Prevenzione, controllo e difesa. CIO e CISO in prima linea. Quali sono le minacce più diffuse da affrontare? In quale direzione si stanno orientando gli investimenti? Il ruolo sempre più centrale dei dati nelle strategie di sicurezza per sviluppare nuovi modelli di intelligence
All’inizio di ottobre è stata diffusa la notizia che la rete Azure di Microsoft sia riuscita, alla fine di agosto, a difendersi da un massiccio attacco DDoS della potenza di 2,4 terabit al secondo: il maggiore della storia, almeno fino al momento in cui sto scrivendo. Ricordo che DDoS è l’acronimo di Distributed Denial of Service, ovvero una tecnica che mira a interrompere specifici servizi, saturando di richieste i server su cui sono appoggiati. Sembra esserci un “crescendo rossiniano” sulla diffusione di questo tipo di attacchi informatici, se consideriamo che già il cinque settembre, la multinazionale di servizi Internet russa, Yandex, dava comunicazione ufficiale di aver rilevato e respinto un attacco da 22 milioni di richieste al secondo. Non solo. Pochi giorni prima, anche Cloudflare rendeva nota un’altra aggressione da 17,2 milioni di richieste al secondo. La gestione della sicurezza informatica sta diventando sempre più una priorità strategica di business. La sicurezza però non è tema in cui si possa improvvisare: richiede un approccio ben studiato e integrato, tale da permetterne una gestione efficace non solo nel breve periodo, perché le tecnologie degli “attaccanti” evolvono in maniera incredibile, scardinando facilmente difese non al passo con i tempi. Proviamo allora ad approfondire questa delicata tematica con l’aiuto di alcuni autorevoli analisti e operatori di mercato, attraverso alcune domande chiave.
SUPERFICI D’ATTACCO PIÙ ESTESE
Quali sono le minacce più diffuse che devono essere affrontate oggi, da chi gestisce una rete enterprise? Lorenzo Ivaldi di CLUSIT, l’associazione italiana per la sicurezza informatica, ci risponde offrendoci un’attenta disamina sull’ufficio dematerializzato e l’approccio Zero Trust. Da alcuni anni, l’ufficio e il desktop aziendale non sono più considerati come gli unici luoghi di lavoro effettivo. «Seguendo l’approccio americano all’ubiquitous computing – spiega Ivaldi – il cambio di paradigma porta a effettuare azioni lavorative ovunque e con qualsiasi apparecchiatura a disposizione. In base a questa tendenza, rispondere alle e-mail dal cellulare e dal tablet nel fine settimana, o da casa in orario serale, è diventata la norma». E a seguito della situazione creatasi con l’emergenza Covid – «quasi tutti hanno dovuto forzatamente integrare l’ambiente domestico nel normale workflow lavorativo, causando come conseguenze dirette un massiccio ricorso ai cloud sia privati che aziendali, e a connessioni più o meno sicure alle risorse aziendali dalle abitazioni». Questo ha ingigantito la cosiddetta superficie d’attacco e nella concitazione del momento solo coloro che avevano già ambienti predisposti a questa modalità lavorativa sono stati in grado di affrontare consapevolmente il nuovo contesto. Analizzando le varie criticità presenti in questa modalità, Ivaldi di CLUSIT ci viene in aiuto con due consigli d’uso che riguardano la sicurezza dell’ufficio remoto/casalingo e la sicurezza lato corporate.
«Il desktop/laptop casalingo – spiega l’esperto di sicurezza – deve essere posto su una rete separata da tutti gli altri oggetti connessi della casa, deve essere in uso solo al lavoratore, auspicabilmente aziendale, deve essere utilizzato ricorrendo a un profilo utente senza diritti amministrativi. Mentre per compiti manutentivi deve essere presente un ulteriore utente amministrativo con password diversa. Le connessioni devono essere crittografate (SSL verso il web, navigazione ed eventuale cloud coi dati aziendali, e VPN verso l’ambiente corporate) ricorrendo, ove possibile, all’autenticazione a due fattori (2FA)». Per quanto riguarda la sicurezza lato corporate – «l’azienda ha una criticità dettata dallo statuto dei lavoratori e una necessità di sicurezza. Entrambe devono essere bilanciate» – sottolinea Ivaldi. «Il lavoratore deve poter accedere in ogni momento alle risorse corporate, ma le sue azioni dovrebbero essere “loggate” da un sistema informatico autonomo che, attraverso l’uso di un engine comportamentale, in grado di verificare che le sue azioni siano corrispondenti alla normale attività per limitare il rischio di furti di identità e anche di attività anomale. Queste pratiche devono essere predisposte anche con l’aiuto di un consulente giuslavorista. L’azienda è inoltre tenuta a formare i propri dipendenti sulle modalità di lavoro secondo il GDPR».
