#ueba

🔍 What is This Paper About?

This paper is about cybersecurity — specifically, how organizations can protect themselves from threats that come from inside their own networks. It introduces a new, improved framework called UEBA (User and Entity Behavior Analytics) that uses advanced AI and machine learning to watch how people and devices behave on a network, spot anything suspicious, and respond automatically before damage is done.

🌍 Why Does This Matter?

Modern cyber threats are no longer just about hackers breaking in from outside. Many attacks come from:

Insider threats — employees misusing their access

Compromised accounts — legitimate user accounts that have been taken over by attackers

Malicious entities — infected devices, rogue applications, or servers behaving abnormally

Traditional security tools are reactive — they respond after something bad happens. UEBA is proactive — it spots threats before they escalate into full breaches.

📖 A Brief History of UEBA

🧱 Core Components of UEBA (The Building Blocks)

Every UEBA system is built on these 8 fundamental components:

1. Data Collection The system gathers information from every corner of the network — server logs, application logs, network traffic, user activity records, and endpoint devices (like laptops and phones). This raw data is the foundation of everything.

2. Data Processing Raw data is messy. This step cleans, organizes, and standardizes the data so it can be compared and analyzed consistently across all different sources.

3. Machine Learning Algorithms The brain of the system. ML algorithms process massive amounts of data to find patterns, spot unusual behaviors, and flag potential security issues — all automatically, without a human having to check every log manually.

4. Behavioral Analytics This creates a "normal behavior profile" for every user and device. For example, if an employee always logs in from Dhaka between 9 AM and 6 PM, that becomes their baseline. Anything outside that — like logging in at 2 AM from a foreign country — triggers an alert.

5. Anomaly Detection Specifically watches for behavior that deviates significantly from normal patterns — like accessing sensitive files they've never touched before, or suddenly downloading massive amounts of data.

6. Contextual Analysis Instead of just flagging every unusual event (which causes too many false alarms), this component considers context — Who is the user? What's their role? What time is it? What's the sensitivity of the data being accessed? This makes alerts much more accurate and relevant.

7. Risk Scoring and Prioritization Not all threats are equally dangerous. This component assigns a risk score to every detected anomaly based on how severe and likely the threat is, so security teams know which alerts to investigate first.

8. Visualization and Reporting Security dashboards and reports that present complex data in a clear, visual format so analysts can quickly understand what's happening and make fast decisions.

🤖 Machine Learning Algorithms Used in UEBA

1. Unsupervised Learning Algorithms

These work without labeled training data — meaning the system learns what "normal" looks like on its own, without being told explicitly. Three key clustering methods are used:

K-Means Clustering — groups users or behaviors into clusters. Anyone who doesn't fit into any cluster is flagged as an outlier

Hierarchical Clustering — builds a tree of behavior groups from most similar to least similar, helping identify abnormal subgroups

Density-Based Clustering — identifies dense regions of normal behavior and flags anything in low-density areas as suspicious

2. Supervised Learning Algorithms

These are trained on labeled datasets (examples of both normal and malicious behavior) to classify new activities as safe or dangerous. Algorithms include:

Logistic Regression — predicts whether a behavior is suspicious (yes/no)

Random Forests — combines many decision trees for more reliable classification

Support Vector Machines (SVM) — finds the best mathematical boundary separating normal from abnormal behavior

Decision Trees — creates a flowchart-style decision process to classify behavior

Neural Networks — mimics the human brain to detect complex patterns

3. Deep Learning Models

Used for analyzing very complex, high-volume data like network traffic logs and system events:

Deep Neural Networks (DNNs) — multiple layers of processing that can detect extremely subtle patterns invisible to simpler models

Convolutional Neural Networks (CNNs) — extract local patterns from structured data streams like network packet sequences

Recurrent Neural Networks (RNNs) — process sequences of events over time, remembering what happened previously to detect evolving attack patterns

Autoencoders — learn a compressed representation of normal behavior; anything that can't be compressed well is flagged as anomalous

4. Anomaly Detection Algorithms

Specialized algorithms focused purely on finding what doesn't belong:

Gaussian Mixture Models (GMM) — models normal behavior as a mix of statistical distributions; anything outside those distributions is an anomaly

Isolation Forest — isolates unusual data points by randomly partitioning data; anomalies are isolated much faster than normal points

