• Save
InnoVision Paper: Social-driven Vulnerability
Upcoming SlideShare
Loading in...5
×
 

InnoVision Paper: Social-driven Vulnerability

on

  • 2,607 views

Scarica l'InnoVision Paper: http://bit.ly/downloadIVPsdv

Scarica l'InnoVision Paper: http://bit.ly/downloadIVPsdv

Statistics

Views

Total Views
2,607
Views on SlideShare
1,424
Embed Views
1,183

Actions

Likes
3
Downloads
0
Comments
0

17 Embeds 1,183

http://www.pierotaglia.net 559
http://www.cefriel.com 328
http://liberononprofessionista.blogspot.it 154
http://blog.cefriel.com 52
http://liberononprofessionista.blogspot.com 39
http://www.webcefriel.com 15
http://education.cefriel.com 11
http://www.tumblr.com 7
https://twitter.com 6
http://feeds.feedburner.com 4
http://cloud.feedly.com 2
http://liberononprofessionista.blogspot.ru 1
http://liberononprofessionista.blogspot.com.ar 1
http://liberononprofessionista.blogspot.jp 1
http://liberononprofessionista.blogspot.nl 1
http://digitalknowledgecefriel.com 1
https://www.rebelmouse.com 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-NonCommercial-NoDerivs LicenseCC Attribution-NonCommercial-NoDerivs LicenseCC Attribution-NonCommercial-NoDerivs License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    InnoVision Paper: Social-driven Vulnerability InnoVision Paper: Social-driven Vulnerability Document Transcript

    • SOCIAL-DRIVEN VULNERABILITY 1CEFRIELINNOVISIONPAPERGiugno 2013SOCIAL-DRIVEN VULNERABILITYAffrontare e gestire le vulnerabilità generate dai Social Media
    • CEFRIEL innovision paper GIUGNO 20132 |
    • SOCIAL-DRIVEN VULNERABILITY 3Indice1. Introduzione..........................................................................................................................................................................32. La social-driven vulnerability oggi..........................................................................................................................................42.1 Il ruolo centrale del fattore umano nei nuovi attacchi informatici..................................................................................42.2 I principali trend d’incremento della social-driven vulnerability...................................................................................83. Criticità e minacce................................................................................................................................................................133.1 Fattori di criticità.........................................................................................................................................................133.2 Destinatari e obiettivi del cybercrime..........................................................................................................................163.3 Le nuove minacce “social”...........................................................................................................................................174 Esempi di attacchi................................................................................................................................................................194.1 Sfruttare la fiducia del target......................................................................................................................................204.2 Individuare l’esca giusta..............................................................................................................................................214.3Correlareleinformazioni.............................................................................................................................................225 Difendersi dalla social-driven vulnerability: un cambio di paradigma a 360°.........................................................................245.1 Monitoraggio social...........................................................................................................................................................275.2Monitoraggiotecnologico..................................................................................................................................................285.3 Processi di controllo per la prevenzione ............................................................................................................................295.4 Implicazioni organizzative dell’approccio integrato alla sicurezza aziendale.......................................................................306 Conclusioni...........................................................................................................................................................................31
    • CEFRIEL innovision paper GIUGNO 20134 |1. IntroduzioneNel settore della sicurezza dei sistemi informativi aziendali, oggi leaziende si trovano di fronte a nuove sfide, a fronte di un nuovo tipo divulnerabilità legata alla crescente diffusione del fattore “sociale”, ossiadell’uso dei Social Media, e incrementata dagli attuali trend in ambitotecnologico.Le modalità d’interazione tra le persone stanno infatti cambiando, a fa-vore di un rapporto “bidirezionale” molto stretto che prevede di genera-re, condividere, commentare le informazioni, e non soltanto di produrlee/o riceverle. In quest’ottica, le persone non utilizzano più soltanto i blog,ma un crescente numero di altri canali social (in primo luogo Facebook),moltiplicando la quantità d’informazioni condivise, la loro velocità dicircolazione e il numero di persone che ne hanno accesso.All’uso crescente dei Social Media, soprattutto da parte dei cosiddetti“nativi digitali”, si affiancano altri fattori che rischiano di incrementare lavulnerabilità dei sistemi informativi aziendali nel loro complesso: la sem-pre maggiore diffusione dei dispositivi mobili e la possibilità di esserecostantemente connessi in rete nell’arco della giornata, potenzialmentesenza soluzione di continuità, sia nell’ambito lavorativo che durante iltempo libero.In particolare, a febbraio 2013, i possessori di smartphone in Italia erano26,2 milioni di persone dai 13 anni in su, pari al 54,6% della popolazionemobile1. Lo smartphone è sempre più utilizzato per la lettura delle email(82%), per l’accesso ai Social Network (72%) e per l’utilizzo di servizieCommerce (20%)2. Inoltre, nel mese di febbraio, quasi il 17% degliutenti ha utilizzato lo smartphone per accedere al proprio conto in bancaalmeno una volta nel mese.In questo contesto, emerge con chiarezza come il fattore umano possarappresentare sempre più l’anello debole nei processi di difesa della sicu-rezza aziendale e come gli interventi sulla dimensione sociale debbanoormai essere integrati con quelli più specificatamente tecnologici. Questiultimi, contestualmente, devono continuare a evolvere per proteggeremeglio sia il perimetro che la struttura interna dell’azienda, per sviluppa-re quanto più possibile un’azione sinergica di protezione a 360°.1  Osservatorio Mobile Internet, Content &Apps, Giugno 20132 Netcomm, Le dinamiche del mercato nel contesto internazionale, Maggio 2013
    • SOCIAL-DRIVEN VULNERABILITY 52. La Social-Driven VulnerabilityoggiGli attacchi informatici stanno diventando in generale sempre più nume-rosi e diffusi, rappresentando una potenziale minaccia per ogni tipo diobiettivo, dai singoli utenti alle imprese di tutte le dimensioni. A questoproposito, sulla base dei quasi 1.200 principali attacchi (tra quelli noti)analizzati nel rapporto CLUSIT 2013, emerge come il 2012 sia stato alivello internazionale un anno di forte crescita delle minacce informati-che, con un aumento del 254% complessivamente, e come il Cyber Crimesuperi ormai il 50% del totale (dal 36% del 2011 al 54% del 2012).Dal punto di vista degli obiettivi, sebbene il settore Governativo rimangail bersaglio più frequentemente colpito all’interno del campione consi-derato, i tassi di crescita maggiori degli attacchi sono stati rilevati nelsettore “Online Service e Cloud”, che include i Social Network, con unincremento del 900%.Più in particolare, alcuni casi eclatanti di truffe digitali e disservizi infor-matici recentemente attuati ai danni di aziende e istituzioni pubblichemettono in luce come il fattore umano, inserito in un contesto semprepiù connesso, mobile e social, rappresenti un elemento di crescente vul-nerabilità nei processi di difesa della sicurezza nel contesto aziendale.2.1 Il ruolo centrale del fattore umano nei nuovi attacchiinformaticiLe dinamiche d’interazione e i comportamenti personali sono semprepiù oggetto d’analisi e utilizzo da parte della cosiddetta “Social Engine-ering” per costruire attacchi informatici mirati a partire dalle vulnerabi-lità proprie del fattore umano. La Social Engineering può essere infattidefinita come un insieme di tecniche volte a influenzare una persona perraggiungere scopi anche fraudolenti, quali ottenere informazioni privateviolando accessi riservati o inducendo il target stesso a mettere in attodeterminate azioni.Quando si parla di social engineering occorre ricordare che, dal puntodi vista dell’asset informativo protetto, gli utenti sono un tutt’uno coni sistemi da loro stessi usati o gestiti e, anzi, ne costituiscono spessoproprio la parte più debole. Di conseguenza, affrontare i temi legati allevulnerabilità umane, sfruttate tramite le tecniche di social engineering, èattualmente uno degli impegni chiave per chi si occupa di sicurezza.Dal punto di vista metodologico, la social engineering facilita la crea-zione di un contatto diretto con le potenziali vittime. Dal punto di vistatecnologico, questo tipo di attacchi è altamente mirato e sviluppato in
    • CEFRIEL innovision paper GIUGNO 20136 |modo da rimanere “sotto traccia”, cioè senza far scattare alcun allarmenei tradizionali sistemi di difesa perimetrale (Firewall, Anti-virus, Intru-sion Detection System). Solitamente, una buona fase preparatoria di unattacco di social engineering permette di identificare un target “umano”vulnerabile a determinati “messaggi”. Entrando in contatto con la vittimaselezionata, si evitano quindi tutte le complicazioni tecnologiche deri-vanti dal dover sfruttare vulnerabilità particolari nei sistemi tecnologici:l’attaccante entra dalla porta principale del sistema, con l’aiuto dellavittima stessa e non deve “scassinare” alcun sistema3.Il caso RSA: un attacco a partire da un finto profiloUno dei casi di frode di maggiore rilievo recentemente documentati hacolpito addirittura la società RSA4, leader nel settore della sicurezza in-formatica. I passi seguiti da questo attacco possono essere definiti, in uncerto senso, “da manuale” e sono quindi particolarmente significativi perillustrare concretamente le caratteristiche peculiari delle nuove minacce.Il primo punto di contatto è avvenuto tramite i Social Network, ossiatramite un profilo finto che ha agganciato o ha monitorato i profili dellepersone di RSA. Un certo ruolo è stato anche giocato dalla creazione diun pretesto credibile5sfruttando il fatto di essere stati presentati ad unsecondo utente tramite una terza persona di cui si era già ottenuta lafiducia.È importante notare come l’attacco abbia previsto prima di tutto un lun-go periodo di osservazione per capire il ruolo della vittima e i diversi assetcui avesse accesso.Successivamente, l’attaccante ha quindi potuto inviare una mail di phi-shing alla cerchia dei dipendenti selezionati. La specifica e-mail è stataparticolarmente curata poiché il messaggio che svolgeva il ruolo di escaè stato contestualizzato su destinatari specifici e ha fatto riferimento adaspetti in grado di cogliere l’interesse degli interlocutori («2011 Recruit-ment Plan»).Una volta aperto, l’allegato infetto ha avviato l’esecuzione di un toolopen source malevolo che ha iniziato ad attivare connessioni in uscitaattraverso le quali sono poi stati trasferiti all’esterno contenuti aziendali.L’incidente è stato scoperto dal CERT (Computer Emergency ResponseTeam) interno a RSA mentre era ancora in corso.Tuttavia, proprio per3  Sempre più gli attacchi ad alcune realtà di rilievo sono stati condotti con modalità che richiamano i cosiddettiAPT (Advanced PersistentThreat) . In questo tipo di minacce, gli attaccanti solitamente dispongono di un setcompleto di tecnologie e metodi (advanced), sono preparati sullo specifico target che intendono colpire con lacapacità di assegnare una priorità ai vari asset (persistent) e conducono l’attacco con sistemi software apposita-mente scritti e pensati (threat).4  http://blogs.rsa.com/anatomy-of-an-attack/5  La creazione di un pretesto credibile è solitamente definita fase di “pretexting”.
