Il Dark Web non è una sorta di oscuro mondo sotterraneo in cui si arruolano sicari o si trafficano esseri umani. In realtà, è dove la proprietà intellettuale della vostra società, il database di email della vostra azienda o i dettagli della carta di credito dei clienti potrebbero essere in vendita proprio ora, a vostra insaputa. Il Deep Web è un enorme labirinto di pagine 500 volte più grande del web di superficie.
Comprende tutti i siti protetti da password che non possono essere indicizzati da Google, come per esempio i servizi di banking online, i siti di comunità accademiche e i contenuti dietro ai paywall. La sua parte più profonda è ciò che chiamiamo Dark Web, anche se spesso vengono erroneamente confusi. Nel Dark Web le persone utilizzano la crittografia per nascondere dove si trovano, l’identità e le coordinate dei siti che visitano. Il browser Tor è il modo più comune di accedere a questo web “invisibile”. Anche se il Dark Web non è popolato solo da cattive persone, si è guadagnato una reputazione da “gangster virtuale” dove è possibile acquistare e vendere qualsiasi cosa. Le aziende non possono più ignorare il Dark Web quando progettano la loro strategia di cyberdefense: il Dark Web è un ottimo punto di incontro per i criminali informatici, dove trovare tutto ciò di cui hanno bisogno per sferrare un rapido attacco. Solo cinque anni fa, ai criminali informatici toccava ogni fase del lavoro: profilare il target, scovare informazioni, trovare le vulnerabilità, sviluppare le giuste tattiche di attacco e infine riciclare il denaro – un processo lungo, complicato e costoso.
La grande minaccia attuale è l’ecosistema che il Dark Web ha creato. Oggi, i criminali informatici possono specializzarsi in un solo servizio e venderlo su un mercato più ampio. Dato che la maggior parte si fa pagare con una politica pay-per-success o pay-per-install, sferrare un attacco è anche più economico. Quando si trova una tecnica che dà risultati, la si può ripetere e anche rivendere. La velocità delle transazioni, la dimensione e l’inaccessibilità del Dark Web, la mancanza di strumenti di ricerca commerciali e la carenza di competenze specialistiche rendono difficile per le imprese identificare le minacce internamente. Servono squadre di sorveglianza e di esperti che sappiano cosa succede 24/7. Monitorare l’attività nel Dark Web richiede team globali di segugi informatici. I Cyber Security Operations Centers (CyberSOCs) impiegano hacker “etici” che parlano fluentemente il cyber-gergo dei criminali, e utilizzano questa conoscenza per programmare strumenti di intelligence che pattugliano il Dark Web e analizzano i risultati. Essere proattivi e raccogliere intelligence consente alle organizzazioni di creare un sistema di preallarme per potenziali nuovi tipi di attacco.
Le squadre di sorveglianza possono informare sul tipo di tattiche che i criminali informatici stanno utilizzando in modo da poter rinforzare le difese. È necessario un adattamento continuo per essere un passo più avanti dei “cattivi”. Allo stesso tempo, la sorveglianza consente alle organizzazioni di reagire. Se si scopre, per esempio, che le password di un’organizzazione sono in vendita sul Dark Web, si possono immediatamente prendere contromisure per cambiare le chiavi di accesso e le policy di sicurezza. La maggior parte delle aziende si preoccupano ancora delle loro reti e di chi possa spiare dentro i loro dispositivi e dati. Dovrebbero invece cominciare a guardare fuori, per vedere se i loro IP, e i dati di dipendenti e clienti siano già in vendita. Saranno spiacevolmente sorpresi.
Bernardo Centrone, AD e head of Southern & Central Europe di Orange Business Services