Plan like a Marketer, Test like an Attacker – Capire la natura umana per modificare i Comportamenti di Sicurezza

Digitree - Disruptive technologies for secure smart workers / Security Awareness  / Plan like a Marketer, Test like an Attacker – Capire la natura umana per modificare i Comportamenti di Sicurezza
KnowBe4 -

Plan like a Marketer, Test like an Attacker – Capire la natura umana per modificare i Comportamenti di Sicurezza

More Security Awareness Training Market Perspectives

Indipendentemente da quanto siano o possano diventare efficaci le tecnologie di sicurezza, gli attaccanti continueranno a vincere la guerra cibernetica perché hanno capito molto meglio di noi la psicologia della natura umana e continueranno a sfruttarla.

Questo è il nostro punto di vista e quello di Perry Carpenter, chief evangelist & strategy officer di KnowBe4, nonché autore del libro “Transformational Security Awareness”.

Nel suo discorso di apertura all’IT Web Security Summit del maggio scorso, Perry ha enfatizzato il fatto che gli utenti non sono stupidi né tanto meno negligenti, come spesso si sente ripetere, e neppure vogliono disobbedire deliberatamente alle nostre istruzioni: sono, semplicemente, esseri umani.

“Tutti noi siamo inclini a mostrare pattern di comportamento prevedibili e questo anche nel modo in cui interagiamo con la tecnologia” sostiene Perry. “Il solo modo per difenderci contro cli attacchi è quello di fare qualcosa di più che rendere le persone ‘consapevoli’. Alla fin fine, dobbiamo imparare a  fare i conti con i pattern comportamentali e con la realtà della natura umana.”

Riferendosi alla citazione tratta dal libro “L’Arte della Guerra” di Sun Tzu – ‘tutte le guerre sono basate sull’inganno’ – e sfruttando un popolare trucco con le carte, Perry è riuscito ad indurre in errore i circa seicento esperti di sicurezza presenti all’evento .

Gli utenti non sono stupidi né tanto meno negligenti, e neppure
vogliono disobbedire deliberatamente alle nostre istruzioni.
Sono semplicemente esseri umani.

Ai presenti venne detto di alzarsi in piedi e di selezionare rapidamente una delle cinque carte – tutte figure – che sarebbero apparse sullo schermo di fronte a loro. Dopo tre secondi, quattro carte furono di nuovo mostrate in atti o sullo schermo ad agli astanti fu detto di mettersi a sedere se la  loro carta non si trovava tra queste. E tutti – tranne una sola persona – si sedettero, in  un silenzio interrotto soltanto da qualche meravigliato commento. (Scopri, alla fine del post, come è stato possibile.)ingannare-natura-umana

Confondere la percezione con la realtà.

I criminali informatici, come le spie, i maghi, i truffatori e gli imbroglioni di professione, fanno sempre uso dell’umana tendenza a confondere la percezione con la realtà, spiega Perry.

E utilizzano anche altre tattiche, come quella conosciuta come OODA (observation-orientation-decision-action) loop, nascondendo le cose stra-ordinarie in mezzo a quelle ordinarie in modo tale che la mente umana, progettata per captare in modo automatico solo i messaggi veramente rilevanti, filtrerà, eliminandoli, quelli straordinari.

“Tutte le truffe ed i crimini basati sul phishing sono creati a partire da tattiche OODA e sfruttano alcuni comuni tratti che noi umani abbiamo in comune come la sete di conoscenza o il tornaconto finanziario, la curiosità o la paura, e lo fanno in un modo tale che solitamente porta a una reazione automatica e riflessa” ribadisce Perry.

Un errore comune commesso dagli esperti di sicurezza è quello di confondere la security awareness, cioè la consapevolezza di sapere, ad esempio, di non dover cliccare su un allegato sospetto, con il comportamento di sicurezza (farlo comunque per un certo numero di ragioni, spesso inconsapevoli).

“Possiamo dare alle persone l’informazione corretta ed esse possono percepire che è effettivamente la cosa giusta da fare. E nel giusto contesto potranno volerla fare. Ma poi prevale la natura umana che consta nel volere che le cose siano fatte e, di solito, nel modo più semplice e veloce possibile. Gli esseri umani sono inoltre pigri, animali sociali e tendono ad essere abitudinari.

“Così, se ti trovi ad avere dei problemi con la tua policy di sicurezza perché vuoi che le persone la seguano, questi problemi potrebbero derivare dal fatto che tu ti aspetti che essi agiscano in una maniera non coerente con la natura umana” sostiene Perry.

Dobbiamo imparare a comprendere i pattern comportamentali
e la realtà della natura umana.

Quando progettiamo una policy ed un programma di sicurezza, è essenziale tenere a mente questi fattori:

* Il solo fatto che io sia consapevole di qualcosa non significa che me ne importi.

* Se vogliamo lavorare contro la natura umana, siamo destinati a fallire. Sempre.

* Quello che gli impiegati fanno è di gran lunga più importante di ciò che essi sanno.

“Quello che i professionisti della sicurezza devono fare è pianificare come se la loro fosse una strategia di marketing e testare come se fossero dei criminali all’attacco. La posizione da assumere nel creare un programma che di fatto abbia dei risultati è quella di focalizzarsi sugli aspetti di un comportamento e utilizzare le tattiche di ingegneria sociale per modificare quel comportamento” conclude Perry.

Come funziona il trucco delle carte:

* Le cinque carte utilizzate sono tutte figure che sono più difficili da ricordare rispetto ai numeri.

* Le carte vengono mostrate solo per un tempo brevissimo e il pubblico viene messo in una situazione di urgenza – segui le mie istruzioni di scegliere e ricordare una carta.

* Quando le cinque carte vengono sostituite da quattro carte, nessuna delle carte sullo schermo era presente nella prima immagine. Tuttavia, la percezione che si viene a creare è che soltanto una delle carte sia mancante: la carta che ciascun membro del pubblico aveva scelto. (L’individuo che non si era seduto o ha mentito oppure a commesso uno sbaglio).

“Transformational Security Awareness” è finalmente disponibile! Lo puoi acquistsare (anche in formato Kindle) su Amazon.com  a questo indirizzo:

https://www.amazon.com/Transformational-Security-Awareness-Neuroscientists-Storytellers/dp/11195663

No Comments
Post a Comment