    • SOCIAL-DRIVEN VULNERABILITY 7la particolare tipologia di attacco, non è stato possibile capire quantomateriale fosse effettivamente uscito dall’azienda.Già a seguito di questo primo eclatante caso, è interessante notarecome l’azienda in questione, nonostante avesse implementato un livellodi sicurezza perimetrale e logica assolutamente aggiornato, impiegandole migliori tecnologie disponibili sul mercato, si sia mostrata vulnerabiledi fronte a minacce parzialmente non tecnologiche.Il caso delle Forze Armate inglesi: un esempio di “leak” involonta-rioUn caso completamente differente, ma altrettanto rappresentativodi una situazione di debolezza (leak) del sistema, è quello accadutoal principeWilliam nel novembre 2012 durante il suo servizio militarepresso le Forze Armate Inglesi. Sui media sono infatti apparse delle fotodel principeWilliam lecitamente scattate da un giornalista e divulgate inquanto parte di un normale servizio fotografico. L’elemento interessanteè rappresentato dal fatto che in quelle foto, in secondo piano, appaionosul muro alcuni dettagli di sicurezza dei sistemi militari inglesi, e, nellospecifico, alcune password.Da questo episodio relativamente semplice si possono trarre alcune inte-ressanti considerazioni.In primo luogo, emerge come alcune “policy” ovvie in termini di sicurezza(come quella di non scrivere le password su fogli appesi al muro) vengonofacilmente disattese da comportamenti del tutto “umani”.In secondo luogo, questo episodio rivela come già a partire da una fo-tografia condivisa, un attaccante possa trarre molteplici e determinantiinformazioni:–– Dettagli relativi al posto di lavoro (per esempio, da impianti indu-striali, uffici, tesserini, divise e loghi aziendali);–– Dettagli relativi al fatto che l’azienda sta operando in uno specifi-co territorio o con determinati clienti;–– Dettagli e gusti della persona, passioni, hobby. Si tratta in gene-rale di elementi che possono essere usati da un eventuale attac-cante per costruire mail di phishing fortemente contestualizzateo falsi profili social in grado di attirare l’attenzione o l’amiciziadella vittima;–– Geo-localizzazione. Spesso le foto sono geo-localizzate in auto-matico dalle moderne macchine fotografiche o dagli smartpho-ne, permettendo di capire dove sono state scattate;
    • CEFRIEL innovision paper GIUGNO 20138 |–– Informazioni sui colleghi. Le foto potrebbero includere anche altricolleghi che non desiderano essere fotografati ed aiutare a com-prendere la composizione dei team di lavoro;–– Informazioni varie altrettanto delicate, quali dettagli di lavoroo addirittura password, come nel caso in questione, appesi allepareti sullo sfondo.2.2 I principali trend d’incremento della Social-drivenVulnerabilityLo scenario di esposizione agli attacchi precedentemente delineatorisente fortemente di alcuni trend generali che contribuiscono a incre-mentare la vulnerabilità della sicurezza aziendale a partire dall’influenzache esercitano sul comportamento delle persone e sul loro approccio allatecnologia.In particolare, questi trend sono rappresentati dalla possibilità di essere:sempre connessi, anche in mobilità, grazie a device quali smartphone etablet; dall’uso crescente dei Social Media, sia di quelli più “consolidati”che delle piattaforme più recenti; dalla particolare spontaneità e imme-diatezza delle nuove generazioni nell’uso della tecnologia.ACCESSO CONTINUO A CONTENUTI E SERVIZI ONLINELa pervasività della rete e la diffusione dei dispositivi mobili che rendonoInternet accessibile sempre e dovunque permette di fruire di contenuti eservizi on-line durante tutto l’arco della giornata grazie alla possibilità dipassare agevolmente da un device all’altro a seconda del contesto d’uso.Questa evoluzione nell’approccio alla tecnologia implica poter leggere ilgiornale sul tablet mentre si fa colazione, accedere a contenuti web ede-mail su tablet o smartphone mentre si raggiunge il posto di lavoro, perpoi proseguire la propria attività in ufficio sul PC, partecipare agevolmen-te a riunioni e incontri utilizzando il tablet, accedere a web ed e-mail damobile anche durante le pause, potersi connettere grazie alle innovativefunzionalità della connectedTV e, infine, prima di coricarsi, leggere co-modamente un libro e accedere a contenuti web e multimediali tramite ilproprio tablet. Questo scenario tecnologico in continua evoluzione portaa un miglioramento dell’esperienza d’uso dell’utente, sempre più “unifi-cata” e sempre meno legata allo specifico dispositivo utilizzato.Tuttavia, tale scenario genera anche nuove sfide sul fronte della sicu-rezza, incrementando la vulnerabilità complessiva dei dispositivi e delpatrimonio informativo da essi veicolato. Infatti, la possibilità di esseresempre connessi e attivi aumenta, da un lato, il tempo complessivo diesposizione delle informazioni alla minaccia di attacchi fraudolenti, e,dall’altro, genera un’inevitabile riduzione del livello complessivo di con-trollo che l’utente può esercitare sui propri dati e contenuti. Di fatto, la
    • SOCIAL-DRIVEN VULNERABILITY 9soglia di attenzione è differente nei vari momenti della giornata e in baseal contesto d’uso del device, e, di conseguenza, anche il livello di prote-zione delle informazioni sarà più o meno alto a seconda delle occasioni(per esempio, dare un “OK” su un mezzo di trasporto è diverso rispetto aldare un “OK” comodamente seduti di fronte al proprio PC, così come lasoglia di attenzione è tendenzialmente ridotta quando si usa il tablet allasera prima di coricarsi).Alla maggiore “fluidità” dei contenuti e servizi corrisponde inoltre unmiglioramento della customer experience dell’utente che è portato arichiedere sempre più semplicità e intuitività nell’uso della tecnologia, afavore di un’esperienza d’uso quanto più diretta e rapida possibile.Taleconcetto implica un approccio “semplice” anche in ambito sicurezza: se,per esempio, è noto che password molto articolate o passaggi successividi autenticazione per accedere ai dati personali possono ridurre la vul-nerabilità dei dati esposti e dunque portare vantaggi all’utente, è anchevero che difficilmente verranno accettati e utilizzati dallo stesso, perchérallentano i processi e le relazioni sociali e di business e vengono quindipercepiti come svantaggiosi.CRESCENTE DIFFUSIONE DEL MOBILENello scenario caratterizzato dalla continuità di connessione, l’esperienzadel mobile sta eclissando quella dei PC da scrivania, come rilevato daglistudi Gartner già a fine 2012, tanto da stimare che nel 2013 i dispositivimobili diventeranno i più diffusi strumenti di accesso alWeb a discapitodei PC. A conferma di questo trend, secondo le previsioni IDC 2013, alivello mondiale gli smartphone venduti nel 2014 saranno più di 1 miliar-do (arrivando a oltre 1,5 miliardi entro il 2017) e i tablet venduti nel 2013saranno 190,9 milioni (con un incremento annuo dell’11% tra il 2013 eil 2016 e una stima di vendita pari a 350 milioni di unità entro la fine del2017).L’ampia e crescente diffusione dei dispositivi mobili è un elemento ormaiimprescindibile per chi si occupa di sicurezza informatica. In particolare,gli attacchi sono sempre più pensati in modo specifico per gli smartpho-ne, utilizzati in alternativa al PC e/o tablet aziendale, considerando che“un grande smartphone è un piccolo tablet e un piccolo tablet è un grandesmartphone”.Come evidenziato dallo studio McAfee 2013 “Mobile Security: McAfeeConsumerTrends Report”, il trend in atto è caratterizzato da nuovetecniche di attacco proprio su dispositivi mobili, al fine di rubare identitàdigitali, commettere frodi finanziarie e invadere la privacy degli utenti.Di conseguenza, occorre ormai pianificare ed estendere i sistemi disicurezza anche ai dispositivi diversi dal PC, a partire, appunto, da quellimobili. Inoltre, occorre considerare oggetto della protezione complessivasia il mobile aziendale (che, oltre a rappresentare esso stesso un poten-
