Utilizzare la psicologia per rafforzare la sicurezza informatica

Using psychology to strengthen cybersecurity

.fav_bar { float:left; border:1px solid #a7b1b5; margin-top:10px; margin-bottom:20px; } .fav_bar span.fav_bar-label { text-align:center; padding:8px 0px 0px 0px; float:left; margin-left:-1px; border-right:1px dotted #a7b1b5; border-left:1px solid #a7b1b5; display:block; width:69px; height:24px; color:#6e7476; font-weight:bold; font-size:12px; text-transform:uppercase; font-family:Arial, Helvetica, sans-serif; } .fav_bar a, #plus-one { float:left; border-right:1px dotted #a7b1b5; display:block; width:36px; height:32px; text-indent:-9999px; } .fav_bar a.fav_print { background:url(‘/images/icons/print.gif’) no-repeat 0px 0px #FFF; } .fav_bar a.fav_print:hover { background:url(‘/images/icons/print.gif’) no-repeat 0px 0px #e6e9ea; } .fav_bar a.mobile-apps { background:url(‘/images/icons/generic.gif’) no-repeat 13px 7px #FFF; background-size: 10px; } .fav_bar a.mobile-apps:hover { background:url(‘/images/icons/generic.gif’) no-repeat 13px 7px #e6e9ea; background-size: 10px} .fav_bar a.fav_de { background: url(/images/icons/de.gif) no-repeat 0 0 #fff } .fav_bar a.fav_de:hover { background: url(/images/icons/de.gif) no-repeat 0 0 #e6e9ea } .fav_bar a.fav_acm_digital { background:url(‘/images/icons/acm_digital_library.gif’) no-repeat 0px 0px #FFF; } .fav_bar a.fav_acm_digital:hover { background:url(‘/images/icons/acm_digital_library.gif’) no-repeat 0px 0px #e6e9ea; } .fav_bar a.fav_pdf { background:url(‘/images/icons/pdf.gif’) no-repeat 0px 0px #FFF; } .fav_bar a.fav_pdf:hover { background:url(‘/images/icons/pdf.gif’) no-repeat 0px 0px #e6e9ea; } .fav_bar a.fav_more .at-icon-wrapper{ height: 33px !important ; width: 35px !important; padding: 0 !important; border-right: none !important; } .a2a_kit { line-height: 24px !important; width: unset !important; height: unset !important; padding: 0 !important; border-right: unset !important; border-left: unset !important; } .fav_bar .a2a_kit a .a2a_svg { margin-left: 7px; margin-top: 4px; padding: unset !important; }

La psicologia studia il comportamento umano, inferendo ciò che le persone pensano in base a ciò che fanno. La cibersicologia studia come le persone agiscono su Internet.

Un nuovo programma di ricerca di cibersicologia, Reimagining Security with Cyberpsychology-Informed Network Defenses (ReSCIND) dell’Intelligence Advanced Research Projects Activity (IARPA) del Dipartimento della Difesa degli Stati Uniti, si concentra su come agiscono e pensano i criminali informatici.

Secondo la responsabile del programma IARPA Kimberly Ferguson-Walter, il programma ReSCIND mira a studiare la cibersicologia dei criminali informatici al fine di individuare le debolezze del loro modo di pensare per migliorare la sicurezza informatica.

• Gemelli Digitali Biomedici
• ChatGPT ora può generare immagini
• Lo stato dello streaming dei dati per i nativi digitali (nati nel cloud)

La ricerca potrebbe portare a difese informatiche che rallentano o impediscono gli attacchi sfruttando tali debolezze per influenzare il comportamento degli attaccanti. Il programma ReSCIND applicherà metodi scientifici a soggetti umani che mostrano comportamenti di criminalità informatica.

Il governo e il settore privato si avvalgono di fornitori di sicurezza informatica per proteggere gli asset informativi utilizzando tecnologie avanzate di inganno.

Secondo Ferguson-Walter, gli approcci classici all’inganno hanno utilizzato macchine e password fittizie chiamate esche e token honey per attirare e distrarre i criminali informatici mentre avvisano i difensori informatici.

Le tecniche di inganno attuali utilizzano avanzamenti nelle tecnologie emergenti per proteggere i complessi ambienti moderni delle tecnologie dell’informazione (IT) e delle tecnologie operative (OT).

I cyberpsicologi e gli esperti di sicurezza informatica hanno grandi speranze per gli avanzamenti della cibersicologia nella sicurezza informatica. Alcuni hanno aspettative a breve termine per applicazioni pratiche.

