenza subite attacchi?

Deepen Desai: Quantificare gli attacchi è complesso. Abbiamo circa 70-80.000 istanze distribuite a livello globale; quindi, non si tratta di un’impronta digitale ridotta. Sebbene adottiamo un’architettura Zero Trust, registriamo del “rumore di fondo” dovuto alle continue scansioni della nostra infrastruttura.

Mi riferisco a script che eseguono determinate attività e che, volendo quantificarli, mi porterebbero a parlare di alcune centinaia di tentativi al mese. Ma si tratta di attività ‘scolastiche’ che contrastiamo facilmente.

Se invece parliamo di minacce serie, di attori determinati che provano effettivamente a sfruttare vulnerabilità, sono invece casi sono molto rari che si verificano tre o quattro volte all’anno.

Qual è stata la battaglia più dura che avete affrontato?

Deepen Desai: Avrei molto da raccontare al riguardo ma preferirei non vantarmene pubblicamente. Posso dire che negli ultimi tre anni ci sono stati almeno un paio di casi in cui siamo riusciti a proteggere la nostra infrastruttura da avversari altamente qualificati.

Non voglio però fare nomi, poiché questo potrebbe attirare ulteriori attenzioni indesiderate. Posso però raccontare di un incidente in cui qualcuno, impersonando il nostro amministratore delegato, Jay Chaudhry, ha tentato un attacco di vishing contro uno dei nostri dipendenti.

Per farlo, ha utilizzato l’audio di un intervento pubblico di Jay, estrapolandone la voce, e ha preso di mira uno dei dipendenti fingendosi Jay stesso. Una tipica truffa, insomma, senza l’utilizzo di una particolare tecnologia.

Come sempre, in questi casi, la difesa si basa principalmente sulla formazione e la consapevolezza del personale.

Chi sono i vostri principali avversari?

Deepen Desai: Esistono gruppi legati al crimine organizzato le cui capacità tecniche sono tali da renderli una minaccia significativa, equiparabile a quella di attori sponsorizzati da stati nazionali.

La loro strategia di targeting mirato verso esperti di sicurezza e aziende del settore, dimostra un livello di sofisticazione e pianificazione avanzati.

Le persone sono sempre l’anello più debole della catena, il che significa che non solo dovete eccellere tecnologicamente, ma anche che tutto il personale dev’essere adeguatamente formato…

Deepen Desai: La formazione sulla consapevolezza è fondamentale e un esempio che mi piace citare è quello del gruppo Scattered Spider.

Alla fine dello scorso anno, hanno lanciato un nuovo tipo di attacco di ingegneria sociale. La loro tattica, di cui ho anche una registrazione, consisteva nel chiamare l’helpdesk IT di un’azienda, fingendosi un dipendente che ha perso il cellulare e che non riesce ad accedere al proprio account. L’attaccante chiedeva di reimpostare l’autenticazione a due fattori (MFA) e le credenziali utente.

Il gruppo ha replicato questa tattica con numerose organizzazioni e saresti sorpreso di sapere quanti sono caduti nella trappola. L’FBI ha persino emesso un avviso al riguardo.

Per quanto riguarda la nostra gestione interna, quando emergono campagne di questo tipo, il mio team invia una nota a tutti i dipendenti e avvisa tutti i clienti di Zscaler.

Nel caso di Scattered Spider, l’avviso raccomandava di aggiornare i protocolli dell’helpdesk IT, richiedendo sempre l’approvazione di uno o due livelli manageriali prima di procedere col reset delle credenziali.

L’avvento delle IA generative ha reso il vishing più pericoloso che mai.

Oggi è facile impersonare qualcuno, persino la sua voce, affermando di essere un dipendente che ha perso il telefono e ha bisogno di recuperare l’accesso. E l’helpdesk IT, dato che questi attacchi stanno diventando sempre più credibili, è particolarmente a rischio.

A tale riguardo ho un aneddoto che dà l’idea del livello di scaltrezza raggiunto dai cybercriminali. Accade infatti che chiamino gli helpdesk IT, presentandosi come parte del team di sicurezza interno o del SOC, e dichiarando di star investigando su degli incidenti che hanno portato alla compromissione del computer dell’operatore.

Questo, solitamente si spaventa e segue le loro istruzioni. Dopo aver eseguito alcune azioni apparentemente innocue, gli attaccanti dichiarano che si trattava di un falso positivo, ringraziano per la collaborazione e chiedono di compilare un sondaggio per valutare il loro operato. La mail che inviano contiene un link che, una volta cliccato, compromette il sistema.

E se invece la minaccia arriva dall’interno? Come nel caso di un dipendente scontento che, prima di andarsene, vuole portarsi via informazioni sensibili?