    • CEFRIEL innovision paper GIUGNO 201310 |ziale bersaglio di attacco, potrebbe anche essere un canale per infettareil PC aziendale) che il mobile personale usato anche per fini aziendali (chepotrebbe essere comunque un dispositivo su cui subire attacchi rivoltiall’azienda), e con essi le applicazioni per mobile già scaricate o che sa-ranno scaricate.UTENTI E CONTENUTI SEMPRE PIÚ SOCIALUn’analisi più approfondita del fenomeno dei Social Media rivela cam-biamenti importanti nelle abitudini degli utenti. Se inizialmente i blograppresentavano il nucleo principale di produzione e interazione, conl’avvento dei Social Network il focus degli utenti si è spostato su questenuove piattaforme. I numeri sono significativi: ogni minuto vengono fatti1,87 milioni di Like su Facebook, suTwitter si pubblicano 347.000 update,120 nuovi membri si iscrivono su LinkedIn e suYouTube vengono caricati4320 minuti di filmato. Se consideriamo anche altre piattaforme (Pinte-rest, Flickr,WordPress, Blogspot, etc.), possiamo notare un numero al-trettanto impressionante d’informazioni e contenuti prodotti e condivisidagli utenti. In particolare, Facebook costituisce la piattaforma principalecon oltre un miliardo di utenti attivi.La diffusione dei Social Media, dal punto di vista della quantità di perso-ne che vi accedono, del loro tasso di frequentazione e del numero di piat-taforme utilizzate, sta generando un rapido incremento nella diffusionedei contenuti. Ne consegue un aumento altrettanto rapido e significativodella vulnerabilità delle informazioni e degli utenti, non più soltanto nellasfera personale ma anche in quella del business aziendale.Inoltre, per quanto riguarda in particolare Facebook, l’esposizione delleinformazioni e la vulnerabilità per gli asset aziendali sono ulteriormen-te incrementate dal fatto che la piattaforma venga utilizzata in modotendenzialmente uniforme in tutte le fasce d’età (Figura 1) e, quindi, daparte di utenti con ruoli e livelli di seniority diversificati, e con accessiFigura 1Età degli utenti italiani iscritti aFacebookFonte: Facebook Advertising Platform ,Giugno 2013
    • SOCIAL-DRIVEN VULNERABILITY 11a tipologie d’informazioni altrettanto differenti dal punto di vista dellacriticità e riservatezza per il contesto aziendale.L’APPROCCIO DEI NATIVI DIGITALIVERSOTECNOLOGIA E SOCIALMEDIAPer comprendere meglio l’influenza dei Social Media sulla vulnerabilitàdelle informazioni occorre anche affrontare il tema dei cosiddetti “natividigitali”, ossia della generazione nata intorno ai primi anni ‘90 (a voltesi usa il 1985 come anno d’inizio per indicare questo segmento). In molticasi, ci si riferisce a questa generazione usando il termine “Millenials” o“GenerazioneY” e, spesso, nell’immaginario comune, i nativi digitali rap-presentano la maggior parte della popolazione dei Social Network.Se consideriamo per esempio la realtà italiana, è interessante notarecome la generazione under 30 sia caratterizzata da un diffuso utilizzo deicanali sociali: il 91% è iscritto a un social network, il 55% a un forum, il34% segue un blog e il 17% ne gestisce uno6.I cosiddetti “nativi digitali” si muovono infatti nello scenario dei nuovidispositivi e servizi tecnologi in modo più “naturale”, integrandoli conmaggiore spontaneità nella realtà della vita quotidiana, perché “liberi”dalla necessità di imparare l’uso del digitale che ha invece caratterizzatole generazioni precedenti.Questa generazione tende quindi a essere particolarmente “multita-sking” e rapida nell’uso della tecnologia, è naturalmente portata al touch,all’interattività e alla semplicità di utilizzo, in quanto ciò che è unidirezio-nale o complesso non è generalmente parte della sua esperienza d’uso erisulta difficilmente comprensibile.Analizzando i comportamenti della cosiddetta “generazioneY” in temadi riservatezza e privacy, uno studio del 20127condotto su 1.245 utentitra UK, USA, Canada, Germania e Australia ha messo in evidenza comequesti temi non siano considerati prioritari. Secondo la ricerca, infatti, èemerso che, posti davanti alla scelta tra dare la priorità a “partecipazio-ne” o “sicurezza”, la prima sia sempre la preferita: solo il 31% considera lasicurezza come uno degli elementi più importanti da tenere in considera-zione quando compie una decisione legata all’ambito informatico.Diversamente da coloro che hanno visto la nascita dell’informatica e chead essa si sono dovuti adattare, i “nativi digitali” tendono ad esempio anon dare importanza alle password: solo un giovane su quattro infattipresta attenzione alla robustezza della propria password e molti di essitendono a usare le stesse credenziali per accedere a servizi diversi8.6 ASSEPRIM, Generazione 2.0 Made in Italy, 20127  Dimensional Research, 20128  Ricerca condotta su un campione di più di 2.000 americani over 18 da Harris Interactive per Eset Nod32(produttore di software per la sicurezza informatica), 2012
    • CEFRIEL innovision paper GIUGNO 201312 |In molti casi, si tratta di un problema di consapevolezza, come ribaditoanche nel Rapporto CLUSIT 2013: «i famigerati “nativi digitali”, in medianon sanno nulla di ICT Security, pur essendo quasi tutti rigorosamentedotati di smartphone di ordinanza, sempre connessi sui Social Network equindi esposti ad ogni genere di minaccia».Sembra quindi confermarsi la tendenza emersa nel 2012, ossia una minorattenzione alla privacy dovuta in parte anche a un falso senso di riserva-tezza. Sempre più informazioni vengono condivise in maniera ingenua:in alcuni casi sono gli stessi nativi digitali a condividerle, mentre, in altricasi, sono i loro contatti a farlo (rendendo in questo modo difficile, ancheper una persona “riservata”, controllare la propria “impronta digitale”).Sicuramente, emerge una scarsa consapevolezza legata all’aspetto di“permanenza“ delle informazioni digitali e al fatto che, in futuro, quelleinformazioni potranno essere analizzate tanto da potenziali datori dilavoro quanto da malintenzionati.
    • SOCIAL-DRIVEN VULNERABILITY 133. Criticità e minacceLa crescente vulnerabilità dei sistemi informativi aziendali è determinatada alcune peculiari criticità legate all’aumento della mole d’informazionicondivise e della rapidità con cui vengono scambiate e diffuse. Complicenell’accrescere tali criticità è l’utilizzo sempre più rapido e continuati-vo della tecnologia con contaminazioni tra ambito privato e lavorativonell’uso dei dispositivi, e possibilità di controllo diverse a seconda delledifferenti occasioni d’uso.In questo contesto, le aziende sono esposte a una nuova serie di minacceche sfruttano le dinamiche sociali e le molteplici piattaforme per “cono-scere” dipendenti e aziende, individuarne i punti deboli e far breccia a unlivello nuovo che va oltre la copertura tecnologica perimetrale tradizio-nalmente difesa.3.1 Fattori di criticitàDal punto di vista delle criticità per la sicurezza aziendale, emergono duefenomeni principali in grado di accrescere la vulnerabilità dei sistemi: daun lato, un aumento dell’esposizione di informazioni personali e, dall’al-tro, la riduzione delle possibilità di controllo sulle stesse, unitamente allemodalità di accesso ai Social Media sia nella sfera privata che in quellalavorativa.Le informazioni di tipo personale sono sempre più facilmente e rapida-mente condivise in rete e, quindi, “a disposizione” anche per eventualiattacchi.La natura stessa dei Social Media facilita le interazioni tra gruppi dipersone e quindi la produzione e lo scambio d’informazioni. Più precisa-mente, questi strumenti presentano delle caratteristiche peculiari chefavoriscono la diffusione delle informazioni in modo stabile ed “esponen-ziale”: replicabilità (per definizione ogni oggetto digitale può essere du-plicato), ricercabilità (qualunque testo, salvo alcune eccezioni specifiche,è ricercabile), persistenza (una volta pubblicati online l’autore ne perdeil controllo e non può garantirne l’eliminazione) e scalabilità (i contenutipossono essere diffusi in maniera virale in modo più o meno rapido)9.In generale, è sempre più evidente che durante il giorno le personeraccontano la propria vita attraverso vari dispositivi, in vari momenti, sudiverse piattaforme. Da questo punto di vista possiamo vedere come lafruizione dei media sia cambiata e come si possano identificare due trendprecisi. Se da un lato abbiamo una fruizione multi-device sequenziale,ossia l’utente si sposta da un oggetto all’altro fruendo però sempre dellostessa tipologia di contenuto, dall’altra abbiamo invece una fruizione9  Bennato, Sociologia dei Media Digitali, Laterza, Roma-Bari 2011Esposizione delle informazioni