Tuttavia, rimangono delle sfide.

Torna in cima

Come la Cibersicologia Potrebbe Rafforzare la Sicurezza Informatica

La maggior parte dei progressi nel campo della sicurezza informatica riguarda la cibersicologia, ha detto Fred Cohen, un informatico americano noto come l’inventore delle tecniche di difesa contro i virus informatici, attualmente CEO dell’azienda Management Analytics.

“Il campo della cibersicologia è molto più ricco del campo tecnico. Abbiamo esaurito in gran parte gli aspetti tecnici della sicurezza informatica”, ha detto Cohen.

Secondo Cohen, la ricerca sperimentale che ha portato al suo articolo del 2001 “Red Teaming Experiments” con Deception Technologies ha stabilito la sostenibilità a lungo termine della cibersicologia per la sicurezza informatica.

IARPA ReSCIND potrebbe portare la cibersicologia oltre le tecniche di inganno.

“Il programma ReSCIND mira a migliorare la sicurezza informatica sviluppando un nuovo insieme di difese basate sulla cibersicologia che sfruttano le limitazioni umane degli attaccanti, come i loro pregiudizi decisionali innati o le vulnerabilità cognitive”, ha detto Ferguson-Walter.

I pregiudizi cognitivi di un criminale informatico sono le debolezze nel modo in cui pensano che li portano a mostrare certi comportamenti durante gli attacchi. Utilizzando la cibersicologia, i difensori potrebbero sfruttare queste debolezze, innescando comportamenti a loro vantaggio.

Secondo Ferguson-Walter, il programma IARPA ReSCIND vuole sviluppare algoritmi che adattano automaticamente le nuove difese informatiche agli stessi comportamenti dei criminali informatici riscontrati durante la ricerca.

La ricerca di Palvi Aggarwal, professore assistente di informatica presso l’Università del Texas a El Paso, offre un esempio di come tali algoritmi potrebbero funzionare.

Nella ricerca di Aggarwal, pubblicata su Computer & Security, gli attaccanti erano avversi al rischio nelle loro decisioni. Gli hacker criminali hanno mostrato il loro comportamento avverso al rischio dimostrando una preferenza per gli attacchi a macchine con ricompense basse ma una alta probabilità di successo. Sembrava essere molto più importante per loro evitare l’apparenza di fallimento di un attacco che ottenere un guadagno significativo per i loro sforzi.

Se, ad esempio, il programma ReSCIND potesse utilizzare i risultati di Aggarwal nei suoi algoritmi, le difese informatiche risultanti potrebbero presentare agli hacker criminali obiettivi a basso rischio e bassa ricompensa per distoglierli dai beni di alto valore che un’organizzazione deve proteggere di più.

Aggarwal ha richiesto di partecipare al programma ReSCIND.

Torna in cima

Imparare Come Pensano i Criminali Informatici

Il programma ReSCIND ha bisogno di nuove ricerche su soggetti umani per esplorare compiti dinamici di attacco informatico con partecipanti umani esperti, ha detto Ferguson-Walter.

Il programma ReSCIND deve studiare soggetti che si impegnano in comportamenti di hacker criminali.

Mary Aiken, professore di cibersicologia presso la Capitol Technology University di Laurel, MD, che ha richiesto di partecipare a ReSCIND, ha raccolto alcuni dati interessanti sui comportamenti dei cybercriminali da soggetti umani.

Secondo Aiken, ha indagato sui fattori umani e tecnici del crimine informatico durante il suo periodo come ricercatrice principale in un progetto di ricerca pan-europeo. Aiken ha detto di aver intervistato 8.000 ragazzi dai 16 ai 19 anni in nove paesi dell’UE.

Ciò che ha scoperto in quella ricerca è che quasi la metà dei partecipanti (47,76%) ha ammesso di essersi impegnata in comportamenti di crimine informatico nei 12 mesi precedenti, ha detto Aiken.

Ha anche scoperto che il 11,8% dei ragazzi intervistati ha dichiarato di utilizzare i Forum del Dark Web e, ancora più preoccupante, il 10,7% ha dichiarato di utilizzare i Mercati del Darknet, ha riferito.

I Mercati del Darknet ospitano strumenti maligni per i cybercriminali e dati rubati, inclusi credenziali utente (come nomi utente e password).