One-Class SVM — learns only from normal data and flags anything that doesn't match as suspicious

Z-Score Analysis — measures how many standard deviations a behavior is from the average; extreme scores signal anomalies

5. Ensemble Learning

Combines multiple ML models together to get better, more reliable results than any single model alone:

Bagging — trains multiple models independently and averages their results (e.g., Random Forest)

Boosting — trains models sequentially, where each new model fixes the errors of the previous one (e.g., XGBoost)

Stacking — combines predictions from different types of models using a final "meta-model" to produce the best overall prediction

6. Reinforcement Learning

The most advanced approach — the system learns from its own actions. When it correctly identifies a threat and the response works, it gets "rewarded." When it misses a threat or gives a false alarm, it learns to adjust. Over time, it becomes better and better at optimizing security policies automatically.

🧠 Behavioral Modeling Techniques

These are methods used to understand and model how people and devices normally behave:

1. Profile-Based Modeling Builds a detailed behavioral profile for every user and device — typical login hours, usual files accessed, normal data transfer volumes, commonly used applications. Any deviation from this profile raises a red flag.

2. Peer Group Analysis Compares a user's behavior to others with the same role, department, or access level. If an accountant suddenly starts accessing engineering databases — which no other accountant does — that's suspicious even if their individual profile hasn't changed drastically.

3. Sequence Analysis Looks at the order of actions, not just individual events. For example, a normal session might be: login → check email → open a document → logout. A suspicious session might be: login → access HR database → download all records → logout. The sequence itself reveals the threat.

4. Graph-Based Modeling Maps relationships between users, devices, and resources as a network graph. Detects unusual patterns like:

A user suddenly connecting to systems they've never accessed

A device communicating with an unusual number of other systems (potential malware spread)

Privilege escalation — a user gaining access far beyond their normal level

5. Statistical Profiling Uses pure mathematics to define what "normal" looks like in terms of frequency, volume, duration, and variation. Anything statistically far from the norm is flagged. Methods include mean, standard deviation, histograms, and time series analysis.

6. Contextual Analysis Evaluates behavior within its full context — time of day, location, user role, sensitivity of the data being accessed. A system administrator accessing the server room at 11 PM might be normal; a junior sales employee doing the same is not.

7. Machine Learning-Based Modeling A combination of supervised, unsupervised, and semi-supervised techniques that continuously learn and adapt as behavior patterns evolve, ensuring the model stays current with new threats.

📊 Statistical Analysis Methods Used

1. Descriptive Statistics Summarizes behavioral data using basic statistical measures like mean (average), median, standard deviation, and variance — giving analysts a snapshot of what "normal" looks like across the organization.

2. Frequency Analysis Tracks how often specific events occur. Sudden spikes — like 500 login attempts in one minute — immediately stand out as suspicious.

3. Temporal Analysis Studies behavior patterns across different time windows — hours, days, weeks, months. Detects seasonality (e.g., normal end-of-month spikes in file access) and flags activity that breaks time-based patterns.

4. Correlation Analysis Finds hidden connections between different behaviors or events. For example, if every time a certain user logs in after hours, sensitive data is also exfiltrated from a specific server — correlation analysis catches that link even if neither event alone seems alarming.

5. Anomaly Detection (Statistical) Uses Gaussian Mixture Models, z-score analysis, and time series analysis to identify statistical outliers in behavioral data.

6. Risk Scoring and Thresholding Assigns numerical risk scores to events based on severity, frequency, and impact. Sets threshold levels that automatically trigger alerts when crossed — ensuring the system responds to the right level of risk.

🏗️ The Proposed New Framework

The paper's core contribution is a hybrid framework that combines two leading real-world platforms:

Splunk UBA + Securonix Security Analytics Platform

🔄 How the Framework Works Step by Step

⚖️ How It Compares to Existing Frameworks

🌐 Where Can This Framework Be Used?