NUOVE ARCHITETTURE
Come emerge dalle analisi di IDC Italia, nelle aziende con personale e asset distribuiti sul territorio, l’aumentata intensità di utilizzo delle applicazioni per la collaborazione, dei dispositivi mobili e della connettività, insieme alla graduale migrazione di applicazioni, carichi di lavoro e dati dal data center aziendale al cloud, evidenzia l’importanza di investire negli strumenti di protezione degli endpoint, delle VPN e nell’accelerazione dei processi di identificazione digitale, facendo un passo oltre l’ispezione del traffico di rete e l’autenticazione multi-fattore sinora adottati. «Inoltre, quando l’interazione con qualsiasi organizzazione avviene in primo luogo attraverso un front-end digitale – spiega Daniela Rao, senior research and consulting director di IDC Italia – la capacità di un’azienda di garantire e proteggere qualsiasi forma di transazione con i suoi clienti, i suoi dipendenti e qualsiasi altro stakeholder diventa un vantaggio competitivo indispensabile per svilupparsi e crescere». Con il graduale passaggio verso un modello di fruizione delle risorse IT “a consumo”, anche in Italia è cambiata la sensibilità al rischio, riguardo alle risorse IT dentro e fuori il data center aziendale.
«I managed services e il cloud hanno cominciato a offrire qualche sicurezza in più rispetto alla localizzazione delle applicazioni di sicurezza on-premise, riscuotendo un discreto successo nelle aree di rischio riconducibili a Insider Threats, DDoS, MITM e BEC. Ma l’adozione del cloud – avverte Daniela Rao – rappresenta una nuova e più grande sfida per la rete aziendale e la sicurezza». Per queste ragioni – «molte aziende stanno cercando di superare i silos IT e l’approccio funzionale o per soluzioni mirate, incominciando a pensare a nuove architetture in grado di integrare funzioni di identificazione e di rete per mantenere il controllo degli asset aziendali e supportare le attività degli utenti iperconnessi».
MINACCE ESTERNE E INTERNE
L’uso intensivo di nuove tecnologie rende sempre più difficile il compito dell’IT di proteggere l’azienda da minacce sempre più mirate e avanzate, come i malware, ransomware, phishing e data exfiltration. «Oggi, le aziende si servono sempre più di servizi del tipo Direct Internet Access, app SaaS, cloud. Tutto ciò aumenta la loro potenziale superficie di attacco in maniera notevole, portandole a dover affrontare una serie di nuove sfide» – spiega Mario Santonastaso, cybersecurity operation technical manager – Nord di Axians Italia. «Oltre le minacce esterne, sono sempre presenti anche quelle interne come, per esempio, le violazioni causate da dipendenti, terze parti disattente o criminali, dipendenti malintenzionati». Per Denis Valter Cassinerio, director regional sales SEUR di Bitdefender, i rischi di sicurezza per le PMI e per le grandi aziende sono effettivamente diventati più visibili e diversificati negli ultimi anni, passando dalle violazioni di dati agli attacchi di phishing e vishing.
I data breach sono sempre più diffusi – «poiché gli aggressori capitalizzano l’accesso ottenuto illegalmente per rubare informazioni sui clienti, proprietà intellettuali o segreti commerciali da vendere o scambiare in forum clandestini specializzati. Le violazioni dei dati vanno di pari passo con gli attacchi ransomware come vettore secondario di estorsione» – spiega Cassinerio. Parlando di phishing e vishing, queste tecniche pur vecchie di decenni fanno leva sull’elemento umano per accedere illegalmente a sistemi o infrastrutture. «Gli account possono essere utilizzati così come sono o scambiati, eventualmente venduti, su forum clandestini» – continua Cassinerio. «Un tipo specifico di attacco noto come BEC, Business email compromise ovvero violazione dell’email aziendale, sfrutta accessi illegali o furti di identità per generare frodi finanziarie e far sì che i responsabili delle decisioni aziendali trasferiscano grandi quantità di denaro dell’azienda ai criminali informatici». Stiamo parlando di un’area di rischio in continua crescita e che si alimenta nei confini poco definiti tra vita personale e professionale o tra infrastruttura privata e pubblica.
