La sicurezza è un aspetto cruciale per ogni ambiente di business e, oggi più che mai, riguarda numerosissimi campi di applicazione, non solo gli ambienti IT.
In informatica si è abituati a ragionare entro lassi di tempo molto ridotti, dato che l’evoluzione tecnologica avviene a ritmi sostenuti. Su questa base è bene considerare che gli aspetti riguardanti la security si evolvono ancora più velocemente, soprattutto per inseguire e, possibilmente, anticipare attacchi, vulnerabilità e attività malevole.
Minacce sempre più diffuse e sofisticate che rendono estremamente complesso identificare e definire le priorità rispetto alle vulnerabilità più critiche. Secondo i nuovi dati Darktrace, i tentativi di violazione dei sistemi ad alta priorità sono aumentati del 49% tra gennaio e giugno 2022. Nello stesso periodo, Darktrace ha registrato un +138% nei tentativi di cyberattacco contro i clienti che operano nelle organizzazioni governative di tutto il mondo. A giugno 2022, a livello globale, il settore più colpito è stato l’ICT, così come negli Stati Uniti. Nel Regno Unito i settori più colpiti quello pubblico e governativo.
Oggi, dunque, quando si parla di sicurezza si intende un concetto a tutto tondo, che include la protezione dei comparti IT, dei dati, del cloud, del mondo IT e OT, delle App, dei dispositivi mobile, nonché la protezione fisica e logica di spazi e ambienti.
A che punto è la security nelle aziende?
Secondo una recente indagine Axitea, il 74,3% delle aziende dispone al suo interno di un IT Manager. Un numero molto significativo, ma che riguarda prevalentemente solo le realtà di grandi dimensioni. Invece, le piccole aziende tendono ad affidarsi a società esterne specializzate (11,7% delle risposte). La ricerca di una figura interna nelle aziende di grandi dimensioni è la risposta alle continue minacce derivanti dallo Smart Working. Modalità di lavoro molto presente in questa tipologia di impresa. Ampliando il perimetro di attacco richiede un livello di protezione più elevato.
L’analisi si sofferma sulla sicurezza informatica e pone l’accento anche sulla sicurezza fisica. Evidenziando come la sua gestione nelle aziende di grandi dimensioni sia in prevalenza affidata alla “Direzione Sicurezza Aziendale” guidata dal CSO. Le PMI tendono ad affidarsi anche in questo caso a società esterne. La marcata differenza è determinata per lo più da una realtà organizzativa più articolata nelle grandi imprese rispetto a quelle piccole. Con un numero elevato di beni fisici da proteggere, un progressivo incremento del numero di sedi e un ampliamento delle dimensioni degli uffici.
Anche in Italia, la cybersecurity è sempre più spesso in primo piano. Lo confermano i dati raccolti nel report di Trend Micro Research Navigating New Frontiers. Essi evidenziano come l’Italia nel 2021 sia diventato il quarto Paese al mondo e il primo in Europa più colpito da malware, con un numero totale di attacchi intercettati pari a 62.371.693 (il triplo rispetto al 2020).
Proteggere e monitorare
Oggi, per proteggere in modo attivo dati e dispositivi si fa sempre più uso di tecnologie come il Machine Learning e l’Intelligenza Artificiale. Si tratta di elementi fondanti che permettono ai vendor di realizzare architetture capaci di sviluppare linee d’azione diretta e autonoma per bloccare o mitigare i rischi.
Soluzioni interconnesse che utilizzano l’AI possono offrire una cybersicurezza proattiva, aiutando a prevenire gli attacchi informatici futuri. I set di funzionalità IA sono in grado di lavorare congiuntamente in modo autonomo per ottimizzare lo stato di sicurezza delle organizzazioni attraverso un ciclo di feedback continui. All’atto pratico, l’algoritmo è progettato per “pensare come un aggressore”, rilevando tutti quei percorsi in grado di raggiungere le risorse più critiche di un’organizzazione, sia dall’interno che dall’esterno. Supportato da una tecnologia di intelligenza artificiale che comprende i comportamenti dei singoli individui, analizza ininterrottamente gli attacchi di maggior portata. Inoltre, alimenta le informazioni ottenute nella fase di Detect & Respond per supportare l’apprendimento continuo e l’automazione, e rendere così i sistemi più resilienti.