🏦 Financial Services — Detecting insider fraud, unauthorized access, and account takeovers in banks

🏥 Healthcare — Protecting patient data, ensuring regulatory compliance (like HIPAA), detecting network anomalies

💻 Technology Companies — Preventing intellectual property theft, insider attacks, and cyber espionage

🏛️ Government Agencies — Securing sensitive government infrastructure and data from nation-state threats

🛍️ Retail & E-commerce — Detecting fraudulent transactions, preventing account hijacking, protecting customer data

⚡ Critical Infrastructure — Protecting power grids, water systems, and transportation networks from industrial cyber attacks targeting control systems (ICS/OT networks)

✅ Conclusion

Read the full report on -

Estimated reading time: 6 minutes Il tema della sicurezza delle informazioni è di grande attualità in questo periodo storico caratterizzato dalla digitalizzazione. Per proteggersi le aziende e gli individui possono utilizzare una serie di strumenti che possono impedire un attacco, ma anche aiutarlo a gestirlo. In questo articolo parliamo di Automated Response Integration e delle automazioni nel SOCaaS offerto da SOD. Sebbene i sistemi utilizzati siano quasi sempre improntati su tecnologie efficienti, negli ultimi anni l'implementazione di servizi di SOCaaS muniti di SNYPR per l'analisi dei Big Data sta facendo la differenza. I servizi dedicati SOCaaS, agevolano gli utilizzatori finali nell'utilizzo dei sistemi di sicurezza, improntando il loro funzionamento su processi automatici che tutelano i dispositivi aziendali.

Cos’è l’Automated Response Integration

Con il termine Automated Response Integration, si identifica uno specifico approccio all’analisi dei dati e conseguente risposta in uno scenario di difesa informatica. Lo vediamo oggi, in particolare, correlato al nostro SOCaaS su cui viene applicato lo strumento SNYPR, di cui abbiamo già parlato in passato. SNYPR e l’Automated Response Integration Affinché si possano comprendere le potenzialità di un servizio SOCaaS, con implementazione di SNYPR, è opportuno capire prima cosa si intenda con questo termine. Quando si utilizza la parola SNYPR si identifica quello strumento di esame capace di analizzare i Big Data e semplificarne le azioni. Un sistema dotato di SNYPR può esaminare un'enorme mole di dati e identificare i comportamenti di tutti coloro che interagiscono con la piattaforma. Vi è la combinazione dei log SIEM e UEBA, oltre che un'analisi dedicata alla sicurezza in tempo reale, molto utili per automatizzare le operazioni quotidiane svolte nell’infrastruttura. Il funzionamento di uno strumento SNYPR per la informatica aziendale, è basato sull'analisi di migliaia di informazioni raccolte, grazie a un'intelligenza artificiale. Queste analisi sono poi usate per prevenire e intervenire sulle minacce informatiche. Il fatto che gran parte di queste operazioni sia automatica, ci porta nell’ambito dell’Automated Response Integration. Tecnicamente si differenzia da altre piattaforme per l'utilizzo di algoritmi di rilevamento delle minacce che hanno la capacità di scansionare in tempo reale i sistemi e gli accessi eseguiti da altri dispositivi. Un sistema tradizionale raccoglie semplicemente i dati, mentre un SOCaaS con implementazione SNYPR può anche rilevare minacce molto più dannose e adattarsi di conseguenza. I punti di forza del Automated Response Integration con SNYPR / SOCaaS Tra i punti di forza di questo strumento, figura il sistema di sicurezza basato su SDL (Security Data Lake). Tale condizione permette alle aziende di conservare una copia dei dati nel SDL e inoltrare la richiesta di scansione in qualsiasi momento. Non vi è un blocco dei dati, come nei sistemi tradizionali, ma un sistema aperto capace di condividere le informazioni con i diversi dispositivi. Come è facile intuire, è proprio questa disponibilità di dati e la possibilità di analisi approfondita, che ci permette di mettere in campo una strategia di Automated Response Integration con il nostro SOCaaS. Ci sono varie funzioni dei sistemi in campo che sono degni di nota. Tra queste segnaliamo: l'arricchimento dei dati, l'analisi distribuita sul comportamento, l'indagine storica, la scalabilità e la ridondanza dei dati. Questa coordinazione di servizi, permette di avere un impatto concreto per la sicurezza informatica, condizione evidente in tre aree di competenza dello SNYPR: minacce interne, minacce persistenti e utilizzo professionale. L’utilizzo professionale di SNYPR: negli ultimi anni le aziende più importanti si sono dotate di una piattaforma SNYPR per tutelare le loro infrastrutture di archiviazione e analisi dei dati. Il sistema monitora costantemente il flusso di informazioni e si adatta alle condizioni migliori in caso di attacchi informatici.