    • CEFRIEL innovision paper GIUGNO 201314 |multi-device contemporanea durante la quale l’utente utilizza più stru-menti contemporaneamente.Anche le aziende hanno individuato nei Social Media un nuovo ambito sucui fare leva per attività di tipo promozionale, commerciale e per relazio-narsi con i propri consumatori. Ciò ha portato alla creazione di pagine suFacebook, di account aziendali suTwitter e alla realizzazione di presidi suvarie piattaforme.Nel contesto di potenziata connessione a molteplici servizi, siti, applica-zioni, Social Media, community, l’aumento e la concatenazione dei propriaccount rende l’insieme delle informazioni personali vulnerabile e attac-cabile attraverso i punti deboli rappresentati sia dall’impiego dell’emailcome username “universale”, sia dalla (potenziale) debolezza delle pas-sword, in quanto troppo facilmente resettabili e di conseguenza reperibiliin modo fraudolento.In particolare, le modalità di autenticazione sui Social Media sono estre-mamente deboli: a causa del proliferare delle piattaforme, gli utentitendono a replicare le stesse combinazioni nome/mail e password, e, inmolti casi, è possibile che per ragioni di semplicità utilizzino la mail dilavoro. Inoltre, l’unica validazione fatta durante la registrazione riguar-da l’email che deve essere attiva: non vi sono ulteriori processi e questoovviamente porta alla diffusione di profili falsi.In alcuni casi, gli utenti sono attenti alle informazioni che condividono ealle impostazioni di sicurezza dei propri account sui Social Media, ma nonhanno controllo sui propri contatti (amici e follower) che possono con-dividere informazioni su di essi. In aggiunta a questo, quando una terzapersona condivide il contenuto, la duplicazione rende impossibile sia lacancellazione che l’eliminazione dello stesso.Un ulteriore elemento da considerare è dato dal fatto che la “presence”(presenza segnalata dai sistemi di messaggistica istantanea e chat) for-nisce informazioni rilevanti a un’attaccante sulle abitudini della vittima erappresenta un ottimo sistema per sfruttare delle vulnerabilità mentre lavittima è lontana dal computer.A fronte di una crescente esposizione d’informazioni, le persone tendonoa prestare sempre meno attenzione ai potenziali utilizzi delle stesse unavolta in rete. La quantità d’informazioni, le crescenti possibilità d’accessoe la velocità dello scambio, unitamente all’abitudine a condividere i con-tenuti (abitudine che, in generale, è tanto più forte quanto più l’utente è“nativo digitale”) riducono infatti la possibilità di un controllo puntualee la stessa predisposizione dell’utente a mettere in atto meccanismi dicontrollo perché troppo costosi in termini di tempo e di qualità dell’espe-rienza d’uso.Inoltre, poiché le persone tendono ad attribuire uno scarso valore alle in-formazioni in loro possesso, sono anche portate a condividerle in manie-Controllo sulle informazioni e moda-litá di accesso ai Social Media
    • SOCIAL-DRIVEN VULNERABILITY 15ra più facile: così come, infatti, una password è condivisa più facilmentedi un token o di una smart card, allo stesso modo, condividere informa-zioni con i propri contatti online può non essere percepito come attivitàrischiosa o potenzialmente dannosa e portare a un aumento della vulne-rabilità aziendale nei confronti di attacchi fraudolenti. In molti casi, infat-ti, gli utenti, convinti che l’ambiente dei Social Media sia sicuro (perchépopolato da contenuti prodotti da altri utenti e da materiali condivisi daipropri amici) rischiano di seguire con maggior frequenza link poco sicurie di immettere malware di vario tipo all’interno dei computer aziendali,compromettendo a vari livelli la stessa rete aziendale. In più, quando unaterza persona condivide il contenuto, la duplicazione rende impossibilesia la cancellazione che l’eliminazione dello stesso.Occorre anche considerare che gli utenti dei Social Media non sono“semplicemente” cittadini, ma possono essere anche dipendenti, ma-nager e dirigenti, ossia in generale membri di una società privata o di unente pubblico e quindi in possesso d’informazioni che non sempre pos-sono essere divulgate esternamente. In aggiunta, poiché risulta difficile,in generale, mantenere la distinzione tra il registro ufficiale (lavorativo)e quello comune (personale), gli utenti tendono normalmente a creareun unico insieme “ibrido” da utilizzare indistintamente. Ciò rappresen-ta un’ulteriore criticità dal momento che alcune dichiarazioni che nonrispecchiano necessariamente quelle dell’azienda possono essere lettecome ufficiali. Infine, anche qualora si riuscisse a tenere separati i duepiani, qualunque messaggio ad opera dei dipendenti andrebbe comun-que a contribuire alla costruzione della corporate image.Dal punto di vista dei dispositivi utilizzati, occorre poi considerare che lepersone usano i Social Network e i Social Media durante tutta la giorna-ta, e che, anche durante l’orario lavorativo, tendono ad utilizzare questistrumenti per interagire con i propri amici e condividere informazioni.Queste attività non vengono necessariamente fatte tramite il computerdi lavoro, uno strumento sul quale eventualmente è possibile esercitareuna forma di controllo e tutela, ma spesso tramite gli smartphone perso-nali che in un secondo momento vengono magari connessi al computer oalla rete interna. In quest’ottica, la consumerizzazione dell’IT e gli scenaridi BYOD (BringYou Own Device) complicano la gestione della sicurezza,in quanto la presenza di strumenti personali del dipendente può limitareil controllo (e quindi la protezione) da parte dell’azienda sui propri assetmateriali e immateriali.In generale, possiamo distinguere tra due diverse tipi di attività da partedei dipendenti:–– Da un lato, la pubblicazione su piattaforme esterne, senza distin-zione d’orario, di contenuti può condurre a danni d’immagine oalla fuoriuscita d’informazioni riservate o fungere da supporto pereventuali attacchi di Social Engineering.
    • CEFRIEL innovision paper GIUGNO 201316 |–– Dall’altro, l’utilizzo di piattaforme esterne durante le ore di lavoropuò esporre i computer e la rete aziendali a dei rischi derivanti daattacchi esterni di vario tipo.3.2 Destinatari e obiettivi del cybercrimeIn questo scenario, le aziende più vulnerabili sono state fino ad oggiquelle caratterizzate da una dimensione significativa e da un asset infor-mativo consistente: non solo banche e aziende che costituiscono la reteinfrastrutturale del Paese, ma anche aziende che diventano un “ponte”per accedere ad altre informazioni (grandi catene di alberghi, aziende delsettore entertainment, compagnie aeree, ecc.). Il panorama è ulterior-mente destinato a evolvere, con l’estensione del medesimo modello diattacco anche alle PMI.Allo stesso tempo, la crescente pervasività della rete fa emergere ele-menti di vulnerabilità anche in contesti produttivi tradizionalmente“autonomi”, come quelli che si basano sui sistemi di tipo SCADA (Super-visory Control And Data Acquisition) tipicamente utilizzati come sistemi dicontrollo in ambito industriale per il monitoraggio e controllo infrastrut-turale o di processi industriali (tra gli ambiti di applicazione ci sono, peresempio, gli impianti per la produzione di energia, quali centrali elettri-che e nucleari).Le applicazioni SCADA erano originariamente progettate per funziona-re su reti completamente isolate e dedicate. I sistemi SCADA di ultimagenerazione sono invece caratterizzati sempre più dal fatto di esseredistribuiti e interconnessi in rete. Se dunque il presupposto d’isolamentodelle reti e delle strutture controllate da SCADA ne era prerequisito diprotezione, il problema più grave, oggi, è rappresentato dal fatto cheogni dispositivo collegato in rete è di per sé potenzialmente vulnerabile esoggetto a possibili attacchi compiuti da hacker.Di conseguenza, anche questi sistemi diventano potenzialmente piùdeboli sul fronte della sicurezza, considerando che possono non soltantoessere violati manualmente, ma anche dimostrarsi più vulnerabili di fron-te a virus, anomalie, ecc., fino ad arrivare al crash di talune applicazioni.Data la natura dei sistemi, appare chiaro il potenziale impatto negativodal punto di vista produttivo e sociale e la conseguente necessità di unripensamento nei meccanismi complessivi di protezione dalle moltepliciazioni fraudolente.In generale, dal punto di vista dei destinatari degli attacchi informatici, èsignificativo riportare quanto evidenziato nel rapporto CLUSIT 2013:Tutti sono ormai diventati potenziali bersagli, per il solo fatto di esse-re connessi ad Internet. Statisticamente esistono ancora distinzionitra grandi e piccole imprese, tra differenti settori merceologici, traprivati cittadini eVIP, tra uomini e donne, adulti e bambini, etc, ma le
