Greg Day, VP & CSO EMEA di Palo Alto Networks, rilascia le previsioni in ambito cybersecurity per il 2018, proiettandosi anche oltre il prossimo anno. In questo periodo dell’anno faccio sempre una riflessione sui 12 mesi passati e, soprattutto, penso a quelli che verranno. Ricordo, non molti anni fa, di essere stato coinvolto in alcune iniziative esplorative che consideravano un orizzonte di 5-10 anni, ma alla velocità alla quale la tecnologia evolve questo lasso di tempo è decisamente troppo lungo. Allo stesso modo, un anno passa in un battito di ciglia. Condivido alcuni pensieri su ciò che ritengo vedremo nel 2018, insieme a qualche suggerimento sul modo in cui gestire questi rischi. Molto probabilmente il loro impatto si sentirà per alcuni anni a venire.
L’impatto degli attacchi cyber cambierà. Alcuni degli attacchi ransomware del 2017, per esempio quelli che hanno colpito alcuni ospedali , dimostrano che questi incidenti hanno un impatto reale e fisico sulle persone. Lo sviluppo dei digital twin (la creazione di una controparte digitale di un processo o sistema esistente) non può che farci prevedere un aumento di questa tipologia di attacchi. In che modo deve quindi cambiare la cyber sicurezza? Probabilmente vedremo normative sempre più stringenti volte ad aumentare la sicurezza e a garantire maggiore fiducia nei sistemi IT che impattano la società. La direttiva Network Information Security (NIS), che entra in vigore nel 2018, comprende una nuova categoria “digital service provider”. Infatti, poiché il cyber ha un impatto sociale sempre più rilevante, prevediamo la creazione di nuove categorie, che vanno al di là di quelle tradizionali legate alle infrastrutture critiche nazionali o agli operatori di servizi essenziali.
In questo contesto, il ruolo dei security leader deve evolvere. Se un problema tecnologico causa danni ai cittadini, vi saranno probabilmente richieste pubbliche per capire se e perché c’è stata una falla, di chi è la responsabilità e quali contromisure adottare. Di conseguenza, mentre fino a poco tempo fa la principale preoccupazione dei CSO era di essere licenziati a seguito di un incidente, la responsabilità legale potrebbe a breve soppiantarla. Questa svolta potrebbe indurre i CSO a necessitare di un’assicurazione professionale come oggi succede nel settore medico? Potremmo assistere all’esigenza di disporre di qualificazioni e registri formali per assumere il ruolo di CSO, proprio come avviene per altri professionisti che proteggono le vite umane, come i dottori?
Principi ventennali rivisitati. Molti dei principi guida in ambito cybersecurity non sono cambiati negli ultimi 20 anni. Tipicamente, gli esperti hanno cercato di risolvere tutti i problemi al meglio delle loro possibilità, avvalendosi delle migliori soluzioni a disposizione. Tuttavia, cambiamenti significativi nei modelli di consumo dell’IT– sistemi agili e dinamici sempre più usufruibili e basati su sottoscrizione – fanno sì che le aziende non scelgano più di acquistare e gestire soluzioni di sicurezza separate che comportano importanti spese di capitali e competenze del personale, basate su cicli pluriennali. Ne consegue che i fondamentali del consumo di cybersecurity cambieranno.
Operare in ambienti dinamici richiede che la cybersecurity sia nativa e automatizzata, affinché possa stare al passo. Questo non significa che non avremo più la possibilità di scegliere tra funzionalità e vendor, basta guardare il marketplace di AWS per capirlo. Ma significa che la sicurezza nativa deve prevedere enablement, configurazione e trasposizione dinamiche. In passato, la sicurezza spesso falliva perché le aziende non erano in grado di integrare le informazioni di cui disponevano; in un mondo IT agile, l’importanza di disporre di un punto di vista coerente e integrato, associato a controlli automatici, sarà fondamentale.
La natura transiente di un IT sempre più consumabile rappresenta un ulteriore ostacolo: ora che un incidente viene identificato, l’ambiente dal quale è originato potrebbe non esistere più. In un mondo sempre più regolamentato è quindi necessario essere in grado di capire come e perché l’incidente si è verificato e quali le conseguenze, aumentando la necessità di conservare dati di logging e la relativa correlazione per sfruttarli.
I cyber avversari si apriranno sempre più a ransomware, sistemi OT e cryptocurrency. Negli ultimi anni abbiamo visto l’uso del ransomware a scopo di profitto. Tuttavia, RanRan è un esempio di ransomware che non mirava solo al guadagno economico, ma anche all’identificazione di informazioni utili per ricattare le vittime. Nonostante siano ancora focalizzati sull’aspetto finanziario, ritengo che i ransomware inizieranno a fare più analisi di dati, il che significa che potremmo vedere richieste di riscatto basate sul valore dei dati.