Automated Response Integration per l’automazione nel SOCaaS

Da un punto di vista tecnico un sistema SNYPR garantisce di per sé ottime potenzialità, ma è con l'implementazione SOCaaS che trova la sua massima espressione di protezione nei sistemi informatici. L'analisi delle minacce in un sistema aziendale, sebbene venga effettuato in tempo reale, necessita dell'intervento di tecnici specializzati per identificare la problematica. Con il SOCaaS l'individuazione si lega alle azioni automatizzate per fronteggiare le possibili minacce, senza che ci sia un intervento di terze parti. Vi è una vera e propria integrazione con risposta automatizzata utile a prevenire e debellare le possibili minacce. Tale processo è essenziale non solo per evitare che i sistemi aziendali vengano compromessi, ma anche per tutelare le aziende e i loro reparti IT, che si possono focalizzare su altri compiti. Funzionalità dell’Automated Response Integration Playbook: lo strumento può avviare un playbook nel momento in cui vengano rilevate minacce da SNYPR. La trascrizione degli eventi è importante per comprendere la provenienza della minaccia. Query: l'automazione può gestire le azioni o le query sugli end point direttamente da SNYPR, al fine di fronteggiare l'attacco informatico. Tale caratteristica evita il blocco della produzione nei momenti più concitati. UEBA: come anticipato nelle righe precedenti, uno strumento basato su NSYPR può importare avvisi UEBA. I formati di riferimento usualmente sono CEF, che riportano avvisi provenienti da qualsiasi tipologia di dispositivo, incidendo sulla sicurezza in modo significativo. Controllo IP: uno dei punti di forza di questa tecnologia è il controllo di domini, IP, file e URL, garantendo la massima versatilità per ogni tipologia di attività lavorativa. Dati DNS e Whols: la risposta automatizzata è particolarmente utile nell'archiviazione dei dati DNS e Whols, poiché è possibile verificare la validità dei certificati e monitorare gli accessi indesiderati. Vulnerabilità: è possibile pianificare una scansione della vulnerabilità della rete. Tale processo di analisi è indicato soprattutto per le aziende che inviano e ricevono un flusso ingente di informazioni fuori dal contesto aziendale.

Affidarsi a professionisti

Non tutti i servizi basati su SOCaaS che implementano SNYPR sono identici tra loro, alcuni di questi offrono la medesima tecnologia ma modalità di intervento diverse. Tra le soluzioni più interessanti figura il nostro SOCaaS. Noi da anni ci occupiamo di offrire soluzioni di sicurezza IT a livello internazionale e questo è garanzia di eccellenza, a fianco delle nostre certificazioni e pertnership. Il nostro servizio per la sicurezza informatica, basato sull’Automated Response Integration, garantisce il monitoraggio completo delle infrastrutture aziendali, aiutando l'azienda a evitare costi aggiuntivi per la manutenzione ordinaria o straordinaria dei dispositivi.

Conclusioni

This is great place to start and it’s simple to do. If you have applications, accounts, or devices you are not using, let them go. Attackers can take advantage of anything connected to your network so clean out everything that doesn’t need to be there. Unplug devices you aren’t using. Delete unused applications.

A critical area to focus on is account cleanup. Reduce the risk of orphan or dormant accounts being compromised or misused by deleting them. Gurucul Identity Analytics can help automate the access cleanup process. It automatically identifies dormant and orphan accounts so you can delete them. It also detects accounts with outlier access that are routinely missed by conventional IAM tools. This means you can reduce access for accounts that are overprovisioned and shrink your attack surface.

Estimated reading time: 7 minutes Le applicazioni di Cyber Threat Analytics monitorano i log di sicurezza e il network per rilevare in maniera tempestiva eventuali infezioni malware (per esempio, gli attacchi zero day e i ransomware), la compromissione del sistema, le attività di “lateral movement”, pass-the-hash, pass-the-ticket e altre tecniche avanzate d’intrusione. L’uso di un SOCaaS permette di estrapolare dati da sorgenti come firewalls, proxy, VPN, IDS, DNS, endpoints, e da tutti i dispositivi connessi alla rete con lo scopo di identificare modelli dannosi come il “beaconing”, connessioni a domini generati digitalmente, azioni eseguite da robot e tutti i comportamenti anomali. Il nostro sistema SOCaaS è dotato di intelligenza artificiale che arricchisce e trasforma gli eventi SIEM, in modo da identificare le minacce nell'intero ambiente IT, includendo anche le applicazioni aziendali critiche.

