Gli attacchi di ingegneria sociale sono in aumento. Questi attacchi a bassa tecnologia ma ad alto impatto – in cui gli hacker manipolano i dipendenti per garantire loro l’accesso ai servizi e ai dati delle aziende – sono aumentati di quasi tre volte lo scorso anno e finora quest’anno hanno mietuto diverse vittime di alto profilo, da Twilio e Mailchimp a Revolut e, più recentemente, Uber. Come dimostrano questi grandi nomi, questo tipo di attacchi può essere difficile da proteggere anche per le organizzazioni più dotate di risorse.
Ora, la startup di sicurezza informatica Nudge Security sta emergendo dalla furtività per aiutare le organizzazioni ad affrontare quella che ritengono essere la più grande debolezza della sicurezza informatica: le persone.
L’azienda completamente remota, con avamposti ad Austin, in Texas e Jackson, nel Wyoming, è stata fondata nel 2021 dagli ex ingegneri del software AlienVault Russell Spitler e Jaime Blasco che credono che l’unico modo per affrontare il “problema delle persone” sia rendere i dipendenti parte del soluzione. Come suggerisce il nome, il suo prodotto lo fa “spingendo” i dipendenti verso comportamenti di sicurezza ottimali, come attivare l’autenticazione a più fattori (MFA) o cambiare la loro password se è stato coinvolto in una violazione.
L’offerta di sicurezza dell’azienda scopre continuamente le risorse software-as-a-service storiche e nuove all’interno di un’organizzazione, comprese le catene di approvvigionamento SaaS e le sovvenzioni OAuth, senza fare affidamento su infrastrutture di rete, agenti endpoint, estensioni del browser o integrazioni API. Quando si verifica un nuovo evento “critico per la sicurezza”, come la creazione di un nuovo account o l’installazione di una nuova app, Nudge interagisce con quel dipendente per assicurarsi che stiano facendo buone scelte di sicurezza. Ad esempio, se un dipendente scarica Dropbox ma l’organizzazione utilizza Google Drive, Nudge avvierà un dialogo per capire perché è stata presa tale decisione.
“Agiamo come un sidecar in un modo che consente ai dipendenti di interagire con il team di sicurezza e consente al team centralizzato di avere ancora visibilità su ciò che sta accadendo, impostare politiche e fare in modo che i dipendenti partecipino a quel processo in un modo che non lo fa interrompere il loro lavoro”, ha detto a TechCrunch lo Spitler di Nudge. “Riteniamo che ogni dipendente abbia il potenziale per comportarsi in modi che supportino e rafforzino la posizione di sicurezza informatica dell’organizzazione, ma non è sempre semplice o diretto farlo”.
Al fine di garantire che i dipendenti si impegnino con questi suggerimenti, Nudge ha collaborato con Aaron Kay, professore di psicologia alla Duke University, che ha mostrato alla startup come può essere necessaria la ricerca fondamentale svolta in psicologia per stabilire una relazione tra il nostro prodotto e gli utenti finali. “Stiamo cercando di coinvolgere i dipendenti e assicurarci di non imbatterci in un modo che ti schiaffeggi le mani o sventoli un grande striscione rosso di avvertimento”, ha aggiunto Spitler.
Nudge non sta affermando che avrebbe potuto impedire l’hacking di Uber o la violazione di Revolut – ha detto Spitler a TechCrunch, “siamo nel settore da troppo tempo per creare casi audaci del genere” – ma che la società crede che possa aiutare le organizzazioni a informare la loro posizione di rischio non solo in termini di chi ha accesso, ma in termini di chi ha accesso a cosa e perché.
“Come nel caso di Uber, una delle cose che è stata una tendenza al collasso negli ultimi mesi è la complessità di queste organizzazioni”, ha affermato Spitler. “L’ingegneria sociale più la complessità significano che anche se un utente viene compromesso, all’improvviso l’organizzazione inizia a crollare”.
“Forniamo anche informazioni sulla catena di approvvigionamento”, ha aggiunto Blasco, co-fondatore e chief technology officer di Nudge. “Supponiamo che la tua organizzazione utilizzi Slack e che stiano utilizzando Twilio, possiamo dirti che Twilio è compromesso.”
Nudge sta lanciando il suo prodotto sei mesi dopo essersi assicurato un investimento iniziale di 7 milioni di dollari da Ballistic Ventures, un nuovo gruppo di VC dedicato esclusivamente alla consulenza e al finanziamento di startup di sicurezza informatica in fase iniziale. Da questo investimento, Nudge ha integrato 10 clienti, con un’altra dozzina circa nella fase pilota per grandi imprese.
“Il prodotto che consegneremo questa settimana è davvero il nostro obiettivo in questo momento, e quindi aumenteremo i nostri sforzi di marketing e vendita”, ha affermato Splinter. “Quando inizieremo ad espanderci su quel fronte, probabilmente cercheremo di rilanciare un altro round”.