«Il telelavoro – spiega Cassinerio – ha costretto le aziende ad aprire l’accesso a zone dell’infrastruttura che prima erano riservate. Sia attraverso l’adozione del cloud che attraverso policy di accesso più flessibili, le aziende permettono ai lavoratori fuori sede di interagire con dati e processi, il che può avere un impatto negativo sulla sicurezza e la riservatezza dei dati aziendali. Gli utenti che lavorano da casa sono spesso più propensi a prendere la sicurezza meno seriamente e non hanno conoscenze sulla sicurezza a livello di rete. In combinazione con molteplici dispositivi IoT e di rete mal configurati sulla rete privata di casa, le vulnerabilità relative al dipendente possono avere conseguenze negative sulla sicurezza aziendale».
I PUNTI SCOPERTI DELLE RETI
Tra le minacce più diffuse, il DDoS rappresenta certamente un problema critico. Il motivo risiede nel fatto che l’hacker si avvale del supporto di ignari collaboratori che incrementano l’efficacia dell’attacco – come ci spiega Massimo Littardi, technical account manager di NovaNext. «Per fare un esempio concreto, supponiamo che un’azienda effettui transazioni online direttamente con l’utente finale (B2C) tramite un portale di e-commerce mediante il quale è possibile acquistare prodotti di vario genere. Le perdite economiche causate dal blocco del sito sono facilmente calcolabili poiché sono in relazione al tempo di indisponibilità del servizio. Un singolo hacker che attacca il sito e-commerce di un’azienda è evidentemente poco efficace poiché il sito è dimensionato per reggere un volume elevato di transazioni». Tuttavia – continua Littardi – «se l’hacker prende il controllo di centinaia o migliaia di computer, infettando preventivamente le postazioni degli utenti, può coordinare l’attacco in maniera simultanea». E al momento di sferrare l’attacco – «tutti i computer partecipano all’azione, generando un volume di traffico talmente elevato da superare le risorse del sito (computazionali o di rete). Questa minaccia è definita DDoS, ovvero un attacco distribuito che causa l’indisponibilità del servizio e, di conseguenza, una perdita economica e/o di immagine». Per mitigare questo rischio sono disponibili soluzioni di protezione che agiscono in diverso modo. «Alcune distribuendo o delocalizzando il sito web, così da opporre una maggiore superficie di difesa, altre ripulendo preventivamente il traffico malevolo nel cloud o nella rete del carrier e inoltrando verso il sito web le sole richieste lecite».
Secondo i laboratori Trend Micro, nel primo semestre 2021 l’Italia è in vetta nella classifiche malware. Come ci spiega Lisa Dolcini, head of marketing di Trend Micro Italia – «i responsabili delle aziende devono preoccuparsi di ogni tipologia di attacco, come per esempio i ransomware. Ma anche gli attacchi avanzati potrebbero andare a colpire i punti scoperti delle reti, sfruttando magari anche l’inconsapevole collaborazione dei dipendenti che potrebbero dare il via a un attacco aprendo l’allegato sbagliato. La maggior parte delle minacce arriva infatti via mail e i cybercriminali sono bravi non solo a sfruttare i punti scoperti delle infrastrutture ma anche le debolezze umane». Sempre secondo l’ultimo rapporto Trend Micro – continua Lisa Dolcini – «nel primo semestre di quest’anno l’Italia è risultata quarta al mondo per le minacce a tema pandemia, in questo caso gli attacchi di phishing, per esempio, potrebbero sfruttare l’interesse del dipendente e penetrare facilmente nell’azienda. Non è un caso che il settore maggiormente bersagliato da malware unici nel 2020 in Italia sia stato proprio quello della sanità. Ma a preoccupare devono essere non solo le proprie reti, ma anche quelle delle aziende partner, che potrebbero essere utilizzate come teste di ponte per un attacco».
