Che cos’è una superficie di attacco umana?
Si presta molta attenzione alle superfici di attacco di reti ed endpoint, ma esiste un’altra superficie di attacco spesso trascurata: la superficie di attacco umana. Questo potrebbe spiegare perché il 74% delle violazioni analizzate per il Report 2023 sulle indagini sulle violazioni dei dati (DBIR) di Verizon coinvolgeva un elemento umano.
Le superfici di attacco umane si formano quando utenti o amministratori non rispettano le best practice di sicurezza. Queste mancanze consistono principalmente nel cadere vittima di attacchi di social engineering. Secondo il report di Verizon, phishing e pretexting, spesso utilizzato insieme al phishing, sono i due tipi di social engineering che causano il maggior numero di vittime. Non sorprende che il 43% delle organizzazioni intervistate per il Press Reset: report 2023 sullo stato della cybersecurity abbia subito un attacco di phishing negli ultimi due anni.
Altri componenti che possono costituire una superficie di attacco umana includono:
- Mancata applicazione regolare delle patch ai sistemi.
- Utilizzo di password deboli e riutilizzate.
- Assegnazione impropria dei privilegi utente.
- Lasciare aperta la porta di un edificio adibito a uffici.
- Consentire a persone non autorizzate di praticare tailgating o piggybacking per accedere a uno spazio protetto.
- Mancata eliminazione delle carenze nella progettazione della rete.
- Consentire il furto di informazioni sensibili tramite shoulder surfing.
- Cadere vittima di un attacco di baiting collegando un’unità USB sconosciuta a un computer.
- Smaltimento improprio di dati sensibili.
L’elenco è infinito. Sebbene gli esempi condivisi finora siano in genere azioni involontarie attribuibili a ingenuità e negligenza, le superfici di attacco umane includono anche le azioni intenzionali di insider malevoli. Secondo la Cybersecurity & Infrastructure Security Agency (CISA), una minaccia intenzionale è “la possibilità che un insider utilizzi il proprio accesso autorizzato o la propria conoscenza di un’organizzazione per danneggiarla.”
È importante notare che diversi vettori di attacco possono essere considerati parte di più tipi di superfici di attacco. Ad esempio, la porta lasciata aperta potrebbe essere considerata sia parte di una superficie di attacco umana, poiché è stata tenuta aperta da una persona, sia parte di una superficie di attacco fisica, perché la porta è un oggetto fisico che consente l’accesso a un luogo fisico. Ciò che conta davvero non è il tipo di superficie di attacco a cui viene attribuito un vettore di attacco, ma il fatto di identificarlo, gestirlo e, ove possibile, eliminarlo.
Scopri di più: Individuazione della superficie di attacco: come identificare la superficie di attacco della tua organizzazione