Come molti progettisti del modello OSI sanno, è importante aumentare il livello di sicurezza a ogni strato del modello.
E sebbene molti degli sforzi abbiano a che fare con il livello 7 (layer dell’applicazione), non bisogna dimenticarsi il “layer 8”, quello relativo agli utenti e alle policy.
Da alcune valutazioni, l’80% del know how di una società risiede nelle teste delle sue persone. Questo è un bene per l’attacker perché, senza un’adeguata formazione, i dipendenti e gli impiegati possono essere obiettivi più facili da raggiungere che non i computer e i server. E il mezzo primario per sfruttare la situazione è il cosiddetto social engineering.
Social engineering
Il social engineering è l’arte della manipolazione. Uno dei più conosciuti social engineer è Kevin Mitnick. Il suo libro, The Art of Deception, descrive l’uso delle tecniche di social engineering, che possono essere messe in pratica di persona, via telefono o tramite email. Indipendentemente dal modo in cui la vittima è approcciata, il social engegneering userà tipicamente una delle seguenti sei tecniche:
1. Autorità: Il social engineer si ritrae come se fosse in una posizione di autorità, in modo che i dipendenti possano aderire alle sue richieste.
2. Gradimento: Il social engineer comparirà come una persona piacevole e, di solito, la gente desidera fare le cose per la gente che gradisce.
3. Reciprocità: Quando qualcuno ci dà un regalo o ci fa un favore, desideriamo dare qualcosa in cambio. Gli studi hanno indicato che la gente dà qualche cosa di grande valore in cambio di qualcosa di poco valore, come una penna o un portachiavi
4. Consistenza: Le persone desiderano comportarsi nei modi coerenti con i loro valori e particolarmente con le loro dichiarazione pubbliche di quei valori.
5. Validazione sociale : La gente desidera appartenere e essere accettata. Il modo migliore per appartenere è essere come gli altri.
6. Scarsità: La gente desidera le cose che sono difficili da ottenere o disponibili soltanto per un breve periodo. Potreste rinviare l’acquisto di qualcosa per una vita intera se credete che sia sempre disponibile, ma se credete che la vostra occasione di acquistare quella determinata cosa possa svanire irrevocabilmente, sarete motivati ad acquistarla ora..
Training di sicurezza
Dato che i controlli logici quali i firewall sono sempre più evoluti, i cracker cercano mezzi più facili di attacco. Un esempio arriva dall’aumento che si sta avendo nei molti nuovi attacchi mirati di phishing, che sono conosciuti come spear phishing. La difesa migliore contro il social engineering è di assicurarsi che i dipendenti siano formati e informati su tali potenziali attacchi. Ad esempio usando le seguenti tecniche:
- Una newsletter di sicurezza su carta o via email
- Avvisi nella aree comuni
- Concorsi che ricompensano i dipendenti per il loro comportamento positivo riguardo la sicurezza
- Banner che appaiono quando gli utenti effettuano il log sui loro computer o quando avviano un programma specifico come l’email
Policy di sicurezza
La seconda linea di difesa del layer 8 è la policy. Le linee guida e le policy di sicurezza sono infatti un punto critico nel rendere sicura un’organizzazione contro un attacco. La mancanza di procedure di sicurezza ben progettate e di documentazioni specifiche rappresentano uno dei problemi più diffusi tra le organizzazioni. Le policy pongono tutti allo stesso livello e indicano chiaramente come si pone il senior management rispetto ai vari aspetti della policy. Inoltre, forniscono il tono generale e definiscono come la sicurezza sia percepita da chi sta all’interno di un’azienda..
L’applicazione di una policy deve fluire dall’alto dell’organizzazione. Bill Gates ha fornito un buon esempio di ciò nel 2002, quando scrisse un appunto indirizzato a tutti i suoi dipendenti. In questo appunto, Gates parlava di come la sicurezza stesse diventando la priorità n.1 di Microsoft. Non solo, Gates ha fornito una roadmap che ha dettagliato come gli obiettivi di sicurezza debbano essere perseguiti. Le buone policy e le procedure non sono efficaci se non sono spiegate e trasferite ai dipendenti, i quali devono essere formati in modo che capiscano l’importanza delle policy e delle procedure di sicurezza. Non dimentichiamo infatti che le persone sono l’asset più di valore di un’organizzazione, ma possono anche risultare la vulnerabilità più grande.