“Un risultato unico e significativo della nostra ricerca è stata una forte relazione tra il rischio chiave e i comportamenti dei cybercriminali”, ha detto Aiken. I comportamenti includevano hacking, frodi informatiche e furto di identità, tra gli altri, secondo Aiken.

In un sondaggio su 8.000 ragazzi dai 16 ai 19 anni in nove paesi europei, quasi la metà ha ammesso di essersi impegnata in comportamenti di crimine informatico nei 12 mesi precedenti.

“Abbiamo anche indagato su tratti comportamentali rilevanti”, ha detto Aiken. Questi includono comportamenti compulsivi, impulsivi e ossessivi online, ha spiegato.

Ferguson-Walter ha ipotizzato diversi pregiudizi cognitivi che potrebbero influenzare i comportamenti degli attaccanti. Le nuove soluzioni per i difensori potrebbero utilizzare questi pregiudizi per far credere a un attaccante di aver ottenuto molta oscurità all’interno della rete in modo che prendano più rischi. Ciò potrebbe facilitare il compito dei difensori nel catturarli.

“Ma un difensore cibernetico potrebbe avere obiettivi diversi”, ha detto Ferguson-Walter. “Potrebbero voler indurre gli attaccanti a adottare comportamenti meno rischiosi perché stanno cercando di proteggere un asset chiave e hanno bisogno di più tempo per mitigare l’attacco”, ha spiegato.

Torna all’inizio

Come viene utilizzata la cibernetica nella cibersicurezza

Gli avanzamenti nelle tecniche di inganno, come i gemelli digitali e le simulazioni della tecnologia operativa (OT), hanno dato buoni risultati alle organizzazioni pubbliche e private.

Lo studio di caso della gestione della superficie di attacco esterna di CounterCraft con i gemelli digitali: uno studio di caso ( https://bit.ly/3UZDA3b ) descrive come un cliente bancario globale di CounterCraft ha utilizzato la soluzione di inganno The Edge di quella società per creare un gemello digitale del suo sistema di interfaccia di programmazione delle applicazioni (API) per attirare gli attaccanti e raccogliere informazioni sugli attacchi ai sistemi della banca.

Un gemello digitale è indistinguibile dal sistema reale. Ha permesso alla banca di attirare rapidamente un attacco organizzato e di successo sul gemello digitale. La banca ha utilizzato la soluzione di intelligence sulle minacce The Edge di CounterCraft per filtrare e raccogliere le tattiche, le tecniche e le procedure (TTP) degli attaccanti e gli indicatori di compromissione (IoC). Gli IoC sono indizi di un attacco, mentre le TTP sono il modo in cui i criminali informatici portano avanti gli attacchi. Il resoconto dell’attacco ha permesso alla banca di rinforzare il sistema API e altri sistemi contro vulnerabilità simili in attacchi futuri.

Secondo un documento tecnico del Pacific Northwest National Laboratory (PNNL) e di Attivo Networks intitolato “Model Driven Deception for Defense of Operational Technology Environments”, il Dipartimento dell’Energia degli Stati Uniti (DoE) utilizza tecnologie di inganno per proteggere le infrastrutture critiche. Il rapporto racconta di una Prova di Concetto (PoC) in cui è stato utilizzato l’inganno per proteggere la tecnologia operativa (OT) in una sottostazione di distribuzione elettrica.

La PoC ha utilizzato la piattaforma Attivo BOTsink, che ha presentato ai criminali informatici i risultati credibili ma simulati di un attacco OT. La soluzione BOTsink ha convinto gli aggressori che i sensori a valle li avevano rilevati spegnere una valvola simulata.

I dispositivi OT comunicano utilizzando diversi protocolli di rete, controllando e monitorando variabili e rispondendo in base a una logica specificata. I controller e le applicazioni OT scambiano comandi in base ai dati dei sensori. Gli aggressori si aspettano di vedere reazioni nei controller in risposta alle loro attività malevole.

La simulazione OT ha previsto i sintomi e gli eventi del mondo reale e li ha duplicati in modo efficace. (Sentinel One ha acquisito Attivo Networks nel 2022.)

Torna all’inizio

Ritorni a breve termine, speranze e sfide

Le applicazioni pratiche della ricerca in cibernetica dovrebbero apparire sul mercato entro tre o cinque anni, secondo Justin Cappos, professore associato di informatica e ingegneria presso la New York University Tandon School of Engineering. “Stiamo considerando un comportamento delle API più intuitivo e un uso più intelligente dei telefoni cellulari, come il permesso per smartphone e l’uso delle politiche sulla privacy”, ha detto Cappos.