    • SOCIAL-DRIVEN VULNERABILITY 17differenze stanno diminuendo. I differenti gruppi di attaccanti mo-strano ancora preferenze rispetto alla tipologia di vittime, ma questodipende più che altro dal fatto che si stanno sempre più specializzan-do; d’altra parte però sono diventati talmente numerosi e sfrontati, ela loro azione è ormai talmente pervasiva, da avere di fatto saturatotutto lo spettro delle potenziali vittime. Per questo motivo, e per ilfatto che molti utenti utilizzano allo stesso tempo PC fissi o portatilie device mobili, aumentando la propria “superficie di attacco”, nonesistono più categorie “sicure”.Gli obiettivi degli attacchi informatici sono molteplici. In generale, si puòdistinguere tra la raccolta di informazioni traducibili in un valore moneta-rio per l’attaccante e l’intrusione nei sistemi a fine di sabotaggio:–– Nel primo caso, gli attacchi puntano ad avere accesso all’assetinformativo dell’azienda, per riuscire ad esempio ad accedere aiconti bancari della stessa (“monetarizzando” subito l’attacco),oppure per appropriarsi d’informazioni di business o di segretiindustriali (concorrenza e speculazione);–– Nel secondo caso, invece, l’attacco mira a causare direttamentemalfunzionamenti o disservizi, o a ricattare l’azienda minac-ciando di creare malfunzionamenti e disservizi, attraverso lamanipolazione dei sistemi interni.Inoltre, a prescindere dall’obiettivo principale, già nell’arco di temponecessario per portare a termine l’attacco, tutte le informazioni trafugatelungo il percorso e potenzialmente d’interesse (informazioni sulla cartadi credito, credenziali del conto in banca, account e indirizzo email, ecc.)vengono subito sfruttate sul mercato nero dove vengono vendute a prez-zo di listino in base alla tipologia d’informazione10.3.3 Le nuove minacce“social”Gli attacchi informatici possono essere puramente social, puramentetecnologici o essere caratterizzati da una combinazione di vari aspetti. Ingenerale, poiché gli attacchi vengono innescati da comportamenti degliutenti, possiamo identificare due metodologie di “exploit” (azione):–– Drive-by download: l’utente scarica (in maniera consapevole o inav-vertitamente) il malware;–– Web Exploit: l’utente naviga su un sito (nella maggior parte dei casicliccando su link malevoli o su mail di phishing11) e le vulnerabilitàsono legate ai browser, ai plugin e alle varie componenti installate.10  2011 EECTF European Cybercrime Survey – European Electronic CrimeTask Force.11  Nella maggior parte dei casi le minacce iniziano proprio con una mail di phishing “mirato”. Secondo unaricerca diTrendMicro condotta tra febbraio e settembre 2012 questo avviene nel 91% dei casi.Attacchi ai dati o ai servizi
    • CEFRIEL innovision paper GIUGNO 201318 |In entrambi i casi, l’utente segue un link malevolo o ricevuto tramite mailo comunicazione privata, oppure condiviso su un Social Media. In funzio-ne della realizzazione pratica dell’attacco può anche essere necessarial’esecuzione di un qualche programma, plugin o allegato da parte dell’u-tente stesso.Per quanto riguarda i Social Media, i rischi sono presenti soprattutto nelcaso in cui questi vengano utilizzati dalla postazione di lavoro (PC).Tut-tavia, anche rimuovendo il collegamento diretto tra PC e Social Media, ilrischio non viene eliminato, ma solo, in alcuni casi, parzialmente ridotto.La fruizione del Social da device mobili (smartphone e tablet) può infattirendere ugualmente vulnerabili, se non ancora più esposte, le postazio-ni aziendali a cui questi vengono collegati (spesso i dispositivi personalidegli utenti sono privi di sistemi di protezione e quindi più soggetti adattacchi potenzialmente trasferibili ai device aziendali).È interessante notare come la percezione del rischio e quindi dei pericoliche ne possono conseguire cambi significativamente anche in funzionedelle piattaforme, come evidenziato nel grafico seguente.In generale, i pericoli che possono essere innescati da Social Media sonodi diverso tipo e riguardano sia aspetti materiali (come la diffusione dimateriale protetto o danni alle infrastrutture) che immateriali (danni allareputazione o all’immagine del brand).Il seguente elenco riporta in modo specifico le principali minacce legateai Social Media in relazione ai diversi asset aziendali.Uno degli aspetti principali da considerare è che questi rischi per l’azienda nonsono scollegati l’uno dall’altro, ma, al contrario, la potenziale minaccia è rappre-sentata molto spesso da una loro combinazione.Figura 2Percezione dei rischi in base allepiattaforme socialFonte: www.web-strategist.com, 2012
    • SOCIAL-DRIVEN VULNERABILITY 194. Esempi di attacchi     I Social Media rappresentano quindi degli strumenti che l’azienda puòutilizzare per migliorare le proprie performance (opportunità), ma altempo stesso possono essere utilizzati contro i dipendenti e l’aziendastessa (pericoli). Da quest’ultimo punto di vista possiamo analizzare treesempi di attacchi che sfruttano i Social Media e che possono a loro voltaconcatenarsi dando luogo a una sequenza di passi che realizzano unattacco complesso.LE PRINCIPALI MINACCE SOCIAL PER I DIVERSI ASSET AZIENDALIInformazioni private o riservate o sensibili:–– Creazione di un Dossier Digitale;–– Esposizione dei dati a seguito di una cattiva configurazione dei settaggi di privacy;–– Mancanza di controllo sugli update e sulle informazioni diffuse da altri utenti;–– Inferenze predittive di dati sensibili;–– Identificazione di tutti gli account dell’utente (anche se aperti con pseudonimo).Asset finanziari:–– Frodi;–– Perdita di produttività a seguito del tempo speso dai dipendenti sui Social Media.Segreti industriali e proprietà intellettuale:–– Pubblicazione da parte dei dipendenti d’informazioni su procedure e modalità dilavoro;–– Pubblicazione involontaria da parte di un dipendente o sottrazione da parte di unattaccante;–– Perdita di controllo da parte dell’azienda su quello che viene pubblicato sui SocialMedia.Sicurezza fisica:–– Diffusione d’informazioni legate a numero di persone presenti, funzioni e orari;–– Pubblicazioni di immagini per ricavare informazioni sulle attività lavorative;–– Diffusione di informazioni personali per trovare, identificare e minacciare i dipendenti.Risorse informatiche e rete aziendale:–– Diffusione di malware nella rete aziendale.Immagine e reputazione aziendale:–– Atto inconsapevole (accidentale) da parte del dipendente;–– Sottrazione o pubblicazione (deliberata) da parte di un attaccante;–– Campagne mirate (o automatizzate) per il danneggiamento della reputazione;–– Un attaccante può entrare in possesso d’informazioni riservate e ricattare il soggetto;–– Furto d’identità e impersonificazione;–– Difficoltà nel condurre atti di repudiation qualora vengano diffuse informazioni false.
    • CEFRIEL innovision paper GIUGNO 201320 |4.1 Sfruttare la fiducia del targetUno degli aspetti più importanti per il successo degli attacchi di inge-gneria sociale è ottenere la fiducia del target, in modo da persuaderlo acompiere l’azione obiettivo.Da questo punto di vista, i Social Network rappresentano un territorioottimale per sviluppare queste attività: i legami che si sviluppano all’in-terno di queste piattaforme nascono infatti con l’idea di collegare e riu-nire persone con le quali si ha affinità (molto spesso amici e conoscenti).Entrare all’interno della rete sociale del proprio target rappresenta quindiun elemento cardine degli attacchi di Ingegneria Sociale.Per sviluppare questi attacchi è possibile ad esempio procedere o in ma-niera diretta (richiedendo subito l’amicizia su Facebook o il collegamentosu LinkedIn) facendo leva sulle informazioni raccolte in precedenza sullealtre piattaforme, oppure in maniera indiretta. Nel secondo caso, primadi procedere direttamente con la richiesta d’amicizia, l’attaccante svi-luppa alcune relazioni con gli amici del target, in modo poi da risultarepiù credibile e meritevole di fiducia: le persone tendono infatti a daremaggiore credito e a rispondere in maniera positiva alle richieste qualoraqueste provengano da qualcuno che, apparentemente, è già all’internodel proprio circolo di contatti.Una volta ottenuta la fiducia da parte del target, l’attaccante può:–– Raccogliere ulteriori informazioni (per un attacco di spearphishing su una vittima che ricopre un ruolo particolarmenteimportante all’interno dell’azienda);–– Interagire direttamente con il target per ottenere informazionilavorative;–– Interagire con il target inviando dei link malevoli all’internodegli update o dei messaggi privati sfruttando la fiducia creata-si all’interno della piattaforma (si tratta quindi di una variantedi spear phishing che, invece di utilizzare la mail, sfrutta i SocialNetwork).Questo tipo di attacco12è in aumento grazie al numero d’informazionidisponibili e alla scarsa attenzione che molte persone prestano nell’ac-cettare le richieste d’amicizia. In aggiunta a ciò, anche il fatto di nonessere presenti sui Social Network rappresenta un pericolo, dal momentoche per un attaccante diventa più semplice creare un profilo apparente-mente legittimo.12  Citiamo per esempio l’attacco avvenuto nel 2012 ai danni di un comandante della Nato, in occasione delquale è stato creato un falso profilo per ottenere informazioni riservate (http://www.guardian.co.uk/world/2012/mar/11/china-spies-facebook-attack-nato).