L’ANELLO DEBOLE DELLA CATENA
La variabile umana rappresenta l’anello debole della catena della sicurezza delle reti enterprise. Secondo Cristian Scarpa, global VP customer & employee technology – head of EMEA IT di Vertiv – «il fattore umano conduce spesso ad aprire quel link nell’email, scaricando malware che possono nascondere ransomware, trojans, worms o altro e generare attacchi alla rete enterprise, o essere inconsapevolmente veicolo per l’attacco ad altre reti e che fa sì che un amministratore di sistema possa dimenticarsi di applicare gli aggiornamenti di sicurezza per servers ed endpoint, o non seguire involontariamente le best practice per evitare problemi di SQL Injections, o altro».
Proprio il fattore umano dovrebbe essere al centro delle politiche di sicurezza tramite investimenti in formazione e comunicazione che possono aiutare a ridurre il rischio di minacce comuni per reti. «Una buona politica di sicurezza non può concentrarsi solo sui tools» – avverte Scarpa. «Chi gestisce una rete enterprise dovrebbe pensare in maniera molto più olistica e focalizzare la propria attenzione proprio sull’anello debole della catena». Tra le varie minacce, a catalizzare l’attenzione sono gli attacchi ransomware che distribuiscono i loro payload alla fine di un ciclo di infezione, quando i criminali informatici sono pronti a monetizzare gli sforzi d’intrusione in una rete – come ci spiega Nicolas Casimir, CISO EMEA di Zscaler. «Tuttavia, la fase di ricognizione all’inizio di un attacco, deve giocare un ruolo ancora più importante nella strategia di difesa sia quando i criminali informatici studiano i punti deboli e quelli penetrabili della superficie d’attacco di un’azienda, coinvolgendo gli utenti tramite il phishing come meccanismo di raccolta delle informazioni personali riservate, come le credenziali d’accesso, sia quando tentano di scaricare un malware zero-day per ottenere l’accesso al computer del dipendente. In generale, il team IT dovrebbe cercare proattivamente di comprendere la propria superficie di attacco per evitare l’infezione iniziale».
NUOVI MODELLI DI INTELLIGENCE
Negli ultimi mesi, una particolare attenzione viene rivolta alla messa in sicurezza delle infrastrutture di rete emergenti che le imprese stanno sviluppando. Si parla molto di Zero Trust, IoT security, OT security, cloud security e analytics. In quale direzione si stanno orientando le imprese nelle scelte di allocazione dei budget per la sicurezza? In base alle previsioni di IDC, i budget dedicati a soluzioni SDSA (Software-Defined Secure Access) come SDP e Identity-aware Proxy (IAP) quadruplicheranno entro il 2022 e rappresenteranno il 16% del mercato del secure remote access entro il 2024. In questo scenario, un ruolo sempre più centrale verrà attribuito ai dati – come ci spiega Giancarlo Vercellino, associate director research & consulting di IDC Italia. «L’utilizzo esteso di strumenti di security analytics e SIEM favorirà la capacità delle aziende di disporre di informazioni sulla dinamica degli attacchi, sulla sicurezza dei dispositivi e di sviluppare modelli di intelligence capaci di reagire in modo strutturato in caso di incidenti. Comunque, la parte più sfidante non sarà la messa in sicurezza delle nuove infrastrutture, ma la capacità di integrare i diversi dispositivi di sicurezza frammentati in un approccio unificato, capace di integrare in un modello end-to-end, i diversi segmenti della sicurezza aziendale».
Per Mario Santonastaso di Axians Italia l’obiettivo primario di tutti i responsabili IT è quello di adottare soluzioni che possano simultaneamente aumentare il livello di sicurezza e di efficienza. «Oggi, il modello che meglio risponde a queste esigenze è il Secure Access Service Edge. Un modello di sicurezza basato sul cloud che raggruppa le reti software-defined con le funzioni di sicurezza di rete il tutto fornito da un unico provider di servizi. Con il SASE è possibile effettuare diversi controlli di sicurezza sul cloud e non più sul data center aziendale, creando un perimetro di rete sicuro e continuo, esteso a qualsiasi entità aziendale». Le aziende di tutte le dimensioni e di tutti i settori sono nel mirino di minacce APT e di gruppi di criminali informatici esperti. «Ogni applicazione, email, vulnerabilità senza patch, relazione con i partner o servizi di terze parti rappresenta un potenziale punto di ingresso da cui può scaturire un incidente di sicurezza informatica dall’impatto catastrofico» – mette in guardia Denis Valter Cassinerio di Bitdefender. «E poiché le tecniche utilizzate dai criminali informatici per aggirare le difese e muoversi attraverso gli ambienti senza essere scoperti si sono evolute, la correlazione degli eventi oltre i confini di un singolo endpoint è fondamentale per la resilienza informatica. Gli attacchi sofisticati progettati per eludere il rilevamento delle tecnologie di sicurezza spesso imitano processi “normali” o vengono eseguiti in più fasi attraverso più vettori, tra cui endpoint, reti, supply chain, hosted IT e servizi cloud».
