Luca Calindri, Country Sales Manager Italy & Malta in Thales, ha illustrato in dettaglio le evidenze del recente Thales Data Threat Report 2020.
I risultati dell’indagine annuale commissionata ad IDC riguardano la sicurezza dei dati, con un focus sull’Europa e una attenzione speciale al periodo di picco della pandemia. Il primo dettaglio da mettere sotto la lente di ingrandimento riguarda le “false convinzioni” delle imprese in materia di security.
Solo il 68% degli intervistati (509 dirigenti europei) si ritiene vulnerabile agli attacchi. È un dato che stride fortemente rispetto alla constatazione che circa una azienda su due sia già stata violata. Non solo, il 24% delle organizzazioni europee non ha superato un audit di compliance nell’ultimo anno.
Il dato è ancora più allarmante se si considera che circa una realtà imprenditoriale su 5 pensa di ridurre il budget in sicurezza nel prossimo anno.
A raccontarci i dettagli della ricerca e a fornire ulteriori insight è Thales Group, società presente in oltre 68 Paesi del mondo e con oltre 83mila dipendenti. Si tratta di un Gruppo che opera in differenti settori (Trasporti, Aerospaziale, Difesa, Identità digitale e sicurezza).
L’approccio suggerito è chiaro ed è quello di proporre soluzioni a valore in ambito cybersecurity, favorendo l’adozione del cloud e semplificando la compliance.
In un contesto dove il 95% dei dati oggetti di furto non sono stati sottoposti a crittografia preventiva e il 69% degli incidenti sono stati originati da credenziali deboli o rubate, i concetti di Data Protection e Digital Identity assumono un ruolo centrale.
Data Threat Report, le imprese e la sicurezza
Osservando le tendenze più recenti, Thales evidenzia come i dati, vero capitale delle imprese, si stanno rapidamente spostando nel cloud. Il 46% di tutti i dati delle organizzazioni europee è archiviato nel cloud e il 43% dei dati delle organizzazioni europee nel cloud è di natura sensibile.
Spostare i dati in cloud non è però sinonimo di sicurezza totale. In questo senso, tutti gli interlocutori hanno confermato che esistono porzioni di dati in cloud che non sono crittografati. Di più, solo il 54% di tutti i dati sensibili sulla “nuvola” è gestito su base crittografica.
In un mondo sempre più multi-cloud, appare evidente lo smarrimento di molte realtà professionali. Secondo Thales occorre cogliere i vantaggi del cloud senza dimenticare la sicurezza. Per questo, serve una maggiore consapevolezza sulla responsabilità dei dati.
Data Threat Report, la responsabilità
Clienti e provider si spartiscono gli aspetti che riguardano la Data Security e la Infrastructure Security. Di conseguenza, se lavorando interamente on premise, l’azienda cliente è interamente responsabile dei dati, il rapporto rispetto al provider scala in funzione della piattaforma scelta. Optando per una infrastruttura, una piattaforma o un software as-a-service (IaaS, PaaS e SaaS), sussistono variabili da considerare.
Nel primo caso, il provider è responsabile della base hardware, networking, dei processi di logging, storage, encryption e delle funzionalità kernel.
Di più, optando per una soluzione PaaS, il service provider sarà deputato al controllo e manutenzione di aspetti quali: operation, identificazione, accesso e autorizzazione, sicurezza di rete e gestione OS e contenuti.
Il livello gestione che più sgrava le imprese dalla responsabilità in fase di gestione del dato è il più evoluto SaaS. In questo caso le aziende dovranno unicamente concentrarsi su una gestione diretta dei contenuti e delle policy di accesso.
Data Threat Report, il calcolo quantistico
Calindri ha poi introdotto il tema del quantum computing.
I computer quantistici sono in grado di ridurre i processi di elaborazione da anni a ore o, addirittura, minuti e di risolvere problemi a cui nemmeno i computer più avanzati saprebbero dare risposta. Il Quantum Computing promette infatti enormi progressi, specialmente negli ambiti del Machine Learning, Artificial Intelligence e Big Data.