L’attacco Dyn DDoS si è avvalso di device IoT per infiltrare PC tradizionali. Il volume dell’OT (operational technology) sta crescendo in modo significativo, dai sistemi in fabbrica fino ai droni automatici che portano forniture mediche in paesi come l’Africa, e dobbiamo ancora vedere l’impatto di un attacco diretto a quei sistemi. L’utilizzo commerciale sempre più spinto di sistemi IoT e OT significa che, per l’avversario, il valore di prendere il controllo di questi sistemi è in crescita.
Infine, la diffusione delle valute digitali, note come cryptocurrency, significa che dobbiamo aspettarci più malware focalizzati sul furto di informazioni per svuotare questi conti. La direttiva PSD2 prevede che i processori di pagamenti si aprano alle terze parti, e il dibattito sui digital ledger e blockchain ci fa pensare che il settore finanziario si stia spostando sempre più verso il denaro digitale. La domanda è se i cyber criminali sono pronti per questa transizione – i fatti ci confermano che ci stanno lavorando .
Il furto di credenziali si focalizzerà sui punti deboli del cloud collaborativo nelle catene di approvvigionamento di aziende di tutti i settori. Che sia dovuto al cloud o solo alla natura dinamica del business, pare che l’interconnessione con partner, supply chain e clienti sia in aumento. La sfida è legata alla conservazione delle proprie capacità di cybersecurity, cercando al contempo di gestire i rischi derivanti dagli altri (partner, supply chain, ecc.). Un evento IDC a cui ho partecipato all’inizio dell’anno evidenziava che il numero di cloud collaborativi information-based aumenterà di cinque volte tra il 2016 e il 2018. Questo significa che mentre gli avversari continuano a cercare il modo di accedere all’azienda, è probabile e logico che gli spazi di collaborazione cloud potrebbero costituire un nuovo varco. Le imprese devono quindi iniziare a considerare quali informazioni archiviare in questi spazi, come validare l’uso di terze parti connesse per identificare comportamenti anomali e – soprattutto – valutare come segregare tali punti di connessione dai sistemi interni più critici, con metodologie quali il modello Zero Trust.
Focus sulla responsabilità. Dal modello di sicurezza cloud condivisa (il provider protegge la nuvola e il proprietario quello che ci mette) alle collaborazioni cloud condivise, fino alla spinta verso modelli commerciali aperti quali il PSD2 che mira a consentire alle nuove offerte fintech di meglio competere nel settore dei pagamenti , il denominatore comune è la complessità. Il numero di organizzazioni e processi cresce, il che aumenta le possibilità di errore, e di conseguenza richiede comprensione e visibilità su responsabilità e ruoli. È quindi molto probabile che tutte le aziende guarderanno con attenzione contratti e requisiti normativi, per caprine bene i confini. Allo stesso modo, cercheranno di conservare audit trail e log più precisi, dettagliando ogni transazione per poter validare quando, dove e perché avvengono gli incidenti.
Nuove normative EU entreranno in vigore. Citate già in alcune delle previsioni, nel corso del 2018 entreranno in vigore nuove normative. In effetti, tra gennaio e maggio, ci sono GDPR, la direttiva NIS e PSD2. Come per tutte le nuove regole, le imprese avranno bisogno di un po’ di tempo per capire come queste ultime impatteranno sul business. Tutte prevedono sanzioni potenzialmente significative in caso di violazione, quindi nel 2018 le imprese si impegneranno per capire che cosa comportano in termini di cybersecurity e di rispetto dei requisiti normativi. Il mio consiglio è di valutare attentamente da subito i dettagli legali e pratici. Assicuratevi di disporre del supporto del team manageriale e iniziate, o continuate, a mantenere la conformità.
Il buon proposito per il 2018: la cybersecurity deve essere più agile. In un mondo sempre più digitale, il cambiamento non è lineare, ma esponenziale. A tal proposito vi consiglio un’ottima lettura – Exponential Organisations di Salim Ismail. La maggior parte dei professionisti della sicurezza non guarda più l’orizzonte perché la velocità di evoluzione rende difficile vedere molto in là. Al tempo stesso l’interconnessione e, per associazione, le dipendenze sono in aumento, incrementando anche la pressione normativa. Tutto questo significa che la cybersecurity deve diventare più agile per stare al passo. Come per le funzionalità DevOps, bisogna evolvere in modo incrementale. Come?
Qualche anno fa ho intervistato i colleghi e mi sono reso conto che la maggior parte del loro tempo e risorse erano focalizzati sul supporto della cybersecurity legacy che avevano costruito, e non avevano tempo per evolvere. Se vogliamo essere pronti per il futuro, dobbiamo rivedere il nostro focus e dedicare la maggior parte del nostro tempo a supportare l’agilità esponenziale che le nostre aziende stanno abbracciando. A tal fine, la vostra risoluzione per il 2018 potrebbe essere di allentare il focus sul legacy per consentirvi di abbracciare il futuro.
