Blog

Cybersecurity: l’ascesa dell’Ethical Hacking

Semplici firewall e antivirus da tempo ormai non sono più misure di sicurezza sufficienti1. Le minacce cyber possono nascere in ogni punto dell’azienda, e per questo il management non può più affidarsi esclusivamente a esperti IT per la protezione dei dati. Ad esempio, bisogna educare i dipendenti a truffe di social engineering come il phishing e cyber-attacchi sempre più sofisticati che mettono a rischio la proprietà intellettuale e i dati personali. Ma non è tutto. C’è un’altra strategia che il management può adottare oltre ad educare i propri dipendenti: affidarsi ad un Ethical Hacker.

 

 L’importanza della cybersecurity

La cybersecurity è la pratica di salvaguardare computer, tablet, server, smartphone e altri dispositivi elettronici, ma anche applicazioni software e dati da cyber-attacchi.

Nell’ultimo decennio l’uso dei computer e smartphone è aumentato enormemente, e sebbene il cyberspazio e Internet abbiano portato con sé enormi vantaggi, non sono certo arrivati tra noi privi di rischi e lati negativi.

Con il prosperare dell’uso di Internet, anche le minacce alla cybersecurity sono aumentate. Qualche giorno fa, il 18 maggio, Bloomberg scriveva che i cyber criminali stanno vincendo, e secondo gli esperti gli attacchi andranno solo a peggiorare2. Hacker e cybercriminali sono astuti e abbastanza competenti da sfruttare difetti3 nella maggior parte dei sistemi di cybersicurezza per portare a termine i loro attacchi. Per questo, le aziende dovrebbero mettere in piedi iniziative di cybersecurity di altissimo livello per assicurare la protezione dei loro dati. Oltre alle iniziative più diffuse a carico dei dipendenti (cambio password obbligatorio, autenticazione multi-fattore, corsi di aggiornamento, ecc.), le aziende possono decidere di passare ai servizi in cloud. Il vantaggio principale, in questo caso, è l'automatico aggiornamento all'ultima versione del software di cybersecurity.

 L’ascesa dell’Ethical Hacking

Un modo di dire inglese recita “modern problems require modern solutions”. Nel caso della cybersecurity, la modern solution è l’ethical hacking4, ovvero il processo di identificazione di vulnerabilità in una applicazione, sistema, dispositivo o infrastruttura di una organizzazione che un Black Hat (l'hacker "cattivo") potrebbe sfruttare per arrecare danno a un individuo o a una organizzazione. L’Ethical Hacking previene i cyber-attacchi e i data breach hackerando legalmente il sistema di una organizzazione per cercare i punti deboli e trovare il modo di rafforzarli. In poche parole, un hacker “buono” (detto white hat) si allea con l’organizzazione per far sì di trovare le vulnerabilità prima che sia un cybercriminale (black hat) a farlo. Semplice ma geniale.

 L’importanza dell’Ethical Hacker nella società odierna

L’importanza della competenza di un hacker in una organizzazione non può mai essere ripetuta ed enfatizzata abbastanza. Anche le aziende di dimensioni più piccole devono trovare un’alternativa affidabile per difendere i loro dati e infrastrutture dalle minacce esterne. Che l’azienda sia grande o piccola, il fondamento dell’Ethical Hacking rimane più che valido: per beccare un hacker si deve avere il suo stesso mindset.

Alcune aziende assumono ethical hacker per portare a termine ricerca, test e bug bounty (ne parleremo in una prossima puntata della rubrica di cybersecurity). Nonostante sia un lavoro di estremo valore, prestigio e competenza tecnica, alcuni (davvero pochi) Ethical Hacker non hanno bisogno di essere motivati da un programma di ricompensa economica, e agiscono piuttosto da volontari. Per qualsiasi ragione lo facciano (gloria? passione? autostima?), il punto rimane: gli ethical hacker lavorano nell’interesse e con il consenso dell’organizzazione per proteggerne i computer, i network, le infrastrutture. 

Un nome celebre di white hat hacker è Dan Kaminsky, che ha scoperto un bug nel protocollo Domain Name System (DNS) che avrebbe permesso agli hacker di performare attacchi di cache poisoning. 

 

 La strategia

Sfruttare le competenze degli Ethical Hacker è una strategia incredibilmente potente per scoprire le debolezze e vulnerabilità dei sistemi aziendali e renderli a prova di futuri attacchi di black hat hacker. Le aziende avrebbero la possibilità di far effettuare test di sicurezza da un hacker professionista alle loro condizioni. Perché farlo? Perché i data breach (tra i tanti attacchi cyber) sono troppo frequenti e costosi per essere ignorati, e investire ora in cybersecurity può salvare le aziende da futuri nuovi cyber-attacchi.

 

Nel prossimo episodio della rubrica sulla Cybersecurity: il Penetration Test

 

da-waterfall-a-devops-white-paper

 

Riferimenti

A survey of emerging threats in cybersecurity

2 Bloomberg Opinion

3 Top 10 Routinely Exploited Vulnerabilities

4 Ethical hacking