Quali sono i vantaggi a livello aziendale?

L’uso di un SOCaaS. Qui sotto è riportata una lista con soltanto alcuni dei vantaggi che l’uso di un SOCaaS può comportare un rapido rilevamento delle violazioni, la riduzione dell'impatto di queste. Inoltre, un SOCaaS fornisce risposte e indagini complete sulle minacce, diminuisce i costi di monitoring e gestione, così come i costi di conformità. L'uso di un SOCaaS permette, inoltre, di ricevere segnalazioni quantificate e non soggettive su minacce e rischi.

Casi d’uso SOCaaS

Dopo una panoramica generale sui vantaggi che potrebbe offrire all’azienda l’uso di un SOCaaS, vediamo in quali contesti viene normalmente impiegato. Un SOCaaS è costituito da elementi che sono molto idonei per essere applicati in caso di esecuzioni anomale di applicazioni, così come nell'analisi del traffico bot verso un sito web dannoso. In altri casi il SOCaaS individua query DNS insolite, una possibile attività di comando e controllo a distanza, analizza gli spike in byte verso destinazioni esterni e quindi controlla anche il traffico, relazionandolo in un contesto applicazione/porta. Altri scenari in cui l'uso di un SOCaaS è ideale sono i rilevamenti di exploit, di sessioni dalla durata insolita, ma anche di connessioni a IP o domini in blacklist e di attività anomale in genere. Infine, è in grado anche di individuare attacchi di SPAM mirato e i tentativi di phishing.

Threat Models

Analizzando gli indicatori di minaccia è possibile rilevare comportamenti correlati su più origini di dati, per rilevando anche tutte quelle minacce che solitamente passano inosservate. Molteplici indicatori di minaccia che si verificano in uno schema e che coinvolgono entità simili tendono a presentare un maggior rischio di costituire una minaccia reale. I Threat Models definiscono questi schemi e combinano le policy e gli indicatori di minaccia per rilevare i comportamenti correlati su più sorgenti di dati, identificando le minacce che potrebbero passare inosservate. In seguito sono riportati alcuni dei Threat Models più comuni che sono inclusi nell'uso di un SOCaaS Rilevamento dei Lateral Movement Questo Threat Model rileva i possibili scenari di “lateral movement”, impiegati dagli aggressori per diffondersi progressivamente in una rete alla ricerca di risorse e dati chiave. I segnali di un attacco del genere possono essere vari e li possiamo dividere in tre categorie: Autenticazione anomala, privilegi sospetti, processo anomalo. Autenticazione anomala è solitamente individuabile tramite alcuni indizi. Per esempio se un account accede a un host mai raggiunto prima. Oppure se vengono usate credenziali esplicite su più host, oppure ancora se viene rilevato un tipo/processo di autenticazione sospetto. Per quello che riguarda i privilegi sospetti, ecco alcuni indicatori rilevabili con l'uso di un SOCaaS: - attività di provisioning anomala - escalation sospetta dei privilegi - accesso anomalo agli oggetti della condivisione della rete Un processo anomalo viene individuato in questo modo tramite l'uso di un SOCaaS: un codice processo inconsueto, oppure la creazione sospetta di attività pianificate. Alternativamente possono essere rilevati dei cambiamenti sospetti alle impostazioni del registro di sistema. Rilevamento di host compromessi Questo modello viene impiegato nell'uso di un SOCaaS per rilevare gli host che mostrano segni di infezione e compromissione mettendo in relazione le anomalie basate su host e rete sulla stessa entità. Un possibile allarme è dato dalle anomalie nel traffico in uscita. Questo si verifica quando il traffico si dirige verso domini casuali o host notoriamente malevoli. In altri casi, invece, un numero anomalo di domini contattati è un altro campanello di allarme rilevabile tramite l'uso di un SOCaaS. Sono trovate anomalie nell’endpoint quando si trovano processi rari o un uso sospetto di porte o protocolli da parte del processo stesso. Una possibilità è anche quella di rilevare un agente inconsueto. Rilevazione APT tramite uso di un SOCaaS La rilevazione APT individua gli attacchi alle reti informatiche sanitarie, in cui lo scopo dell’aggressore solitamente è quello di ottenere un accesso non autorizzato a una rete con l'intenzione di rimanere inosservato per un periodo prolungato. Questo include tentativi di phishing, l'individuazione di una scansione di rete o un'elusione dei controlli. In fase di delivery, invece, potrebbe essere individuato traffico verso domini casuali, un'anomalia nel traffico DHCP o traffico destinato verso host notoriamente dannosi. In fase di exploit, gli indicatori possono essere: la rilevazione di attività da account terminati, traffico DNS anomalo, ma anche un processo di autenticazione sospetto. Un altro possibile indicatore individuabile con l'uso di SOCaaS è un'anomalia nella velocità della rete. Tramite l'uso di un SOCaaS possono essere individuati anche casi di esfiltrazione di dati. I segnali in questo caso sono l'upload non autorizzato di dati sulla rete. Modello rilevamento Phishing tramite uso di SOCaaS Questo modello è in grado di rilevare possibili tentativi di phishing verso utenti all'interno dell'organizzazione. Ne abbiamo parlato anche in altri articoli, ed ecco alcuni indicatori di questo tipo di attacchi. Un campanello di allarme è sicuramente il rilevamento di campagne di phishing note. Non è raro, inoltre, che si individuino attacchi di spear phishing. L'uso di un SOCaaS è in grado anche di individuare possibili tentativi di phishing o Campagne di phishing persistenti, grazie al confronto con email da mittenti/domini/indirizzi IP noti nelle blacklist. Come al solito, bisogna fare attenzione agli allegati e-mail sospetti, ma l'uso di un SOCaaS potrebbe automatizzare, almeno in parte, i controlli. È poi possibile individuare delle anomalie del traffico in uscita, per esempio quello verso domini casuali, anch'esso possibile segnale di phishing. Possono essere indicatori anche il classico traffico verso host malevoli, un numero anomalo di domini rari a cui si è acceduto.