Bitdefender XEDR contrasta gli attacchi complessi acquisendo, esaminando e correlando la telemetria degli endpoint per rilevare indicatori di compromissione (IOC), tecniche APT, malware, vulnerabilità e comportamenti anomali. «Questo monitoraggio avanzato – continua Cassinerio – automatizza il rilevamento precoce degli scenari di attacco, fornendo ai team IT e della sicurezza un’unica dashboard di visualizzazione ovunque sia iniziato l’attacco. XEDR si basa sulle soluzioni EDR leader del settore dell’azienda e sull’intelligence avanzata contro le minacce fornita da Bitdefender Global Protective Network (GPN), che include centinaia di milioni di sensori che raccolgono continuamente dati sulle minacce per gli endpoint in tutto il mondo. Nelle valutazioni indipendenti, Bitdefender ha sempre ottenuto il punteggio più alto nel rilevamento di tattiche e tecniche APT. Nel più recente test MITRE ATT&CK, Bitdefender ha ottenuto il più alto numero di rilevamenti tra i 29 vendor di sicurezza informatica presi in esame».
PREVENZIONE E DIFESA
Per arginare il cybercrime, non ci si può limitare agli investimenti tecnologici, ma è necessario fare un consistente investimento sul fattore umano, generando consapevolezza sulle minacce cyber e sulla loro concretezza – come spiega Maurizio Zacchi, marketing manager di Cyber Guru. «Fino a che non avremo trasformato gli utenti nella prima linea di difesa contro la criminalità informatica, non saremo in grado di porre un solido argine contro la virulenza di questi attacchi. In fondo anche gli attacchi DDoS sfruttano “reti” di dispositivi infettati, e quindi, anche alla base di un attacco di questo tipo, c’è una matrice umana, un errore comportamentale, un atteggiamento non consapevole». Mentre si torna alla cosiddetta “nuova normalità”, si diffonde la nuova pandemia digitale che solo nel 2021 ha prodotto più di 300mila attacchi particolarmente gravi a imprese e organizzazioni di tutti i tipi.
«Per valorizzare gli investimenti tecnologici – continua Zacchi – è necessario porre tutta la forza lavoro di un’organizzazione in una condizione di formazione e addestramento permanente, lavorando non solo sulla sfera cognitiva, ma anche sulla dimensione percettiva e sulla prontezza. Quindi nessun approccio strategico può essere considerato decisivo nel contrasto al cybercrime, se non tiene conto della necessità di creare un programma formativo strutturato e permanente di cyber security awareness, rivolto all’intera forza lavoro di qualsiasi organizzazione». Per Lisa Dolcini di Trend Micro Italia, il machine learning e l’intelligenza artificiale possono dare un contributo fondamentale. «In Trend Micro l’intelligenza artificiale nel campo della security è sfruttata da oltre 12 anni. In particolar modo, sia per la verifica dello spam che delle email BEC. L’algoritmo è in grado di analizzare le modalità di scrittura della email in modo tale da determinare se questa è stata scritta dal mittente reale o da un’altra persona. Il nostro modo di scrivere è come un’impronta digitale e grazie ad algoritmi di AI, siamo in grado di verificare anche la veridicità di una email. Siamo anche in grado di analizzare i dati nel desktop e nel motore di scansione, confrontandoli con l’AI, per capire se il file è sconosciuto e può essere malevolo. Tecnologie fondamentali sono anche quelle che aiutano a mettere in ordine di priorità gli alert. «Le organizzazioni – continua Lisa Dolcini – sono alle prese con strumenti in silos, avvisi scoordinati e minacce furtive e sofisticate. Noi aiutiamo centinaia di organizzazioni a identificare e ridurre il rischio informatico attraverso la correlazione degli avvisi nell’intera infrastruttura, grazie alla prima soluzione XDR del settore, che consente di analizzare più rapidamente gli incidenti di sicurezza, identificare gli schemi critici delle minacce e gli attacchi complessi, oltre a comprendere la postura e i trend generali della security, in modo che le organizzazioni possano identificare e valutare in modo proattivo i potenziali rischi».