“Gli aggressori qui sono i progettisti di API di Facebook, che guadagnano facendo sì che gli utenti non valutino correttamente la loro privacy. Sono loro che sfruttano le debolezze degli utenti per raggiungere i loro obiettivi”, ha detto Cappos. “Le migliori API sono così chiare che è difficile abusarne. Un utente informato spesso farebbe scelte sulla privacy molto diverse da quelle attuali”, ha detto.

Quindi, la comprensione della cibernetica dei progettisti di API potrebbe rafforzare la cibersicurezza richiedendo API trasparenti e intuitive in tutta l’industria. Potrebbe anche informare gli utenti, che potrebbero negare le autorizzazioni per le app sui telefoni cellulari e fare altre scelte sulla privacy.

Tuttavia, rimangono sfide alla cibernetica.

Per prima cosa, “Abbiamo bisogno di più ricercatori competenti in questo campo della cibernetica”, ha detto Cappos.

“C’è molto potenziale qui. È solo che richiede una combinazione di competenze tecniche e psicologiche approfondite. Raramente vediamo queste competenze insieme”, ha detto Cappos.

Tuttavia, il riconoscimento dell’importanza del campo della cibernetica sta crescendo e il finanziamento da parte di IARPA per il programma ReSCIND è un chiaro segnale di ciò.

“Quando il governo investe in un’area, può avviare la ricerca in tutta l’industria e l’accademia. Investiamo in ricerca ad alto rischio per ottenere risultati che l’industria e l’accademia non avrebbero perseguito prontamente”, ha detto Ferguson-Walter, riferendosi all’investimento recente di IARPA nella cibernetica tramite ReSCIND.

Sarà interessante vedere cosa potrà fare la ricerca sulla cibernetica ben finanziata per la cibersicurezza. Tuttavia, nessuna quantità di denaro la trasformerà in una soluzione per tutte le minacce cibernetiche.

“È dubbio che la cibernetica da sola possa fare una grande differenza, perché molte persone cercano di attaccarci da molte angolazioni diverse.”

Ha detto Cappos: “È dubbio che solo la cibercriminologia possa fare una grande differenza, perché molte persone stanno cercando di attaccarci da molti angoli. Sono ottimista sul fatto che possa aiutarci a migliorare alcune cose. Tuttavia, non penso che sarà la soluzione definitiva per i problemi di sicurezza informatica.”

Ulteriori letture

CounterCraft—Cyberspace Deception U.S. Defense Innovation Unit, www.diu.mil

Ferguson-Walter, K.J. Una valutazione empirica dell’efficacia della falsificazione per la difesa cibernetica. Marzo 2020. University of Massachusetts, Amherst. https://core.ac.uk/download/pdf/288433305.pdf

Edgar, T.W., Hofer, W., and Feghali, M. Falsificazione basata su modelli per la difesa degli ambienti di tecnologia operativa. Settembre 2020. Pacific Northwest National Laboratory. Attivo Networks. https://bit.ly/3AqD7xi

Aggarwal, P. et al. Progettazione di strategie di mascheramento efficaci per la difesa cibernetica attraverso sperimentazioni umane e modelli cognitivi. Giugno 2022. Computer & Security. https://www.sciencedirect.com/science/article/pii/S0167404822000700

Fred Cohen & Associates, Esperimenti di Red Teaming con tecnologie di falsificazione, http://all.net/journal/deception/experiments/experiments.html

Torna all’inizio

Autore

David Geer è un giornalista specializzato in questioni legate alla sicurezza informatica. Scrive da Cleveland, OH, USA.

©2023 ACM  0001-0782/23/10

È concessa l’autorizzazione a copiare digitalmente o fisicamente parte o l’intero contenuto di questo lavoro per uso personale o didattico senza alcun costo, a condizione che le copie non siano fatte o distribuite per scopi di lucro o vantaggio commerciale e che le copie riportino questa notifica e la citazione completa sulla prima pagina. Il copyright per i componenti di questo lavoro di proprietà di terzi diversi da ACM deve essere rispettato. È consentito l’abstracting con il credito. Per copiare diversamente, ripubblicare, pubblicare su server o ridistribuire a elenchi, è necessario ottenere un’autorizzazione specifica preventiva e/o un compenso. Richiedere l’autorizzazione per la pubblicazione a [email protected] o via fax al (212) 869-0481.

La Digital Library è pubblicata dall’Association for Computing Machinery. Copyright © 2023 ACM, Inc.