La sicurezza delle imprese deve essere sempre più integrata e garantire visibilità a 360°, è fondamentale per proteggere i dati e la proprietà intellettuale dagli attacchi.
Uno dei settori in più rapido cambiamento nel mondo ICT è sicuramente quella della security. Così come gli attacchi si stanno facendo sempre più pericolosi, anche i sistemi di protezione devono consentire una efficace difesa alle imprese di ogni dimensione.
Lo stesso processo di trasformazione digitale non può prescindere da un elevato grado di sicurezza dei comparti produttivi e dei processi. Lo impone anche la normativa europea GDPR.
Quasi tutte le organizzazioni oggi si trovano a dover accelerare i propri sforzi di trasformazione digitale. Molte purtroppo procedono alla cieca, poiché manca loro la visibilità su quante applicazioni sono in esecuzione, per non parlare delle prestazioni di ciascuna app o della loro sicurezza.
Le applicazioni, sia tradizionali che moderne, offrono molti vantaggi se distribuite in ambienti on-premise, cloud e microservizi, un processo che però frammenta la visibilità e il loro controllo a livello aziendale.
Molti produttori di security offrono ai proprietari delle app, agli sviluppatori e agli operatori IT quelle funzionalità di telemetria e automazione a circuito chiuso necessarie per affrontare il troubleshoot.
Oltre a identificare le aree di minaccia e fornire nuove funzionalità digitali in pochi minuti, quando in passato servivano giorni o addirittura settimane.
Aumentare la sicurezza delle imprese, occorre l’EDR
Oltre ai canonici meccanismi di protezione (firewall, antivirus, patch management) è indispensabile disporre di sistemi centralizzati per mantenere alta la guardia contro minacce estese come APT e tentativi di intrusione basati sul sociale engineering.
Secondo ricerche Kaspersky, il 28% delle aziende che utilizza soluzioni EDR rileva gli incidenti informatici in poche ore.
Si tratta di una percentuale più alta rispetto a quella complessiva, poiché in media solo il 19% delle aziende intervistate ha dato questa risposta.
Il rilevamento tempestivo di un incidente informatico è essenziale per ridurre le perdite che derivano da un attacco informatico. Più a lungo i criminali informatici riescono ad agire inosservati all’interno di una rete aziendale, maggiore sarà il numero di dati che saranno in grado di raccogliere così come maggiore sarà la possibilità che si avvicinino alle risorse aziendali critiche. La riduzione del “tempo di permanenza” consente alle aziende di contenere un attacco informatico prima che possa causare danni sostanziali.
Tra le aziende che utilizzano una soluzione EDR, il 28% ha confermato che ci sono volute alcune ore o anche meno per rilevare un attacco. Di questi, il 14% ha rilevato un attacco quasi immediatamente, un risultato superiore alla media del 9%. Mentre un altro 14% ha scoperto l’incidente nel giro di poche ore, contro il 10% degli intervistati complessivi. Solo l’8% degli utenti di soluzioni EDR ha dichiarato che ci sono voluti diversi mesi per identificare che si trattasse di un attacco.
Tuttavia, il maggior numero di intervistati ha dichiarato che il rilevamento ha richiesto diversi giorni, indipendentemente dal fatto di possedere una soluzione EDR.
Aumentare la sicurezza delle imprese – e il cloud?
Il cloud è ormai definitivamente considerato uno strumento per la crescita delle imprese. Sono sempre di più le realtà che si appoggiano a sistemi cloud per soddisfare differenti esigenze pratiche.
Tuttavia, uno studio di IBM evidenzia come facilità e velocità con cui gli strumenti cloud possono essere implementati, rendano più difficile il controllo da parte delle aziende.
Attraverso la ricerca e alcune case study, IBM ha rilevato i principali fattori di rischio per la sicurezza delle imprese. Ovvero la governance, le vulnerabilità e gli errori di configurazione, che dovrebbero essere di particolare attenzione quando gli ambienti IT sono cloud-based.
Il cloud abilita funzionalità tecnologiche e di business primarie, pertanto l’adozione e la gestione delle risorse possono anche implicare delle complessità.
Il 66% degli intervistati ha dichiarato di affidarsi ai provider dei propri servizi cloud per la gestione e implementazione degli standard di sicurezza di base. La percezione dell’ownership della security da parte degli intervistati però varia notevolmente tra piattaforme e applicazioni cloud specifiche.
