La formazione in ambito Cybersecurity non è mai stata sulla cresta dell’onda come questo periodo. Tra annunci di ransomware che bloccano le proprie vittime, KillNet che dichiara di mettere in ginocchio tutta l’Italia, Anonymous che promette di difenderci e contrattaccare al Russia ci si mette anche l’autorità nazionale per la cybersicurezza che annuncia di assumere nei prossimi 3 anni n-mila esperti di cybersecurity con n grande a piacere.

A parte gli scherzi, è vero che la richiesta di esperti in questo settore è notevolmente aumentata e che il classico skill shortage, in pratica differenza tra domanda e offerta, è in continuo aumento, ma è altrettanto vero che quando si parla di “Cybersecurity” si parla di aria fritta!

Le squadre blue conoscono bene lo stress del difensore: “troppi eventi in troppo poco tempo”. 

Il tempo di reazione è una chiave interpretativa della qualità di un servizio di difesa; ma perché possa essere valutato il tempo di reazione, il tempo di azione della minaccia deve essere sufficientemente dilatato da consentire il tempo di intercettazione, comprensione, ed infine di reazione. 

Dal punto di vista della prevenzione, invece, il tempo può essere considerato in relazione alla conoscenza dell’esistenza di una vulnerabilità e alla costatazione della sua presenza nel perimetro (Vulnerability Identification), al fine di misurare poi il tempo necessario a che la vulnerabilità sia sanata (Remediation), ammesso che sia già noto un metodo. L’urgenza dell’intervento correttivo è un ulteriore parametro in gioco (nel momento che esistano soluzioni) nella realizzazione di un “Remediation Plan”, in quanto il tempo a disposizione per risolvere è comune a tutte le problematiche, pertanto per avvicinare il momento che sani la vulnerabilità più insidiosa occorre fare delle scelte.

La pandemia COVID-19 è stata uno spartiacque: il mondo ha cominciato a girare in modo differente, molto è cambiato e molto cambierà ancora, tra paure e speranze. 

Solo una cosa è rimasta costante: le frodi telematiche hanno continuato a lavorare con la medesima forza ed efficacia, sfruttando il fenomeno pandemico e (al contrario) la voglia di uscirne. 

Se durante la pandemia (in realtà non ne siamo ancora fuori, ma indichiamo con questo il suo picco critico) gli agenti di minaccia hanno diffuso i loro strumenti di attacco grazie alla fame di notizie e l’attenzione per il tema COVID-19, ora che le persone tentano di uscire dal tunnel dei lockdown e altre forme di restrizioni personali (orientandosi al mercato del turismo e viaggi in generale) le mire degli agenti di minaccia hanno cominciato ad orientarsi verso l’industria dei viaggi e dell’intrattenimento e tempo libero, che ha trovato un rinnovato e naturale interesse nella popolazione mondiale

Scoprire un nuovo APT (Minaccia Avanzata Persistente) non è una cosa facile, non tanto per la capacità elusiva della singola attività, ma quanto per la difficoltà di correlare le attività di minaccia e associarle ad un’unica organizzazione. Si tratta di comprendere le TTP (Tattiche, Tecniche e Procedure) che la minaccia adotta e legarle come un filo rosso nelle differenti tracce di attività rilevate. 

È così che una minaccia persistente possa agire indisturbata per mesi o per anni prima che possa essere individuata e seguita nelle sue attività fino al punto di poterne contrastare le capacità offensive. 

Recentemente i SentinelLabs di SentinetOne hanno potuto chiudere il cerchio delle ricerche ed individuare come tutta una serie di attività, che da un decennio imperversano in differenti paesi del sud-est asiatico (Cambogia, Singapore, Vietnam e Hong Kong), ma anche in Australia, fossero legate ad un'unica entità. Questo gruppo di minaccia ha preso di mira per tutto questo lungo periodo organizzazioni governative, educative, e di telecomunicazioni essenzialmente con finalità di spionaggi