Ma anche se gli attacchi informatici sono sempre più complessi e mirati, molte delle tecniche utilizzate per diffondere con successo il malware, come per esempio le macro infette nei documenti Word, sono in realtà sorprendentemente semplici – come ci spiega Nicolas Casimir di Zscaler. I dipartimenti IT sembrano essere in ritardo rispetto all’aggiornamento delle policy di sicurezza e all’attività dei criminali informatici. «Da un lato gli esperti IT dovrebbero sforzarsi di ridurre la superficie di attacco dell’azienda. Le soluzioni Zero Trust, grazie alle quali solo un utente autorizzato ha accesso a un’applicazione dedicata sulla base di policy rigorose, aiutano a proteggere l’ingresso da eventuali intrusi nella rete. D’altra parte – continua Casimir – le strategie di difesa attiva con soluzioni come i cosiddetti “honeypot” aiutano a capire se un criminale informatico ha superato l’infrastruttura di sicurezza iniziale e si sposta lateralmente nella rete. In questo modo, è possibile attirare la loro attenzione, lontano dalle risorse più importanti dell’infrastruttura IT».
DALL’IDENTITY ALL’EDGE
Per adottare un approccio alla sicurezza incentrato sull’identità e sulla progressiva “cloudificazione” di applicazioni, servizi e infrastrutture, occorre disegnare una strategia di difesa pervasiva, integrata e identity-centric. Quello che suggerisce Daniela Rao di IDC Italia è un approccio basato su quattro obiettivi basati sull’integrazione di tecnologie di sicurezza in unica piattaforma, la gestione dell’identità in tutto il ciclo di vita dell’accesso, la protezione delle applicazioni e l’estensione all’edge. «La combinazione di tecnologie di sicurezza nuove e preesistenti in un’unica piattaforma favorisce l’integrazione, quella che potremmo definire “impollinazione incrociata” e l’innovazione che non è sostenibile in un tradizionale approccio a silos» – spiega Daniela Rao. «Lo sviluppo della gestione dell’identità in tutto il ciclo di vita dell’accesso deve diventare il punto centrale delle policy di rete. Le app aziendali sono sempre più spesso vulnerabili agli stessi tipi di minacce delle app Web esterne. Le difese attive delle applicazioni aziendali devono essere aggiornate continuamente per corrispondere alla scalabilità e alla natura distribuita del web e del cloud. Infine, le applicazioni sono sempre più spesso implementate e utilizzate al di fuori del data center centrale.
Per questo, è necessario estendere le protezioni dagli ambienti IT legacy all’edge e ovunque risiedano le applicazioni aziendali». Le aziende dovrebbero creare un processo di gestione del rischio – come spiega Mario Santonastaso di Axians Italia – iniziando dalla comprensione del concetto di rischio e distinguendolo da quello della minaccia, per mettere in pratica modelli basati sull’assegnazione di un punteggio alle minacce e valutare così la probabilità e l’impatto del rischio. «In questo modo, è possibile concentrare le risorse sulla protezione degli aspetti più importanti anticipando gli aggressori». I responsabili della sicurezza dell’informazione sono sempre più sotto pressione e in modalità just-in-time, come conseguenza dell’escalation e l’evoluzione delle minacce. «Allo stesso tempo – rileva Denis Valter Cassinerio di Bitdefender – ricevono sempre più avvisi da analizzare, molti dei quali sono falsi allarmi. Infine, è sempre più difficile reclutare personale qualificato, e quando si trova, è difficile fidelizzarlo». In questo contesto, è indispensabile per le aziende mettere in atto la propria strategia di cybersecurity. «C’è bisogno di un approccio più olistico alla sicurezza informatica invece di cercare modi per evitare i rischi e investire denaro, affrontando diverse sfide eterogenee». I professionisti della sicurezza informatica devono anche porsi delle domande – incalza Cassinerio. «Sto usando troppi strumenti di sicurezza? Ho una carenza di competenze di sicurezza nel mio team? Ho una visione realistica di tutti i dati che gestisco? Quali sono le porte d’ingresso alla mia azienda per i criminali informatici: IoT, utenti, applicazioni, sistemi, e così via. È in questo particolare contesto che Gartner stima che il 25% delle aziende utilizzerà soluzioni MDR entro il 2024 e che allo stesso tempo il 40% delle aziende di medie dimensioni le utilizzerà come unico servizio di sicurezza gestito».