Enumerazione di Host/Account su LDAP Utilizzato, solitamente, per identificare potenziali asset o enumerazioni di account sulla rete da parte di entità maligne. Esecuzione di processi sospetti - Processo/MD5 anomalo rilevato - Uso di possibili set di strumenti di enumerazione AD (Active Directory) - Rilevato l'uso di strumenti e utilità malevoli Scansione della rete - Possibili account AD/privilegi di enumerazione - Conteggio dei servizi LDAP o SMB - Numero anomalo di richieste di ticket di servizio Kerberos - Port scanning Anomalie di autenticazione - Account che accedono a un host per la prima volta - Uso di account mai visti prima sulla rete - Numero anormalo di richieste di autenticazione fallite Ricognizione seguita da un potenziale sfruttamento Questo modello di minaccia mira a identificare i tentativi di ricognizione della rete che hanno avuto successo, seguiti da indicatori di sfruttamento. Scansione esterna - Scansione delle porte da host esterni - Enumerazione di host da host esterni Scansione della rete - Possibile conteggio di account/privilegi AD - Enumerazione di servizi LDAP - Numero insolto di richieste di ticket di servizio Kerberos - Picchi nel traffico LDAP - Enumerazione di servizi SMB Anomalie nei processi - Rilevamento dei processi o MD5 anomali - Creazione sospetta di attività pianificate - Rilevati cambiamenti sospetti alle impostazioni del registro di sistema

Conclusioni

Estimated reading time: 8 minutes Il termine shoulder surfing potrebbe evocare immagini di un piccolo surfista sul colletto della camicia, ma la realtà è molto più banale. Il shoulder surfing è una pratica criminale in cui i ladri rubano i tuoi dati personali spiandoti alle spalle mentre usi un laptop, un bancomat, un terminale pubblico o un altro dispositivo elettronico in mezzo ad altre persone. Questa tecnica di ingegneria sociale è un rischio per la sicurezza che può causare un disastro, soprattutto se le credenziali rubate sono aziendali. La pratica precede di molto gli smartphone e i computer portatili e risale a quando i criminali spiavano gli utenti dei telefoni a pagamento mentre inserivano i numeri delle loro carte telefoniche per effettuare le chiamate. Sono passati molti anni, ma la tecnica non è andata perduta. I ladri si sono evoluti ad osservare le loro vittime mentre digitano il PIN del bancomat, pagano alle pompe self-service di benzina o anche mentre fanno un acquisto in un negozio. Una tecnica analoga per il furto di bancomat prevede un dispositivo di clonazione della carta sovrapposto alla buchetta di inserimento della tessera e una microcamera per spiare il codice. La microcamera compie un atto di shoulder surfing. La clonazione della carta è essenziale perché senza un dispositivo fisico il pin è inutile, ma nel caso di credenziali di account in rete, non serve altro che user e password.