Deepen Desai: Quando un dipendente con intenti malevoli cerca deliberatamente di causare danni, i principi dello Zero Trust giocano un ruolo ancora più cruciale, perché la sua formazione non può essere d’aiuto in queste situazioni.

È qui che entra in gioco il principio secondo cui i dipendenti dovrebbero avere accesso solo a ciò che gli è necessario per essere produttivi e svolgere le proprie mansioni quotidiane.

Se si implementa un ambiente simile a quello degli Starbucks, si riduce drasticamente questo rischio perché ogni loro esercizio è come se fosse un’isola. E lo stesso vale anche gli hotel che visitiamo e di cui utilizziamo la connessione internet: la maggior parte di essi implementa correttamente questo concetto.

Da dove arriveranno le minacce più importanti nell’immediato futuro: dall’intelligenza artificiale o dai dispostivi IoT/OT?

Deepen Desai: Direi che entrambe sono minacce significative ma l’IA è, a mio avviso, la più preoccupante. Sai perché? Perché ci sono molte “incognite sconosciute” e numerosi aspetti che ancora non sono compresi appieno.

Per quanto riguarda l’IoT, sappiamo che si tratta di dispositivi non gestiti che dovrebbero essere segmentati e trattati in modo differente. Ma quando parliamo di attacchi basati sull’IA, siamo di fronte a minacce di due diverse categorie.

La prima riguarda gli attori che utilizzano l’IA per colpire le imprese. La seconda concerne gli attori che prendono di mira l’adozione dell’IA da parte delle organizzazioni. Ogni azienda sta adottando l’IA in qualche misura, e stiamo osservando ad esempio attori statali russi che prendono specificamente di mira gli ambienti di sviluppo AI/ML.

L’avvelenamento delle IA è uno dei fronti più caldi quando si parla di cybersecurity e intelligenze artificiali.

Quando parliamo di attacchi guidati dall’IA o attacchi all’IA, ci riferiamo a tutto lo spettro che va dal phishing al malware, ai deepfake, fino agli attacchi contro le infrastrutture IA. In quest’ultimo caso, assistiamo a tecniche come l’avvelenamento dei dati, tentativi di influenzare i risultati delle applicazioni in sviluppo o attacchi mirati ai dati presenti nell’ambiente.

Come gestite l’intercettazione e la scansione dei dati cifrati? Come bilanciate questa attività col rispetto della privacy?

Deepen Desai: È discorso di granularità, il che significa che bisogna capire cosa ispezionare e cosa no.

L’adozione di politiche di ispezione selettiva, basate su categorie di rischio e conformità normativa, rappresenta un compromesso pragmatico tra la necessità di proteggere i sistemi aziendali e il rispetto dei diritti alla privacy degli utenti e dei requisiti legali.

Questo equilibrio è particolarmente cruciale nell’era dell’IA e degli LLM aziendali, dove la protezione dei dati sensibili e proprietari deve coesistere con l’imperativo di sicurezza contro le minacce informatiche sempre più sofisticate.

Zscaler si trova in prima linea nella lotta contro le minacce informatiche emergenti. Come affronta l’azienda la sfida delle vulnerabilità zero-day, considerando l’imprevedibilità di queste falle di sicurezza?

Deepen Desai: La nostra strategia si basa sull’implementazione di un’architettura Zero Trust, offerta attraverso la nostra piattaforma Zscaler Zero Trust Exchange. Questo approccio ci permette di ridurre significativamente sia il raggio d’impatto che la superficie d’attacco esposta alle minacce esterne.

Per contestualizzare, immaginiamo un dispositivo vulnerabile a specifiche falle di sicurezza. Se questo dispositivo è protetto dalla nostra soluzione Zscaler, gli attaccanti esterni non possono puntarlo direttamente, in quanto risulta “nascosto” grazie a tecnologie come Zscaler Private Access o Zscaler Internal Access.

È importante sottolineare che ciò non elimina la necessità di applicare patch ma offre alle organizzazioni un margine di tempo più ampio per farlo. La ragione è che, sebbene un attaccante non possa sfruttare direttamente la vulnerabilità dall’esterno, esiste ancora il rischio che un dispositivo compromesso internamente possa essere utilizzato per sfruttare la falla, se l’utente ha i permessi necessari.

Tuttavia, l’adozione della nostra architettura Zero Trust riduce di circa dieci volte la superficie d’attacco.

In caso di vulnerabilità Zero Day, lo Zero Trust Exchange di Zscaler riduce sia il raggio d’impatto, sia la superficie d’attacco esposta alle minacce esterne.