STRATEGIA PERVASIVA E INTEGRATA
La gestione della cybersecurity per chi si occupa di reti enterprise è oggi sempre più complessa. Le aziende non possono fare a meno di mettere la sicurezza al centro delle loro strategie e ponderare bene le azioni più adeguate per arginare le minacce» – rimarca Alessandro Berta, manager systems engineering Nord Italia di Fortinet. Secondo il recente report globale sui ransomware di Fortinet, ben due terzi delle aziende hanno subito almeno un attacco ransomware. Inoltre, i dati dell’ultimo report semestrale “Global Threat Landscape” hanno evidenziato un’impennata di cyber attacchi, con attività ransomware settimanale decuplicata rispetto al 2020. Questo significa – continua Berta – «che più di un’organizzazione su quattro ha rilevato la presenza di malvertising. A inizio 2021, il 35% delle organizzazioni ha rilevato attività botnet di vario tipo e sei mesi dopo la percentuale è salita al 51%. Le tecniche di defense evasion e privilege escalation sono le preferite dai criminali informatici». I dati parlano da soli. «L’aumento degli attacchi dimostra come le aziende abbiano assolutamente bisogno di garantire contromisure adeguate contro le più recenti tecniche di attacco ransomware su reti, endpoint e cloud. Possiamo dire, stando alle nostre ricerche – conclude Berta – che è fondamentale utilizzare la threat intelligence con soluzioni di sicurezza integrate o una piattaforma unica, come Fortinet Security Fabric, per prevenire gli attacchi ransomware e affidarsi a tecniche di rilevamento comportamentale basato sull’intelligenza artificiale, tecnologie come l’email security avanzata, la segmentazione, il sandboxing, oltre a NGFW, SWG e EDR per rilevare, prevenire e limitare gli attacchi».
Per Lisa Dolcini di Trend Micro Italia è necessaria una strategia che protegga tutte le parti dell’infrastruttura. «Dagli endpoint alle reti, passando per i server e qualsiasi “cosa” sia connessa, attraverso soluzioni in grado di comunicare tra di loro per potersi scambiare le informazioni necessarie». Ma senza dimenticare – «un approccio che tenga in considerazione la formazione dei dipendenti nel saper riconoscere e prevenire le minacce più frequenti, come appunto quelle ricevute attraverso email che in prima battuta potrebbero sembrare innocue».
CIO E CISO IN PRIMA LINEA
La sfida che i responsabili della sicurezza devono affrontare è quella di abilitare un ambiente di lavoro moderno e ibrido senza aumentare i rischi connessi. Ma come? Secondo Nicolas Casimir di Zscaler la risposta è una soluzione altamente integrata in grado di supportare l’accesso sicuro a Internet basato su regole e allo stesso tempo di consentire anche un accesso remoto in sicurezza con la stessa tipologia di regole anche per i telelavoratori. «Grazie al suo approccio basato sul cloud, Zscaler Zero Trust Exchange è utile per entrambi gli scopi e aiuta a modernizzare non solo la sicurezza, ma supporta allo stesso tempo una strategia multicloud» – spiega Casimir. «Le aziende che desiderano trasformare la loro impresa dovrebbero indirizzare una strategia cloud che includa contemporaneamente applicazioni, architettura di rete e modernizzazione della sicurezza informatica». Si narra che il primo cyber attacco della storia di Internet sia avvenuto il 2 novembre 1988, quando la rete era utilizzata solo da università e grandi imprese pubbliche e private. A compierlo, un giovane Robert Tappan Morris, allora studente della Cornell University, in futuro docente di informatica al MIT. Per mettere in pratica l’impresa, Morris aveva sviluppato un software in grado di replicarsi e di diffondersi tra i computer, ovverosia un worm, capace di mettere in difficoltà un numero ingente di sistemi per l’epoca, irrisorio se paragonato alle cifre di oggi. Sono passati 33 anni, ed è come se questa particolare “guerra” fosse passata dagli archibugi all’atomica. Allora, chissà come sarà la situazione tra altri 33 anni?