Quando avviene il Shoulder Surfing?

Il shoulder surfing può avvenire ogni volta che si condividono informazioni personali in un luogo pubblico. Questo include non solo i bancomat, le caffetterie e i dispositivi POS in generale, ma praticamente qualsiasi luogo in cui si utilizza un computer portatile, un tablet o uno smartphone per inserire dati personali. I shoulder surfer di vecchia data, di solito, non incombevano alle spalle delle loro vittime per scrutare le informazioni. Invece, stavano a distanza di sicurezza e interpretavano i movimenti delle dita mentre le persone digitavano i numeri sulla tastiera. Allo stesso modo, gli ingegneri sociali di oggi spesso sfuggono all'attenzione mentre osservano tranquillamente gli altri in luoghi pubblici come le sale d'attesa degli aeroporti e i centri commerciali, i bar e i ristoranti, sui treni o le metropolitane, o ovunque ci sia gente, a dire il vero. Addirittura, i più sofisticati criminali di oggi osservano da più lontano, nascosti alla vista. Potrebbero usare un binocolo, delle microcamere o la fotocamera del loro telefono o tablet per scrutare il tuo schermo o la tua tastiera. Non solo, potrebbero origliare mentre leggi i numeri delle carte di credito al telefono o fornisci altre informazioni sensibili. I criminali potrebbero anche scattare foto, fare un video o registrare l'audio delle informazioni e poi interpretarle in seguito. Qualunque sia la metodologia, è chiaro che la tecnologia non solo ci ha aiutato a essere più connessi e poterci permettere di pagare un frappuccino con il cellulare, ma ci ha anche esposto a rischi per la nostra sicurezza. Quando si tratta di dati sensibili, soprattutto se c'è di mezzo un account aziendale da cui si potrebbe accedere a dati sensibili di altre persone, non si deve mai abbassare la guardia, le conseguenze potrebbero essere molto gravi.

Come avviene comunemente il shoulder surfing

Prima di suggerire alcuni metodi per prevenire il shoulder surfing da mettere in pratica immediatamente, vediamo ancora più nel dettaglio come potrebbe avvenire un furto di credenziale con questa tecnica. Al bar o in caffetteria Sei al bar di un ristorante affollato in attesa di un amico. Per passare il tempo, ti colleghi a Instagram. Sfortunatamente, non ti accorgi che la persona bloccata in fila accanto a te sta guardando la tua password, che si dà il caso sia la stessa che usi per il tuo account e-mail e il tuo conto bancario. Al bancomat Stai prendendo contanti a un bancomat. Ti senti al sicuro perché l'uomo dopo di te in fila è ad almeno 3 metri di distanza e sta addirittura guardando il suo telefono. In realtà, sta registrando i movimenti delle tue dita sul suo telefono e li decifrerà successivamente per ottenere il tuo numero PIN. All'aeroporto Il tuo volo è in ritardo, quindi prendi il portatile e ammazzi il tempo andando a leggere un paio di e-mail di lavoro, così per restare aggiornato. Accedi al sito aziendale per leggere la posta e inserisci nome utente e password. Sei così tranquillo, che non vedi la donna a pochi posti di distanza che fissa lo schermo mentre inserisci i dati.

Quali sono le conseguenze del Shoulder Surfing?