Anche con soluzioni avanzate come quelle di Zscaler, nessuna azienda può dirsi completamente invulnerabile. Come gestite le situazioni in cui un cliente subisce una violazione? Ci sono mai state tensioni riguardo all’attribuzione delle responsabilità?

Deepen Desai: È fondamentale comprendere che l’adozione di un approccio Zero Trust è un percorso graduale. Le organizzazioni si trovano in fasi diverse di questa trasformazione, e la loro vulnerabilità a certi tipi di attacchi dipende dal punto in cui si trovano in questo viaggio.

Per esempio, se un’azienda non ha ancora implementato la segmentazione utente-applicazione, permettendo quindi a chiunque di accedere a ogni applicazione, un singolo dispositivo compromesso può esporre l’intera rete. La nostra raccomandazione è di implementare questa segmentazione per contenere potenziali minacce a un singolo dispositivo o un’identità compromessa.

Quando i clienti Zscaler subiscono un attacco, questo spesso accelera significativamente il loro percorso di trasformazione Zero Trust. Lavorano con noi per prioritizzare le misure che prevengono il ripetersi di incidenti simili.

Quanto alle “tensioni”, quando si verifica una violazione informatica i clienti cercano supporto, non conflitto. Noi ci impegniamo a essere partner affidabili in questi momenti critici, offrendo assistenza gratuita per aiutarli a raggiungere rapidamente uno stato di sicurezza elevato.

Il nostro obiettivo è prevenire ulteriori compromissioni mentre l’azienda cerca di rimediare e migliorare la propria postura di sicurezza. I clienti, e spesso anche i potenziali clienti che utilizzano soluzioni concorrenti, tendono ad ascoltare i nostri consigli e ad accelerare l’implementazione di misure che migliorano la loro sicurezza. Ci vedono insomma come partner che li aiutano in un momento di crisi.

IA e IoT/OT stanno ampliando le superfici d’attacco. Come si concilia la necessità di ridurle con un’espansione tecnologica che non fa che aumentarle?

Deepen Desai: Il nostro approccio affronta questa sfida in modo strategico. Quando implementiamo Zscaler, il primo passo è nascondere tutto ciò che si trova dietro la nostra soluzione da Internet, riducendo effettivamente la superficie di attacco ai soli dipendenti interni.

Successivamente, applichiamo la segmentazione che crea essenzialmente tante “reti di uno”, isolando efficacemente ogni dispositivo, che in questo modo ha accesso solo alle destinazioni specifiche di cui ha bisogno. Questa è la vera definizione di Zero Trust.

Nascondendoli dietro lo Zero Trust Exchange, Zscaler promette di ridurre notevolmente la superficie d’attacco anche dei dispositivi IoT/OT.

È importante sottolineare che questi principi si applicano non solo quando si accede da remoto ma anche quando si è in ufficio. Che un dipendente si trovi nella sede aziendale, a una conferenza o in un hotel, i principi dello Zero Trust rimangono gli stessi grazie.

Lei possiede le stesse conoscenze, la stessa mentalità, direi, di un criminale informatico. Ma ha scelto di usarle per difendere, anziché per attaccare. E sì che guadagnerebbe molto di più dall’altro lato della barricata…

Deepen Desai: Beh, i professionisti della sicurezza sono ben retribuiti… ma sì, non c’è confronto tra quanto guadagnano i “cattivi” di successo rispetto ai “buoni”.

Credo sia una questione di intenti, di integrità… Anche la cultura ha il suo ruolo. Hai ragione, c’è più denaro dall’altra parte ma porta soddisfazione? Porta gioia? O ne porta di più combattere una battaglia giusta e proteggere la gente?

Anche i poliziotti non guadagnano quanto i criminali ma combattono per il bene e possono essere orgogliosi di sé stessi alla fine della giornata, invece di avere una spada di Damocle sulla testa che può cadere in qualsiasi momento.

Quando incontra una nuova persona, c’è una parte di lei che pensa che potrebbe essere una minaccia, che potrebbe cercare di approfittarsi di lei? Riesce ancora a guardare l’umanità in modo positivo?

Deepen Desai: La paranoia è presente di default nella mentalità delle persone che si occupano di sicurezza informatica, perché è così che siamo ‘programmati’. Ma possiamo mettere da parte il lavoro e vivere una vita normale.

Dipende dal tipo di connessione che cercano con me. Se qualcuno cerca di connettersi col mio lato professionale, sì, quella paranoia si attiva. Se cerca invece di connettersi con me sul lato personale, tipo “Ehi, Deepen, andiamo a giocare a golf?”, non porterò le mie questioni lavorative sul campo da golf. Ma comunque sì, vivo una vita Zero Trust.