Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Massimiliano Brolli : 10 Novembre 2021 22:55
Autore: Massimiliano Brolli
Data Pubblicazione: 10/11/2021
In questo caldo autunno, non passa un giorno che una PA o una grande azienda italiana non venga colpita da un ransomware o da un incidente informatico di varia natura.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Qualche giorno fa un follower della pagina Facebook ha scritto un commento su un post, relativo alla violazione del comune di Perugia dicendo:
“ma perché non condividono mai i vettori di attacco alle infrastrutture, in modo che si possa farne tesoro?”.
Di fatto questa domanda, noi della community di RHC ce la stiamo ponendo già da diverso tempo, ma sembra che anche le persone si inizino a domandare come mai non si voglia fare tesoro e condividere le proprie esperienze sugli incidenti di sicurezza informatica, in modo da avvantaggiare altre organizzazioni nella risposta agli incidenti. Il problema infatti, è molto più complesso di quello che sembra.
Analogamente alle vulnerabilità non documentate, gli 0-day, il primo approccio di una azienda che non ha cultura nella cyber security è “chiudersi a riccio”. Questo perché avere una CVE pubblicata sul National Vulnerability Database degli Stati Uniti D’America è qualcosa che inorridisce per la propria brand e web reputation.
Successivamente quell’azienda, inizia ad ampliare la sua cultura nella cybersecurity e avvia un programma di Responsible Disclosure e inizia a comprendere che con la collaborazione, in questo caso della community hacker, e la divulgazione delle proprie vulnerabilità verso la community, riesce a mettersi più al sicuro che “chiudendosi a riccio”.
Successivamente quell’azienda diventa una CNA (CVE Numbering Authorities, ovvero si mette in condizioni di aprire lei stessa le CVE sui suoi prodotti) e crea una pagina di “hall of fame” per “celebrare i suoi ricercatori” che le hanno fornito informazioni sui bug di sicurezza dei loro prodotti e alla fine attiva un programma di bug bounty per poter “pagare” chi trova le falle sui suoi prodotti.
Molto bene, ma questo è un percorso… un percorso lungo.
Prendendo l’inizio e la fine di questa breve storiella, l’azienda è passata dal “chiudersi a riccio” e quindi non volerne sapere di pubblicare le sue vulnerabilità a “pagare chi possa trovargli dei bug” e quindi divulgarle.
Facendo un paragone, l’Italia oggi è quell’azienda che non vuole rendere pubbliche le proprie vulnerabilità. Infatti l’Italia non ha ancora compreso che solo attraverso la collaborazione e la sensibilizzazione della “comunità” intesa come tutti noi (dal semplice cittadino al progettista di rete, allo sviluppatore, al gestore dei servizi IT e all’utente dei sistemi) si potrà contrastare l’avanzata di un nemico sempre più militarizzato, nascosto, anonimo e oscuro.
Non dovremmo avere paura nel divulgare (completate le indagini del caso e non con tempi biblici) il vettore di attacco che ha compromesso la Regione Lazio, l’ASL RM3, il San Giovanni Addolorata, il comune di Perugia ecc.. ecc.. Anzi dovremmo essere felici di farlo conoscere a tutti e farne tesoro, pubblicando avvisi indirizzati a tutte le aziende pubbliche e private, incentivandole ad effettuare delle analisi per scongiurare che tale minaccia non riemerga.
Queste informazioni sono un enorme patrimonio che se non vengono “divulgate”, non ci fanno progredire, lasciandoci in quella fanghiglia scivolosa dove il cybercrime sguazza, pronto a trarne vantaggio in una lotta “impari” e “ingiusta”, ma che deve essere condotta al meglio da ognuno di noi collaborando efficacemente.
Noi italiani, per nostra cultura, siamo sempre molto bravi a parlare e a pontificare, facciamo conferenze, diffondiamo il verbo dall’alto dei nostri titoli e dei nostri finti altari, ma qua c’è poco da parlare, abbiamo necessità di una infinita “operatività specializzata” che non abbiamo ed è inutile che ci rifuggiamo dietro le belle slide e le presentazioni ad effetto.
Come fai ad ostacolare un avversario altamente specializzato e altamente motivato?
Con la tecnica.
Pertanto occorre fare. Scendere in campo, sporcarci le mani, capire tecnicamente come un black hacker viola i sistemi e configurarli in modo che questi non possano essere violati. Comprendere come un black hacker viola una web application (ma può essere un firmware, un IoT, una App Mobile, ecc…) e scrivere bene il software in modo che quelle falle di un errato sviluppo sicuro, non possano essere sfruttate a suo piacimento.
Occorre svolgere prevenzione, scansioni, penetration test.
Occorre anche saperli fare.
Ma dov’è questo esercito di tecnici specializzati?
Quanti ce ne sono?
Che strategie stiamo adottando per poterli formare?
Queste sarebbero le domande che la politica italiana dovrebbe porsi oggi e trovare delle soluzioni in quanto ostacolare il cybercrime lo si fa solo ponendosi sul suo stesso piano.
Lo si fa con attività di Red Team e di Blue Team e noi in Italia su questo siamo molto “scarsetti” e dobbiamo ancora studiare. Lo si fa iniziando dalle scuole come ha fatto e sta facendo la Cina, sviluppando interesse fin dalla scuola primaria alle materie tecnologiche ed informatiche formando una nuova generazione di hacker pronti ad essere utilizzati qualora risulti necessario, organizzando miriade di CTF all’interno delle università.
Le politiche ce ne sono fin troppe.
Il problema è che non possono essere applicate in quanto siamo carenti di tecnici specializzati. Dovremmo quindi evitare di risolvere il problema con una nuova politica, per poter dire dopo un nuovo incidente “io l’avevo scritto e qualcuno non l’ha fatto”, ma concentrarci a mettere in atto contromisure realmente efficaci.
Massimiliano BrolliGli esperti hanno lanciato l’allarme: i gruppi ransomware stanno utilizzando sempre più spesso il nuovo malware Skitnet (noto anche come Bossnet) per lo sfruttamento successivo delle ...
Nel panorama delle minacce odierne, Defendnot rappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di a...
Molti credono che l’utilizzo di una VPN garantisca una protezione totale durante la navigazione, anche su reti WiFi totalmente aperte e non sicure. Sebbene le VPN siano strumenti efficaci per c...
Durante una conferenza nazionale dedicata alla sicurezza informatica, sono stati ufficialmente premiati enti, aziende e professionisti che nel 2024 hanno dato un contributo significativo al National I...
Nel mondo della cybersecurity esiste una verità scomoda quanto inevitabile: per difendere davvero qualcosa, bisogna sapere come violarlo. L’autenticazione multi-fattore è una delle co...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