Le prestazioni dei computer quantistici superano di gran lunga le possibilità attuali e aprono a una nuova era di conoscenza. Ciò è senza dubbio positivo, ma per certi aspetti può rappresentare una grave minaccia per la sicurezza informatica.
Per questo si parla oggi di Quantum Cybersecurity, ovvero l’adozione di misure sofisticate, come la distribuzione di chiavi quantiche, algoritmi a sicurezza quantistica e i cosiddetti generatori di numeri casuali quantici, per proteggere le transazioni commerciali e la trasmissione di dati.
In riferimento a questo tema, la survey Thales evidenzia come la quasi totalità degli intervistati sia preoccupata che il calcolo quantistico possa esporre i dati sensibili in loro possesso.
La maggior parte delle organizzazioni sta reagendo: il 31% sta pianificando di compensare le minacce del calcolo quantistico abbandonando la crittografia statica o la crittografia simmetrica. Inoltre, circa il 30% prevede di implementare una gestione delle chiavi di crittografia che supporti il generatore quantistici di numeri casuali sicuri.
Data Threat Report: Zero Trust, mai fidarsi
Per irrobustire la sicurezza a più livelli è dunque indispensabile applicare quello che da molti è definito un approccio “Zero Trust”. Le fasi principali includono la ricerca di dati sensibili presenti sul network aziendale e la successiva protezione tramite crittografia. Serve inoltre proteggere la stessa chiave crittografica e sorvegliare gli accessi utente.
Nel giro di pochi anni è stata completamente riconsiderata la modalità di autorizzazione di accesso alla rete, partendo dal presupposto che non ci si può fidare di nessun utente o dispositivo senza un’opportuna verifica.
Per operare in questo modo è necessario che le aziende richiedano che ogni device sia registrato e conforme prima di poter accedere alla rete aziendale. In secondo luogo, attività quali richieste di file, ricerche su database e comandi di stampa devono essere eseguite solo da utenti autenticati.
È, infine, fondamentale assicurarsi che ogni utente che richieda l’autenticazione a server e servizi interni non menta sulla propria identità. A tal fine, occorre implementare un’autenticazione multi-fattore per assicurare un ulteriore step di convalida, dato che le sole password non sono sufficienti, in virtù del fatto che sempre più soggetti cadono vittima di minacce quali per esempio gli attacchi di phishing, oggi più sofisticati che mai. Affinché quella “Zero Trust” risulti una strategia vincente, non devono esistere interpretazioni né eccezioni a nessuna di queste regole.
Come abilitare una infrastruttura realmente Zero Trust?
Esistono diverse tecnologie e best practice che possono essere utilizzate per costruire al meglio un’architettura di questo tipo. In primis occorre abilitare accessi con privilegi minimi. Ciò significa consentire agli utenti solo l’accesso alle informazioni di cui hanno strettamente bisogno. Ciò riduce i percorsi generalmente utilizzati da malware e truffatori e riduce le possibilità di esfiltrazione interna dei dati.
È opportuno effettuare la micro-segmentazione della rete, per suddividere il network attraverso credenziali di accesso diverse. Ciò aumenta la protezione e impedisce ai criminali di infiltrarsi nell’intera rete anche se uno dei segmenti viene violato.
Un ulteriore step può essere attivato tramite l’autenticazione a più fattori (AMF), che richiede due o più metodologie per dimostrare che l’utente è realmente chi afferma di essere. L’uso di uno strumento AMF fornisce una verifica dell’identità affidabile, indispensabile per qualsiasi modello Zero Trust.
Servono poi controlli di sicurezza adattivi al rischio sono necessari al fine di analizzare il comportamento di persone o entità e identificare attività potenzialmente rischiose in tempo reale (Continuous Adaptive Risk and Trust Assessment).
Calindri ha poi introdotto il tema del quantum computing.