Usare i dati della tua carta di credito per fare acquisti fraudolenti è solo un esempio dei danni che potresti subire se rimani vittima di shoulder surfing. Più informazioni personali un criminale cattura su di te, più le conseguenze possono essere gravi per il tuo conto bancario e la tua salute finanziaria. Un grave caso di shoulder surfing può esporti al furto di identità. Un criminale potrebbe usare le tue informazioni personali, come il tuo codice fiscale, per aprire nuovi conti correnti, richiedere prestiti, affittare appartamenti o fare domanda di lavoro sotto il tuo nome. Un ladro d'identità potrebbe mettere le mani sul tuo rimborso delle tasse, usare il tuo nome per ottenere cure mediche o anche richiedere agevolazioni statali a tuo nome. Potrebbe anche commettere un crimine e fornire le tue informazioni personali quando interrogato dalla polizia, lasciandoti con una fedina penale sporca o un mandato d'arresto. Ovviamente, se hai il sospetto che questo sia avvenuto, dovrai recarti immediatamente alla polizia, bloccare i conti correnti e avvisare la banca. Se azioni fraudolente sono già state effettuate a tuo nome, dovrai forse dimostrare che non tu non c'entri. Le cose si fanno pericolose se i dati trafugati sono quelli di un account aziendale. Infatti, con l'uso di credenziali valide, chiunque potrebbe entrare nel sistema della compagnia e compiere ogni tipo di azione, come raccogliere ulteriori dati, piazzare un malware, avviare un ransomware, trafugare i dati dei clienti e poi venderli online.

Come difendersi dallo shoulder surfing

Si possono individuare due livelli di protezione, il primo è proattivo ed è orientato a evitare che le credenziali siano esposte a malintenzionati, il secondo è attivo e prevede dei software per individuare tentativi di utilizzo delle credenziali rubate.

Difendersi proattivamente Se proprio non puoi evitare di inserire dati sensibili nel laptop, tablet o smartphone in un luogo pubblico, dovresti seguire le contromisure elencate di seguito. Suggerimento 1: Prima di inserire qualsiasi dato sensibile, trova un posto sicuro. Assicurati di sederti con le spalle al muro. Questo è il modo migliore per proteggersi da occhi indiscreti. Evita i mezzi pubblici, le poltroncine centrali di una sala d'aspetto e luoghi in cui c'è molto via vai di persone. Suggerimento 2: Utilizzare un filtro per la privacy. Questo dispositivo hardware è un semplice foglio traslucido polarizzato che viene messo sopra lo schermo. Farà sembrare il tuo schermo nero a chiunque lo guardi da un qualunque angolo innaturale. Questo renderà molto più difficile per le persone non autorizzate vedere le tue informazioni. Suggerimento 3: L'autenticazione a due fattori richiede che un utente provi la propria identità utilizzando due diversi componenti di autenticazione che sono indipendenti l'uno dall'altro. Poiché questo tipo di autenticazione passa solo quando entrambi i fattori sono utilizzati correttamente in combinazione, la misura di sicurezza è particolarmente efficace. Per esempio, questo metodo è spesso usato molto nell'online banking. Sono molti i servizi che permettono di usare anche il tuo cellulare come secondo fattore di autenticazione. Questo avviene tramite apposite app. Suggerimento 4: un'altra soluzione è quella di utilizzare un gestore di password. Così facendo, non dovrai più inserire ogni password individualmente sul tuo computer. Il gestore di password lo farà per te dopo che avrai inserito la tua password principale. Questo impedisce a persone non autorizzate di usare la tua tastiera per determinare la vera password, a condizione che tu protegga adeguatamente la tua password principale. Difendersi attivamente con un SOC e l'analisi del comportamento Adesso immaginiamo che le credenziali dell'account aziendale siano state rubate. A questo punto solo un sistema di controllo del comportamento può far scattare un allarme e quindi il blocco dell'utente prima che ci siano dei danni. Infatti, usando credenziali corrette, un normale SIEM tradizionale, non farebbe scattare nessun allarme. Per un SIEM di vecchia generazione l'accesso sarebbe legittimo, perché le credenziali risultano giuste. Il malintenzionato avrebbe libero accesso indisturbato al sistema e potrebbe proseguire con il suo piano di attacco. Con il servizio SOCaaS di SOD, invece, l'accesso anomalo farebbe scattare un allarme. Il SOC messo a disposizione è equipaggiato con un Next Generation SIEM e un sistema UEBA di controllo del comportamento. Questo significa che ogni scostamento dal comportamento usuale dell'utente, verrebbe segnalato. Nel caso del furto di credenziali, come avviene con il shoulder surfing, l'accesso effettuato dal malintenzionato farebbe quindi scattare un allarme perché ci sarebbe qualcosa che non torna. Per esempio il login potrebbe avvenire in fasce orarie anomale, in un'altra nazione/IP, da un sistema operativo differente, etc.

Conclusioni