    • SOCIAL-DRIVEN VULNERABILITY 214.2 Individuare l’esca giustaLo spear phishing è una declinazione particolare del phishing. Quest’ul-timo viene attuato, per esempio, attraverso e-mail che chiedono disbloccare il proprio conto bancario o di inviare una somma di denaro auna persona in difficoltà. Solitamente queste mail sono caratterizzate dagrafica poco curata, errori grammaticali, riferimenti a banche con le qualinon si ha alcun rapporto. Si tratta quindi di e-mail generiche che sfrutta-no le leggi dei grandi numeri e si basano sul fatto che, mandando questotipo di mail a milioni di persone, prima o poi si otterrà qualche contatto.Lo spear phishing, invece, non lavora sulla quantità, ma sulla qualità.Obiettivo di questa tipologia di phishing è la compromissione di posta-zioni di lavoro e utenti con attacchi più mirati rivolti a soggetti di parti-colare interesse, in quanto canale diretto o indiretto per accedere a datirilevanti e strategici. In questo caso, viene costruita un’esca personaliz-zata sfruttando il “dossier digitale” dell’utente in questione che raccoglietutte le informazioni personali e lavorative di cui l’attaccante è entrato inpossesso.Le mail di spear phishing sono infatti curate e mirate per un target speci-fico, e non sono mai casuali. Una mail di spear phishing sembrerà quindiarrivare da un amico o da una mail aziendale (interna o di un fornitore)e sfrutterà alcune informazioni per farla sembrare legittima. Da questopunto di vista, per chi si occupa di questo tipo di attacchi, i Social Net-work rappresentano una miniera d’informazioni.Se, per esempio, si volesse attaccare un’azienda, il primo passo neces-sario sarebbe quello di impadronirsi di alcune credenziali di accesso ecompromettere alcune postazioni. Per fare questo, lo spear phishingrappresenta la tecnica ideale e più spesso utilizzata.Il primo passo, in questo caso, può essere rappresentato da LinkedIn:essendo un Social Network verticale dedicato al mondo lavorativo, tuttigli utenti inseriscono l’azienda all’interno della quale lavorano (o hannolavorato) e le aziende utilizzano lo strumento Pagina Aziendale (Com-pany Page) per ottenere visibilità. Attraverso le funzioni native della piat-taforma è possibile iniziare ad analizzare, per esempio, chi sono i dipen-denti, chi sono le ultime persone assunte (le più vulnerabili) e quali sonole funzioni che ricoprono. Poiché si tratta di un Social Network lavorativo,generalmente gli utenti tendono a essere piuttosto cauti e a impostare ilivelli di privacy in maniera più o meno restrittiva.Tuttavia, spesso, è co-munque possibile ottenere una foto del profilo (utile per il riconoscimen-to) e alcune informazioni di base. Inoltre, in alcuni casi gli utenti creanoun collegamento tra il proprio blog, il proprio account twitter e altre ap-plicazioni, fornendo informazioni aggiuntive che un attaccante può usareper sviluppare lo specifico dossier digitale relativo a quell’utente.
    • CEFRIEL innovision paper GIUGNO 201322 |A questo punto, avendo nome, cognome, posizione e foto del profilo,diventa possibile sfruttare Facebook per identificare con precisione ilTarget. Dal momento che su Facebook ci sono più di un miliardo di utenti(23 milioni solo in Italia), identificare correttamente una persona spessonon è una operazione semplice se si parte da zero.Tuttavia, avendo al-cuni dati (come quelli recuperati, appunto, su LinkedIn), diventa relativa-mente semplice identificare correttamente il proprio obiettivo e iniziarea raccogliere le informazioni necessarie per l’attacco di spear phishing.Sono infatti molti gli utenti ad avere un profilo aperto (con impostazionidi privacy lasche) e, quindi, risulta semplice per un attaccante recuperarel’elenco degli amici, gli interessi (i “like” dati alle pagine) ed eventualmen-te anche gli eventi ai quali l’utente ha partecipato.Conclusa la fase di analisi, un attaccante può mandare una mail alta-mente contestualizzata per il target più vulnerabile per iniziare le fasisuccessive dell’attacco (in questo caso si parla di APT: Advanced Persi-stentThreat). Il tasso di successo per le mail di spear phishing costruite inquesto modo è estremamente alto13e può raggiungere il 70%.4.3 Correlare le informazioniUn ulteriore modo per sfruttare i Social Media per attaccare l’azienda èsfruttare le informazioni che i dipendenti diffondono in rete: si tratta del-le cosiddette attività di OSInt (Open Source Intelligence), ossia le attivitàdi intelligence sviluppate usando fonti pubbliche e correlando le varieinformazioni.Oltre a sfruttare queste informazioni per arricchire un eventuale dossierdigitale e preparare attacchi di spear phishing, in alcuni casi è possibilesfruttare queste informazioni per analizzare le attività dei competitore preparare in anticipo alcune risposte (per esempio, facendo propostecommerciali alternative ai nuovi clienti).In questo ambito, possiamo evidenziare, per esempio, come la geoloca-lizzazione tramite Foursquare possa svolgere un ruolo particolarmenteinteressante per inferire alcune informazioni sull’azienda target. In parti-colare, è possibile:–– Individuare dove sono gli uffici dell’azienda e quali sono i dipen-denti che si geolocalizzano più frequentemente (i sindaci “Mayor”delle location). In questo modo spesso è possibile scoprire inomi delle sale riunioni (da utilizzare per attacchi di spear phi-shing), collegare gli account dei dipendenti (l’uso di Foursquareè collegato ad altre piattaforme, comeTwitter) e identificarechi sono le persone che probabilmente hanno il profilo apertosugli altri Social Network (in molti casi, le persone che condivi-13  Uno dei casi più noti legati a questa tecnica è l’attacco verso la società RSA descritto in precedenza.
    • SOCIAL-DRIVEN VULNERABILITY 23dono con maggior frequenza tendono ad avere impostazioni diprivacy molto basse);–– Scoprire l’aspetto degli uffici. Oltre a geolocalizzarsi, in molti casinegli update vengono inserite anche delle immagini. A volte, lefoto raffigurano gli esterni dei palazzi, ma in diversi casi vengo-no pubblicate foto degli interni da cui un attaccante può otte-nere informazioni importanti, relative per esempio ai sistemiinformatici adottati dall’azienda.–– Identificare clienti. Se alcuni dipendenti usano in maniera pocoprudente Foursquare, in molti casi è possibile analizzare gli spo-stamenti e identificare quali possono essere i clienti e i partner:spesso, l’attività è banale dato che le persone, oltre alla geolo-calizzazione, frequentemente aggiungono anche alcuni dettaglinell’update;–– Localizzare impianti. Anche se si tratta di un caso limite, puòaccadere che alcuni dipendenti si geolocalizzino e pubblichinoimmagini di luoghi che dovrebbero essere riservati o la cui esi-stenza/presenza non dovrebbe essere oggetto di pubblicità.In questo caso, si può evidenziare come già utilizzando una sola piatta-forma (Foursquare) sia già possibile ottenere molte informazioni inte-ressanti per un attaccante. Ad accrescere la vulnerabilità, tuttavia, siaggiunge il fatto che queste informazioni possono essere estratte ancheda Facebook eTwitter, in quanto entrambe le piattaforme consentono diinserire all’interno dell’update il luogo dal quale si sta scrivendo e, moltospesso, di “taggare” anche altre persone. In questo modo, è possibilerecuperare informazioni sugli utenti anche in maniera indiretta utilizzan-do informazioni condivise da terzi sulle quali l’utente non può nemmenoesercitare un controllo.
    • CEFRIEL innovision paper GIUGNO 201324 |5. Difendersi dalla        social-driven vulnerability: uncambio di paradigma a 360°Le nuove minacce informatiche fanno ampia leva su alcuni fattori car-dine. Alcuni di essi sono stati ampiamente discussi, e sono prevalente-mente legati alle crescenti attitudini “social” delle persone, altri sono dinatura differente e spingono verso lo sfruttamento di tale attitudine.Da un lato, a fronte della crescente complessità delle infrastrutture tec-nologiche, sono in corso numerose iniziative volte a un effettivo rafforza-mento dei sistemi. Sistemi operativi moderni introducono accorgimentisempre nuovi14per impedire che un software malevolo, incautamenteintrodotto da un utente sul proprio PC o veicolato da vulnerabilità deibrowser o di altri software, possa compromettere il cuore del sistema eavere pieno accesso a tutti i dati e agli input. In questo senso, l’approcciosocial è quello che meglio riesce a superare le barriere di sicurezza postedall’azienda e a spingere l’utente ad adottare comportamenti per cui nonsono ancora state definite delle contromisure.Dall’altro lato, mentre la tematica relativa all’analisi massiva dei tracciatidi attività generati dagli apparati tecnologici viene attualmente affron-tata in modo diffuso dai vendor di soluzioni IT (per quanto complessa daaffrontare in modo massivo e unificato in ambito enterprise con la finalitàdi ottenere pronte ed immediate segnalazioni su potenziali incidenti disicurezza in atto), ciò avviene molto meno per tematiche quali il moni-toraggio in ottica Information Security dell’esposizione dell’azienda sulsocial. In tal senso, informazioni e materiale per la realizzazione di attac-chi “social-driven” sono sempre più disponibili agli attaccanti, senza unacontroparte informativa adeguata verso chi si occupa di tutelare il peri-metro aziendale.A titolo di esempio, si pensi all’adozione di sistemi per il filtraggio deicontenuti web fruiti dagli utenti: sarà certamente possibile, con un tuningaccurato, filtrare la maggior parte dei siti a rischio creati per attacchi dimassa, si potrà ipotizzare di depurare i flussi di dati da potenziale malwa-re in ingresso all’azienda, ma potrebbe essere molto difficoltoso intercet-tare esche costruite appositamente per attaccare un ristretto numero dipersone o codice malevolo costruito ad-hoc per essere veicolato median-te tali esche.A ciò si aggiunge l’evoluzione del business associato al cybercrime, chesempre più spinge verso un approccio organizzato con forti finalità diricerca di un rapido ritorno sugli investimenti attuati. La realizzazione e14  Quali ad esempio tecniche di “sandboxing”, “address space randomization”, ecc.
