Anche se gli americani hanno 20 volte più probabilità di morire in un incidente stradale che per un morso di serpente, la paura delle auto è molto meno diffusa. Questo perché la percezione umana del rischio nell’era moderna è altamente errata. Steve Grobman, vicepresidente e CTO di McAfee, sostiene che neanche il mondo cibernetico può sfuggire a percezioni errate.
Anche se misurare con precisione, che è più rischioso, fare paracadutismo o scalare l’Everest, sembra problematico, il mondo fisico fornisce i parametri per farlo. Grobman fa riferimento al micromort, un'unità o rischio definito come una possibilità di morte una su un milione.
Tenendo presente questo parametro, è possibile affermare che il paracadutismo è ben 4000 volte meno pericoloso che scalare la montagna più alta del pianeta. Le stime mostrano che un singolo lancio con il paracadute vale otto micromort, mentre la scalata all’Everest – 37,932.
“Dobbiamo utilizzare l’equivalente morale del micromort nel modo in cui pensiamo al rischio informatico, proprio come facciamo nel mondo fisico. Dobbiamo utilizzare dati scientifici per contrastare l’influenza dei media sociali e tradizionali e le nostre emozioni grezze”, ha affermato Grobman alla conferenza RSA la scorsa settimana.
Misurare il rischio
Secondo lui, gli eventi informatici hanno molteplici livelli di sfumatura. Pertanto, gli attori sul campo devono considerare diversi aspetti di un evento. Ad esempio, l’evento riguarda una singola organizzazione come l’hacking di Sony nel 2014, o è un evento globale come NotPetya era nel 2016.
Grobman ha proposto di stratificare i livelli di danno che un evento informatico potrebbe causare. Ad esempio, il furto di documenti di pianificazione interna, un'intrusione operata da esseri umani con un impatto diretto minimo, può avere immensi danni organizzativi a lungo termine.
Un altro criterio per valutare un rischio informatico potrebbe essere quello di confrontare se il rischio è attivo o passivo. Ciò significa distinguere tra i rischi a cui le persone e le organizzazioni sono esposte essendo connesse al mondo esterno rispetto ai rischi che derivano dalle decisioni aziendali.
"Dobbiamo anche comprendere il beneficio rischio-rendimento quando scegliamo di impegnarci in aree ad alto rischio, proprio come un escursionista può scalare volentieri una montagna, anche se sa che è intrinsecamente rischioso", ha detto Grobman.
Ciò si riduce a considerare tutti i possibili fattori e a valutare adeguatamente i rischi invece di sparare alla cieca nel buio.
Dobbiamo utilizzare dati scientifici per contrastare l’influenza dei media sociali e tradizionali e le nostre emozioni grezze,
Steve Grobmann.
Secondo lui, la componente principale per valutare con precisione un pericolo incombente è capire come un evento può influenzare una singola organizzazione, quante organizzazioni sono state colpite da un evento e in primo luogo la probabilità che si verifichi un evento informatico.
"Non sappiamo esattamente che tipo di eventi informatici si verificheranno in futuro, ma possiamo osservare le frequenze di diversi scenari lungo i vettori", ha affermato Grobman, confrontando la valutazione del rischio informatico con la preparazione ai disastri naturali.
Controllo di realtà
Secondo Grobman, l’analisi dei media tradizionali e dei social media mostra che molti attacchi di alto profilo che ricevono molta attenzione colpiscono principalmente una singola organizzazione. Ha delineato l'hacking del DNC, Equifax e le violazioni dei dati di Ashley Madison.
Anche se questi attacchi sono importanti e degni di nota, osserva, è importante non enfatizzare eccessivamente l'esatto piano di azione che viene eseguito negli scenari di attacco che si verificano nei casi a cui i media prestano maggiore attenzione.
Grobman sostiene che le campagne dei trickbot ricevono poca copertura mediatica, anche se agiscono come catalizzatori per scenari secondari ad alto impatto.
"Ad esempio, un attacco ransomware operato da esseri umani, progettato per trattenere la risorsa più preziosa per il trickbot di riscatto, cambia frequentemente la sua implementazione e colpisce un numero straordinariamente elevato di organizzazioni", afferma il CTO di McAfee.
