Nicola Altavilla, Country Manager Italy & Mediterranean Area di Armis, ha incontrato la stampa per fare il punto sullo stato attuale della guerra informatica a livello globale e sui principali attacchi cyber alle aziende, con un particolare approfondimento sul mercato italiano.
Una vera e propria guerra informatica
Negli ultimi anni la guerra informatica si è evoluta e intensificata. Un tempo confinata ad azioni tra agenzie di intelligence governative, oggi è condotta da sistemi organizzati e finanziati dagli Stati ed è caratterizzata da attacchi che mirano a colpire intere nazioni, i loro sistemi e le loro infrastrutture critiche.
Secondo le indagini di Armis (Anatomy of Cybersecurity 2024 e Cyberwarfare Report 2024), nel mondo il 41% dei responsabili IT afferma che la minaccia di guerra informatica è aumentata ed è percepita come imminente, a causa delle tensioni geopolitiche con Cina, Russia e Stati affini. Quasi la metà delle imprese globali ha subito una o due violazioni nel 2023 (il 22% ha ammesso di averne subite più di due), e sempre l’anno scorso sono raddoppiati i tentativi di attacco cyber. Le organizzazioni più grandi, con reti più complesse, sembrano essere i bersagli principali: il 32% delle società globali con 1.750 – 1.999 dipendenti ha dichiarato di aver subito più di due violazioni, rispetto al 19% delle aziende più piccole con 1.000 – 1.249 persone.
I servizi finanziari sono i più colpiti (41%), seguiti da quelli per la salute (37%) e da quelli governativi (30%). Gli obiettivi degli attacchi sono prevalentemente le basi dati (54%), le proprietà intellettuali (51%), l’hardware e il software connessi (47%).
In Italia, secondo il report di luglio 2024 di CSIRT, i settori della salute e della PA sono i più a rischio, ma in generale tutte le imprese che si sono digitalizzate sono minacciate, dato che questo passaggio al digitale ha comportato un grande aumento della loro superficie di attacco. In base ai dati in possesso ad Armis, mediamente in un giorno oltre il 40% degli asset aziendali non è monitorato.
Attacchi cyber sotto controllo
L’intelligenza artificiale
L’intelligenza artificiale ha esasperato questa situazione di minaccia generale, perché l’AI è usata dai criminali cyber per condurre attacchi con una velocità e su una scala tali da sopraffare qualsiasi team di sicurezza, dato che l’intelligenza artificiale è in grado di elaborare enormi quantità di dati, estratti dalla superficie di attacco delle imprese.
L’AI è però anche lo strumento più efficace a disposizione degli specialisti incaricati di contrastare gli attacchi cyber. Quindi l’intelligenza artificiale è usata per combattere i criminali informatici con una rapidità e con un’efficacia adeguate alla situazione. Bisogna anche considerare che i team che si occupano della difesa hanno un vantaggio cruciale sui cyber criminali: possiedono una conoscenza approfondita del sistema informatico aziendale e hanno accesso a dati di qualità superiore.
Ma per usare l’AI è necessario conoscerla, quindi le imprese devono attivarsi sia per educare i propri dipendenti al suo uso sia inserire nel comparto IT esperti che la conoscano e che ne comprendano il potenziale nell’automazione dei processi.
Cosa fare contro le minacce cyber
Per contrastare in maniera efficace le minacce cyber, i sistemi devono essere sicuri by design, grazie anche a una collaborazione tra tutte le figure, pubbliche e private, di ogni nazione. Questo è possibile solo tramite la condivisione di informazioni e conoscenze.
Servono anche una pianificazione e una risposta proattive. Solo così le aziende possono definire con precisione la propria superficie di attacco e i probabili vettori di attacco, per intraprendere azioni decisive per difendersi meglio dalle minacce informatiche in rapida evoluzione.
L’intelligenza artificiale è uno strumento molto potente per combattere le cyber minacce, ma perché l’AI possa funzionare al meglio è necessario addestrarla e alimentarla con dati di alta qualità. Servono una visibilità completa degli asset, un’analisi comportamentale dei dispositivi, i dettagli del software e le informazioni sulle patch più recenti.
Nelle reti complesse come quelle tipiche delle imprese di livello enterprise, serve una prioritizzazione dei rischi, delle segnalazioni e delle azioni da intraprendere, in modo da reagire prontamente ed efficacemente agli attacchi più gravi, stare al passo con l’evoluzione delle minacce e così salvaguardare la propria organizzazione.
La soluzione di Armis
L’offerta di Armis è Centrix, una soluzione di Asset Inventory, ovvero una catalogazione di tutti i dispositivi del cliente, con una successiva sorveglianza del loro comportamento. Centrix è alimentato dall’Asset Intelligence Engine basato sull’intelligenza artificiale del marchio e funziona in combinazione con il sistema di sicurezza del cliente. La sorveglianza è compiuta in modalità agentless, quindi senza installare alcun software sui singoli asset, ma solo una sonda (collettore), caricata nel nodo centrale del sistema IT del cliente.
La sonda raccoglie i dati, li porta nel cloud (l’azienda si appoggia al servizio di Amazon, con il data center situato a Francoforte e quindi pienamente GDPR compliant) e Armis li analizza. I dati raccolti sono assolutamente anonimi, quindi non c’è alcun rischio di violare la privacy degli utenti. Il marchio ha una visibilità completa sui device e può monitorare in una dashboard dedicata tutte le informazioni inerenti gli asset, raggruppati per tipologia ed esplorabili in ogni dettaglio, come il sistema operativo utilizzato e gli aggiornamenti installati. Armis sorveglia decine di migliaia di dispositivi per ogni suo cliente di classe enterprise.
Grazie alla visione d’insieme del sistema informatico del cliente, Armis individua le vulnerabilità, le superfici di attacco e suggerisce le azioni da intraprendere per mettere in sicurezza il sistema IT. In caso di attacco informatico, Armis vede nella propria interfaccia e in tempo reale il comportamento anomalo dei dispositivi colpiti, avvisa subito il cliente ed esclude dalla rete gli asset compromessi, così da contenere l’infezione e ridurre al minimo i danni.
Armis adotta un approccio modulare e ha a catalogo cinque prodotti per la gestione dell’esposizione:
- Asset Management and Security – Inventario completo di tutti i tipi di risorse, che consente a qualsiasi organizzazione di vedere e proteggere la propria superficie di attacco
- OT/OT Security – Visualizza e protegge reti OT/loT e risorse fisiche, creando una strategia di sicurezza efficace e completa
- Medical Device Security – Visibilità e sicurezza complete per tutti i dispositivi medici, risorse cliniche e l’intero sistema sanitario
- VIPR – Prioritizzazione e correzione – Assegna una priorità ai rischi e corregge tutte le vulnerabilità, migliora l’MTTR con flussi di lavoro automatici di correzione e ticketing
- Actionable Threat Intelligence – Sistema basato su AI di allerta precoce, che sfrutta l’intelligence del Dark Web, Smart Honeypot e HUMINT per fermare gli attacchi prima che abbiano un impatto sull’organizzazione