    • SOCIAL-DRIVEN VULNERABILITY 25ingegnerizzazione di malware sofisticato, pur avvalendosi della possibili-tà di sfruttare i contributi di chi opera ancora oggi “per passione”, com-porta infatti costi assimilabili a quelli di una software factory. La venditadi malware personalizzato ha raggiunto prezzi molto più alti rispetto almalware “general purpose”. Questo spinge quindi le organizzazioni versoun approccio fortemente incentrato sul fine, rendendo la scelta del mez-zo quasi solo una questione di vantaggio e convenienza. Oggi, uno deimezzi che permette di massimizzare il rapporto costi/efficacia legato aglistrumenti di attacco è proprio lo sfruttamento del fattore umano.Alla luce delle numerose tendenze in atto finora evidenziate emerge lanecessità di tutelare in modo nuovo un’organizzazione (grande o piccolache sia) dalle altrettanto nuove minacce informatiche, e di mettere inatto un sostanziale cambio di paradigma nello studio e nella predisposi-zione del sistema di difesa dell’organizzazione stessa. In sostanza, oc-corre prevedere un’evoluzione in parallelo sia del tipo di coinvolgimento delfattore umano che del tipo di approccio tecnologico utilizzato nella pianifi-cazione degli interventi di protezione aziendale.Oggi, la consuetudine, con le inevitabili infinite varianti che caratte-rizzano ciascun assetto organizzativo, prevede che le contromisure disicurezza informatica siano in carico ad una parte dedicata dell’IT, che,tipicamente, opera con un approccio “tecnocentrico” (a differenza dialtre aree dell’IT maggiormente legate alla realizzazione di soluzioni peril core business e che prevedono la presenza di una figura che interagiscecon l’utente finale). Attualmente, la tecnologia è quindi spesso al centrodi qualsiasi piano per la sicurezza informatica, in quanto l’approccio adot-tato è “identifichiamo la tecnologia adatta”.Tuttavia, questo approccio comincia a mostrare un’apertura verso inter-venti che tengono conto della crescente importanza attribuita anche daiprocessi. Le tecnologie adottate per la realizzazione dell’impianto com-plessivo di sicurezza non devono più, quindi, essere efficaci “a scatolachiusa”, ma devono anche essere facilmente monitorabili e integrabili neisistemi aziendali di raccolta ed elaborazione delle informazioni. Il cre-scente cambiamento in tal senso è sicuramente importante per contra-stare l’avanzare delle minacce social, tuttavia anche questo passo non èancora sufficiente e richiede un’ulteriore evoluzione.Occorrono scelte forti per abilitare il passaggio dalla situazione attuale incui il fattore umano è “separato” dalla tecnologia e “subisce” la sicurez-za a una situazione in cui le persone vengono attivamente coinvolte neiprocessi di sicurezza. Un simile cambio di paradigma è estremamente sfi-dante per il management aziendale, in quanto implica il coinvolgimentodi differenti funzioni aziendali tradizionalmente separate. Per un’efficacetransizione verso il modello appena indicato, non si può infatti prescin-dere, dalla condivisione degli obiettivi, in modo più o meno intenso, confunzioni non direttamente collegate alla dimensione “tecnologica” azien-
    • CEFRIEL innovision paper GIUGNO 201326 |dale, ma legate alla gestione delle risorse umane, della comunicazione,degli affari legali, e di numerosi altri ambiti.Inoltre, attuare il “patching delle vulnerabilità del fattore umano15” non èun processo deterministico e dagli esiti certi quanto il patching di siste-mi e applicativi. Inoltre, se si pensa alle difficoltà attuative che spessocaratterizzano anche le attività di stampo spiccatamente IT, si può capirequanto possa essere complesso impostare nuove “attitudini” all’internodell’azienda per sviluppare e potenziare la consapevolezza (almeno) neiconfronti dei più comuni approcci di attacco social utilizzati, e diminuire icomportamenti che possono abilitare gli attacchi stessi.In questo contesto, la strategia vincente sembra essere quella di ripen-sare complessivamente il monitoraggio del livello di sicurezza rag-giunto dall’organizzazione sia introducendo nuovi ambiti focalizzatisulla dimensione “social”, sia ripensando il monitoraggio tecnologiconell’ottica di una protezione aziendale più capillare ed efficace. I due tipidi monitoraggio devono essere integrati per una difesa a 360° che siaquanto più possibile completa, e devono essere sostenuti da opportune ediffuse “sonde” di rilevamento dei pericoli. Declinate in contesto tecnolo-gico, tali sonde sono i tradizionali punti di rilevamento di accessi e azioniIT non autorizzati, mentre, rilette in ambito social, possono solo essererappresentate dagli appartenenti all’organizzazione stessa, opportuna-mente preparati (“configurati”, utilizzando un’imprecisa, ma forse espli-cativa, metafora IT) per rilevare in modo tempestivo, e potenzialmentebloccare, i tentativi di attacco.Lo schema riportato nella figura 3 illustra tale cambiamento di approccio:non più solo una sicurezza perimetrale robusta a prescindere dal conte-nuto da proteggere, ma un insieme di azioni che mirano a proteggere lemacchine, le informazioni, gli utenti sia come aspetti singoli che comeparte di un tutto.Ne consegue che una strategia unificata e moderna per la pianificazionedegli interventi di sicurezza informatica deve contemplare almeno tre15  L’approccio tradizionale di patching, che prevede di apportare correzioni a release di programmi tramite op-portune “patch” (pezze), non può ovviamente essere applicato alle vulnerabilità rappresentate dagli utenti finali.Figura 3Schema di protezione distribuita, multi-layer, che integra vari ambiti comple-mentariFonte: CEFRIEL, 2013
    • SOCIAL-DRIVEN VULNERABILITY 27macro-aree di azione, non tutte oggi sempre adeguatamente considera-te e presidiate:–– Il monitoraggio sull’ambito social in ottica Information Security;–– Il monitoraggio tecnologico esteso all’intero patrimonio IT azienda-le e non limitato al perimetro;–– Il “monitoraggio sul monitoraggio”, inteso come forte presidio deiprocessi che permettono, dai risultati e dagli alert derivanti da tecno-logia e utenti, di sollevare efficaci e tempestive barriere.Nel seguito si cercherà di illustrare le principali caratteristiche di tali nuo-ve direttrici di azione in termini di possibili necessità d’intervento.5.1 Monitoraggio socialIl tema del monitoraggio social in ambito Information Security è par-ticolarmente delicato, in quanto implica due dimensioni d’interventopotenzialmente complementari sul fronte della vulnerabilità, ma la cuiattuazione richiede elementi di attenzione e coinvolgimenti organizzatividifferenti.Una prima direzione d’intervento è quella della costante valutazionedell’esposizione sui Social Media (sinergica ma non equivalente alle atti-vità sempre più spesso svolte per il monitoraggio della reputation16e delsentiment17legato al brand). Da un lato, si tratta di valutare quale tipo diinformazioni le persone legate da rapporti di varia natura con l’aziendaespongono sul social e più in generale su Internet. Il tema è complessoe delicato in quanto, per svariati motivi (non ultimo quello normativo),alcune attività di monitoraggio dei contenuti sui media che hanno naturae connotazione maggiormente “personale” (Facebook in primis, ma nonsolo) si presentano come estremamente articolate e richiedono la deter-minazione del giusto livello di intervento, da calibrare successivamentein funzione delle evidenze che via via possono emergere (social mediamonitorati, tipologia di monitoraggio e di intervento, ecc.).Da queste prime considerazioni, emerge come questa attività di monito-raggio non possa essere semplicemente puntuale, ma debba innestarsi inun processo continuo e costantemente gestito. Questa direzione d’inter-vento dovrebbe inoltre coprire ambiti noti (le digital properties aziendali,ossia i contenuti esposti e gestiti dall’organizzazione stessa), ma ancheconcentrarsi su tutti quei contenuti raggiungibili su Internet non notiall’azienda, ma spesso estremamente simili ai contenuti aziendali origi-nali tanto da essere in molti casi confusi con essi, che possono essere ma-16  Considerazione o credibilità di un’entità (soggetto, brand, prodotto, servizio) all’interno di un determinatogruppo sociale.17  Opinione da parte delle persone nei confronti di un determinato brand, prodotto o servizio. Con la sentimentanalysis si cerca di comprendere la predisposizione delle persone nei confronti dell’oggetto d’analisi.