Applicazioni cloud come punto di ingresso: per compromettere gli ambienti cloud, il modo più semplice per i criminali informatici è inserirsi nelle applicazioni cloud-based.
L’obiettivo principale degli attacchi cloud è stato il furto di dati, seguito da operazioni di cryptomining e ransomware, effettuate utilizzando risorse cloud per amplificarne l’effetto.
Le organizzazioni intervistate che si sono affidate ai propri cloud provider per la gestione della cloud security sono state le principali responsabili dei data breach subiti.
Le differenti realtà industriali e professionali hanno poi una percezione diversa in materia di responsabilità della sicurezza in funzione della varietà di piattaforme e applicazioni. Ad esempio, il 73% ritiene che i provider di servizi di public cloud siano i principali responsabili della sicurezza nel caso di soluzioni SaaS.
Nonostante questo modello di responsabilità condivisa sia indispensabile nell’era ibrida e multi-cloud, lo stesso può anche portare a una variabilità di policy di sicurezza e a una mancanza di visibilità attraverso i diversi ambienti cloud.
Aumentare la sicurezza delle imprese, gli attacchi alla “nuvola”
Ad oggi sussistono una lunga serie di attacchi espressamente indirizzati agli ambienti cloud affrontati nel corso dell’ultimo anno.
Il fattore economico è alla base della maggioranza delle violazioni del cloud rilevate degli esperti di IBM X-Force, sebbene le organizzazioni finanziate da enti governativi rappresentino un fattore persistente di rischio.
Il punto di accesso più comune per indirizzare gli attacchi sono state le applicazioni cloud, forzate attraverso azioni volte a sfruttare le vulnerabilità e le configurazioni errate. Le vulnerabilità sono spesso inosservate a causa dello “Shadow IT”, ovvero l’utilizzo da parte dei dipendenti di app cloud vulnerabili non approvate dall’organizzazione.
Nei casi di incident response affrontati da IBM, gli attacchi ransomware sono stati distribuiti 3 volte più di qualsiasi altro tipo di malware negli ambienti cloud, seguiti da cryptominer e malware botnet.
Al di fuori della distribuzione di malware, il furto di dati ha costituito il tipo di attacco più comune negli ambienti cloud violati nell’ultimo anno. Il tipo di dati sottratti alle organizzazioni, come osservato da IBM, varia dalle informazioni di identificazione personale (PII) ai client di posta.
I criminali informatici hanno utilizzato risorse cloud per amplificare l’effetto di attacchi come cryptomining e DDoS. Il cloud è stato inoltre sfruttato per ospitare infrastrutture e operazioni malevole, associate ad azioni volte a impedirne il rilevamento.
Aumentare la sicurezza delle imprese, migliorare la protezione
Oggi la Rete e il cloud sono essenziali per le tutte le organizzazioni. È possibile irrobustire la sicurezza di applicazioni e sistemi, per esempio, stabilendo una governance e una cultura collaborativa.
Occorre adottare una strategia unificata che combini operazioni cloud e security, coinvolgendo tutti gli attori, dai developer ai dipartimenti di IT Operation e Security.
È poi opportuno assumere una visione basata sul rischio, valutando i tipi di workload e di dati per i quali è previsto il passaggio a un ambiente cloud e definire policy di sicurezza appropriate.
La protezione dei dati passa anche dall’adozione di un sistema di strong access management. Serve sfruttare le politiche di access management e gli strumenti per l’accesso alle risorse cloud, inclusa l’autenticazione a più fattori, per prevenire l’infiltrazione attraverso credenziali rubate. È quindi necessario limitare gli account autorizzati e impostare tutti i gruppi di utenti con il minimo dei requisiti necessari per ridurre il rischio di compromissione dell’account (modello “zero-trust”).
Su tutto, è poi indispensabile poter disporre degli strumenti giusti. Serve assicurarsi che gli strumenti per il monitoraggio della sicurezza, la visibilità e la security response siano efficaci su tutte le risorse cloud e on-premise.
In questo percorso di definizione dei processi di security è importante poter contare su piattaforme automatizzate. Servono per migliorare le capacità di rilevamento e risposta agli eventi, è consigliabile implementare un sistema di sicurezza automatizzato efficace. Un ulteriore tassello può essere l’impiego di simulazioni proattive. Simulare scenari di attacco può aiutare a identificare falle nella sicurezza e affrontare problemi di natura legale che possono sorgere in caso di indagini.