Attacchi ed estorsioni
Le aziende stanno affrontando un +314% di cyberattacchi sul traffico Internet crittografato e un +80% di ransomware, con un incremento di quasi il 120% degli attacchi a doppia estorsione. Anche il phishing è in aumento. Settori come i servizi finanziari, la pubblica amministrazione e la vendita al dettaglio hanno riscontrato un aumento annuale di oltre il 100% nel 2021. Per contrastare l’avanzare delle minacce, le aziende devono adattare le proprie difese ai possibili rischi in tempo reale. Tuttavia, i team IT e di sicurezza sottodimensionati sono sopraffatti dagli avvisi di sicurezza a causa della crescente esposizione alle minacce in tempo reale. Spesso non dispongono delle risorse o delle competenze necessarie per indagare e rispondere al crescente volume di minacce.
Occorrono dunque strumenti che, con un solo clic, possano fornire un’analisi delle cause principali per identificare istantaneamente i problemi di base. Questo libera i team IT e di sicurezza dalla risoluzione dei problemi per concentrarsi sulla prevenzione degli attacchi. La sicurezza alimentata dall’Intelligenza Artificiale aiuta i professionisti IT automatizzando il rilevamento delle minacce per offrire una protezione migliore e più rapida.
I vendor realizzano e addestrano i modelli AI/ML per ottenere una precisione eccellente nell’automatizzazione delle risposte alle minacce. Inoltre, questo è utile nella formulazione di indicazioni per le policy ai team della sicurezza. Quindi rilevamento più rapido delle minacce e la possibilità di liberare le risorse.
Patch Management
Secondo i nuovi dati Darktrace basati sull’analisi delle vulnerabilità esterne di oltre 150 organizzazioni, l’85% delle vulnerabilità ad alto rischio non viene patchato entro una settimana. Il 70% non lo è ancora dopo un mese. Oggi chi si occupa di security non dispone di risorse adeguate a combattere le minacce su tutti i fronti e non può più limitarsi a un approccio reattivo.
L’attività di gestione delle patch coinvolge analisti della sicurezza, professionisti IT e criminali informatici. Fronteggiare adeguatamente questi ultimi è spesso difficile, a causa dell’attrito tra team di sicurezza e IT. Inoltre, se per avere successo è sufficiente sfruttare una singola vulnerabilità, un’azione di difesa efficace richiede la conoscenza di tutte le falle di sicurezza. A fronte di frequenti cyberattacchi, gli analisti della sicurezza utilizzano spesso diversi strumenti per valutare il potenziale rischio, con difficoltà nel gestire eventuali incidenti.
Inoltre, rimangono sempre aggiornati su minacce ed eventi in grado di compromettere la sicurezza della propria azienda. I team IT, invece, devono garantire la continuità del sistema e la sua capacità di risposta. Per questo motivo a volte sono restii a implementare patch se non vi sono segnalazioni di priorità. Infatti, devono bilanciare la necessità di un uptime continuo con quella di implementare patch di sicurezza. Non pianificate e potenzialmente in grado di compromettere prestazioni e affidabilità del sistema. Questi professionisti spesso lavorano in silos, gestendo la manutenzione del comparto IT e il rischio per il proprio settore di competenza.
“Criminalità as-a-service”
Infine, ci sono i criminali informatici, che sfruttano lacune di sicurezza attraverso il cybercrime-as-a-service per attaccare su larga scala. Ad esempio, Conti, uno dei maggiori gruppi ransomware al giorno d’oggi, sfrutta un modello di ransomware as-a-service. A questo riguardo, la Cybersecurity and Infrastructure Security Agency (CISA) e il Federal Bureau of Investigation (FBI) hanno di recente rilevato un incremento nell’uso del ransomware Conti in oltre 400 attacchi ad aziende internazionali. Per contrastare efficacemente i cybercriminali, team di sicurezza e IT devono quindi collaborare, riducendo il tempo di applicazione delle patch.
In questa prospettiva, è fondamentale l’approccio di gestione delle vulnerabilità basato sul rischio. Non è possibile correggere ogni falla di sicurezza. Ma è necessario assegnare delle priorità, adottando le patch in base alla gravità della minaccia. Inoltre, le vulnerabilità sono molto diverse tra di loro, con meno del 10% che ha exploit noti. Attualmente, ci sono 200.000 falle di sicurezza diverse, di cui 22.000 provviste di patch. In aggiunta, delle 25.000 falle sfruttate con exploit o malware, solo 2.000 hanno patch, per cui team di sicurezza e IT possono ignorare con facilità oltre 20.000 patch.
È cruciale quindi che le aziende individuino le vulnerabilità più critiche. Ad esempio, se tra 6.000 falle di sicurezza 130 sono quelle più sfruttate, e per esse sono disponibili 68 patch, è fondamentale implementare queste ultime in via prioritaria. Professionisti del settore e società di analisi raccomandano pertanto di adottare un approccio basato sul rischio. Identificando e prioritizzando la correzione delle vulnerabilità più critiche.