    • CEFRIEL innovision paper GIUGNO 201328 |nipolati a piacimento da chi li controlla e utilizzati per indirizzare efficaciattività di raccolta informativa finalizzata alla costruzione di attacchi.Una seconda direzione d’intervento è quella interna. In questo caso,occorre mettere in campo opportune attività rivolte all’utenza internache si trovi nella posizione, descritta in precedenza, di rappresentare unponte per l’attraversamento delle difese tecnologiche perimetrali.Tali at-tività in prima istanza dovrebbero valutare, mediante assessment miratie simulazioni di attacco, il reale fabbisogno di intervento, anche alla lucedi eventuali interventi di consapevolizzazione già effettuati. In questocaso, il dato numerico rilevato non è importante in senso assoluto, ma inquanto rappresentativo di una percentuale complessiva di esposizione aun eventuale attacco social del campione di riferimento aziendale utiliz-zato per questo tipo di attività: l’assessment e il test sul campo hanno loscopo di evidenziare quali aree dell’utenza target sono maggiormentesoggette a quali tipologie di attacco “social-driven”.In particolare, emergono dimensioni di analisi che vanno dalla caratteriz-zazione demografica del campione, o del livello di potenziale accesso alleinformazioni aziendali, alla combinazione di fattori social e tecnologicicaratterizzanti gli attacchi che si sono rivelati maggiormente efficaci. An-che tali attività vanno pensate e inserite in un processo che le gestisca ele finalizzi, assicurando adeguati follow-up sia sul piano della consapevo-lezza che dell’eventuale risposta tecnologica, e prevedendo il necessariocoinvolgimento di varie “anime” (funzioni) dell’azienda.5.2 Monitoraggio tecnologicoUna strategia al passo con i tempi per la gestione della sicurezza infor-matica aziendale deve quindi dare ampio peso anche all’ambito social,ma, allo stesso tempo, non può ovviamente prescindere dagli interventitecnologici. Occorre infatti evidenziare che, sebbene l’intervento sulladimensione social sia ormai inevitabile, non è tuttavia sufficiente a difen-dere l’azienda, in quanto la dimensione tecnologica rimane fondamenta-le per la sicurezza del patrimonio informativo. La difesa più efficace saràquella che meglio riuscirà a far leva su entrambe le dimensioni.Figura 4Definizione delle aree di interventoper categoria di soggetti e tipologia diattaccoFonte: CEFRIEL, 2013
    • SOCIAL-DRIVEN VULNERABILITY 29In tal senso, l’aspetto del monitoraggio continuo deve incrociarsi conun’attitudine al “divide et impera”, sicuramente non nuova nelle bestpractice per l’attuazione delle difese dell’IT. Parole chiave come “defen-ce in depth”, segmentazione, intrusion detection e prevention con sondesulle reti interne non sono infatti nuove a chi gestisce e progetta l’ITaziendale con un occhio attento alle problematiche di sicurezza, e, infat-ti, tale attitudine deve essere considerata un fattore imprescindibile peruna protezione a 360°. Come per un castello, difendere il perimetro esternodell’azienda non basta, ma occorre segmentare anche la struttura internae difendere i perimetri delle varie sezioni. Solo così è possibile evitare cheuna singola violazione di perimetro, ottenuta con mezzi social e quindi aldi sotto dei radar di rilevamento tecnologico presenti in azienda, si tra-sformi in un accesso completo al patrimonio informativo aziendale. Nonsi dimentichi il paradigma che oggi caratterizza i cosiddetti AdvancedPersistentThreat: l’investimento effettuato dagli attaccanti sulle ricerched’informazioni che abilitano la fase social di tali attacchi è spesso ampia-mente ripagato dall’evidenza, una volta attraversato il perimetro ester-no, di un basso livello di protezione interno.Tuttavia questo non basta. A ciò si deve aggiungere l’analisi regolaredelle anomalie e dei flussi di dati tra i perimetri, come riscontrati dalle di-verse sonde tecnologiche poste a salvaguardia degli stessi, così da poterreagire con tempestività ad eventuali attacchi e isolare le porzioni di ITcompromesse evitando conseguenze più gravi.In questo contesto, avvalendoci di una metafora classica ma significativautilizzata nell’ambito della sicurezza informatica, possiamo evidenziarecome, a completamento della struttura difensiva “laterale” di un “castel-lo”, sia necessario inserire parallelamente anche il monitoraggio socialprecedentemente descritto, per proteggere sia dalle nuove incursioni“dall’alto” che vanno a colpire direttamente le persone “scavalcando” lemura, sia dalle nuove tecniche che convincono le persone ad aprire diret-tamente il “portone principale” del castello.5.3 Processi di controllo per la prevenzioneDall’analisi sviluppata nelle sezioni precedenti emerge come il poten-ziamento delle tecnologie di difesa e il monitoraggio del social non siasufficiente, in quanto occorre anche insistere sui processi di controllo pernon rendere inutili o inefficaci gli interventi che consentono di ottenerealert tempestivi. Il monitoraggio non avverrà quindi solo sulle console de-gli apparati ICT (approccio tradizionalmente adottato nei SOC – SecurityOperation Center), ma, poiché il fattore umano deve diventare semprepiù parte integrante della catena tecnologica, occorrerà anche un moni-toraggio degli allarmi “umani”. Con questa termine si fa riferimento aun effettivo e dimostrabile monitoraggio delle segnalazioni provenientidalle persone, che dovrebbero diventare esse stesse delle “sonde” di
    • CEFRIEL innovision paper GIUGNO 201330 |controllo che si aggiungono a quelle tecnologiche installate sul PC e nellereti. A questo scopo è fondamentale, ad esempio, un Help Desk reattivoe consapevole che favorisca la collaborazione del personale, lo stabilirsidi processi integrati per la raccolta e la gestione delle segnalazioni sui di-versi canali, e l’attuazione di efficaci procedure di escalation, ossia azioniconcatenate svolte da più soggetti a più livelli per bloccare e neutralizza-re gli attacchi in corso.5.4 Implicazioni organizzative dell’approccio integrato allasicurezza aziendaleTutte le azioni descritte in precedenza hanno una qualche implicazionesull’organizzazione aziendale. L’impatto è tanto più significativo quantopiù la condizione di partenza (anche di carattere “culturale”) prevede chela sicurezza IT sia un “di cui” delle attività proprie dell’IT stesso, senza lapresenza di tavoli decisionali (“comitati”) che accorpino i contributi dellediverse funzioni e abbiano un reale potere di indirizzo e governo dellastrategia.Le “voci” da riunire sono molteplici: sicuramente IT Security, Human Re-sources, Comunicazione, Affari legali, ma non soltanto, in quanto dovreb-bero essere coinvolte anche altre strutture, ove presenti, come quellepreposte all’Innovazione o al Risk Management (il rischio social, cometutti gli altri rischi, deve essere adeguatamente compreso, misurato, va-lutato) ed eventuali ulteriori funzioni in relazione alle singole specificitàorganizzative e ai diversi contesti operativi.In particolare, il valore del coinvolgimento della struttura Innovazione èlegato al fatto che il nuovo approccio alla sicurezza finora delineato nonsoltanto è innovativo nel suo complesso, ma richiede anche una seried’interventi che già singolarmente si caratterizzano come totalmentediscontinui rispetto alle attività tradizionalmente realizzate in azienda,sia in termini di svolgimento che di implicazioni.
    • SOCIAL-DRIVEN VULNERABILITY 316. ConclusioniGli interventi tecnologici di sicurezza devono evolvere contestualmentesu più piani per una strategia efficace e completa: quello orizzontale,integrando la protezione del perimetro esterno con quella dei perimetriinterni, e quello verticale, alzando gli interventi dal piano tecnologico aquello delle persone.In particolare, è necessario un approccio integrato costituito da un insie-me di azioni, definite tramite un modello condiviso da tutte le funzioniaziendali e in sinergia anche con i budget stanziati per strutture diversedall’IT.A questo scopo, CEFRIEL ha definito uno specifico toolset, frutto dell’in-tegrazione tra metodo e insieme di strumenti, denominato “CEFRIELSocial-DrivenVulnerability Assessment”. Questo approccio combina-to favorisce la diffusione della consapevolezza tra le persone e la lorosensibilizzazione relativamente alle nuove dinamiche di Social-drivenVulnerability, e promuove la riduzione dei comportamenti a rischio perun programma di protezione a 360° del patrimonio informativo aziendale.AutoriRaoul Brenna - Enrico Frumento - Anna Pagani - PieroTagliapietraLicenza d’uso© CEFRIEL- Milano, Giugno 2013 - Some rights reservedLa presente pubblicazione è rilasciata sotto una licenza Creative Commons (http://creativecommons.org/licenses/by-nc-nd/3.0/it/) con le seguenti restrizioni:–– Attribuzione: si deve attribuire la paternità dell’opera nei modi indicatidall’autore o da chi ti ha dato l’opera in licenza e in modo tale da nonsuggerire che essi avallino te o il modo in cui tu usi l’opera.–– Non commerciale: non si può usare quest’opera per fini commerciali.–– Non opere derivate: non si può alterare o trasformare quest’opera, néusarla per cre­arne un’altra. Le citazioni riportate provenienti da altrefonti espressamente menzio­nate rimangono di proprietà dei rispettiviautori e/o proprietari.Tutti i marchi e i loghi citati appartengono ai rispettivi proprietari.
    • CEFRIEL innovision paper GIUGNO 201332 |L’esperienza di CEFRIELCEFRIEL affronta da anni le differenti tematiche legate all’evoluzionestrategica e al governo dei moderni sistemi informativi aziendali.Le competenze in Information Security di CEFRIEL si basano su una lun-ga esperienza acquisita nel sostegno al processo d’innovazione di impre-se e pubblica amministrazione attraverso l’analisi, la progettazione e losviluppo di strumenti per la gestione a 360° della sicurezza delle informa-zioni. CEFRIEL realizza progetti e offre servizi in settori dove la confiden-zialità, l’integrità e la disponibilità delle informazioni sono fattori critici. Ilmodello operativo è arricchito dalla capacità di aggregare, razionalizzaree trasferire le competenze acquisite nei progetti svolti e nel continuocontatto con manager e professionisti della sicurezza delle informazioni.Anche il governo dell’approccio “Social” proposto da CEFRIEL presen-ta caratteristiche innovative: non solo supporto nell’individuazione eattuazione di una strategia social dentro l’azienda, ma anche analisi delsentiment degli utenti rispetto a quanto l’azienda comunica sui SocialNetwork.Le competenze acquisite e continuamente sviluppate in ambito Secu-rity e Social Media sono ormai applicate da anni nell’ambito di progettid’innovazione realizzati in collaborazione con primarie realtà italiane perl’assessment della vulnerabilità sociale e tecnologica.Per ulteriori informazioni: CEFRIEL_SocialDrivenVA@cefriel.com
    • SOCIAL-DRIVEN VULNERABILITY 33Via R. Fucini, 2 - 20133 MilanoT +39 02 23954 1F +39 02 23954 254www.cefriel.comINNOVISIONPAPERGIUGNO 2013