Pertanto, la comunità informatica dovrebbe iniziare a rivalutare il modo in cui le minacce e i rischi vengono percepiti e valutati. Grobman si offre di prendere almeno diversi anni di dati sui vari attacchi e di iniziare a profilarli.
“Suddividiamo le cose in tre semplici elementi con cui ci occupiamo da decenni: attacchi mirati che colpiscono una singola organizzazione; malware indiscriminato, come ladri di password e ransomware; e minacce fastidiose, come i PUP, e aggiungere dove una delle cose che risalta è la relazione inversa tra impatto e ampiezza", ha affermato.
Sicurezza, quando la sicurezza è necessaria
Intervenendo alla conferenza RCA, Grobman ha riconosciuto che la portata dei rischi si sta ampliando con un numero crescente di attacchi sofisticati, l'aumento dei ransomware gestiti da esseri umani e dei cosiddetti "mega-worm".
“Dagli anni Novanta, la capacità di un aggressore di sfruttare una vulnerabilità praticabile per convertire le vittime in aggressori rimane una delle innovazioni antagoniste più potenti di tutti i tempi”, ha affermato.
Passando ad una nota più positiva, Grobman ha esortato a dedicare più tempo alla comprensione della portata e dell’ampiezza dei possibili attacchi informatici, poiché i budget limitati possono coprire solo un certo limite.
Ciò significa che è impossibile proteggersi da tutto, ma, se è così, ha più senso comprendere le principali minacce per massimizzare i rendimenti sugli investimenti nella sicurezza informatica.
Collegando il suo esempio a uno scenario di vita reale applicabile ai texani, ha spiegato che molte più persone muoiono scivolando nella vasca da bagno che a causa dei tornado. Pertanto, ha molto più senso investire 6 dollari in un tappetino da bagno che 4,000 dollari in un rifugio contro i tornado.
“L’implementazione dell’autenticazione a più fattori probabilmente riduce maggiori rischi rispetto all’imposizione di controlli di codice di terze parti nel tentativo di affrontare gli attacchi alla catena di fornitura. Il mio invito all'azione è questo: prendiamo le migliori decisioni possibili in materia di difesa informatica", ha affermato Grobman.
Altro da CyberNews:
Abbiamo distrutto tre laptop per vedere se i loro SSD funzionavano ancora
Rapporto: come i criminali informatici abusano delle chiavi API per rubare milioni
Se ne avessi la possibilità, venderesti la tua privacy o scompariresti dalla rete?
La "modalità di navigazione in incognito" non nasconde la cronologia di navigazione. Ecco perché
Iscriviti alla nostra newsletter
Fonte: https://cybernews.com/security/why-instinctive-fear-of-snakes-is-not-a-sound-basis-for-cyber-defense/
- 000
- 2016
- 7
- Action
- attivo
- Tutti
- .
- api
- attività
- attacchi
- Autenticazione
- MIGLIORE
- violazioni
- affari
- chiamata
- chiamare all'azione
- Responsabile Campagne
- auto
- auto
- casi
- Causare
- codice
- comunità
- componente
- Convegno
- CTO
- Cyber
- rischio cyber
- i criminali informatici
- Cybersecurity
- dati
- Violazioni dei dati
- Difesa
- distrutto
- disastri
- documenti
- emozioni
- Equifax
- stime
- Evento
- eventi
- esperti
- Nome
- futuro
- globali
- Griglia
- incidere
- nascondere
- storia
- tenere
- Come
- HTTPS
- Impact
- influenza
- Investimenti
- IT
- saltare
- Le
- Tasti
- computer portatili
- grandi
- Limitato
- il malware
- Media
- Metrica
- autenticazione a più fattori
- Offerte
- Password
- Persone
- pianeta
- pianificazione
- Presidente
- Privacy
- Ransom
- ransomware
- Attacco ransomware
- Crudo
- problemi
- Rischio
- valutazione del rischio
- secondario
- venda
- senso
- Rifugio
- Un'espansione
- So
- Social
- Social Media
- Sony
- inizia a
- fornire
- supply chain
- Il futuro
- minacce
- tempo
- contro
- Vicepresidente
- vulnerabilità
- settimana
- Lavora
- mondo
- valore
- youtube
