La protezione dati e asset aziendali deve oggi necessariamente contemplare una serie di possibili scenari che vanno oltre il perimetro aziendale.
La security moderna richiede un approccio innovativo, che poco ha a che spartire con quanto fatto fino a pochi anni fa. Non è più possibile autorizzare soggetti e device senza controlli stringenti e non è più consentito il controllo dei soli apparati interni alla rete aziendale. Il perimetro aziendale non esiste più: mobilità, cloud, IoT comportano un cambio di paradigma e lo spostamento continuo e bidirezionale dei dati.
L’attenzione che si pone verso la sicurezza informatica e la protezione dati acquisisce anno dopo anno sempre più importanza. Questo avviene non a livello regionale ma bensì globale. Infatti, i pericoli derivanti dagli innumerevoli attacchi perpetrati da gruppi hacker, a volte sponsorizzati dagli Stati stessi, sono sempre più pericolosi e distruttivi. E possono colpire organizzazioni di ogni tipologia, dimensione e settore presenti in località differenti. In seguito a questa accresciuta importanza della cyber security tutti i Paesi mondiali si attivano, prevedendo ognuno particolari metodi e soluzioni per contrastare l’ascesa dei criminali informatici. L’Italia sta maturando una consapevolezza sempre più forte nell’ambito della cyber security. Questa maturazione è iniziata a partire dal 2008, quando è stato costituito il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (Cnaipic).
L’evoluzione delle minacce
Il numero di attacchi di phishing, malware e ransomware è in costante aumento, una tendenza destinata a continuare nel prossimo futuro. In considerazione della crescente professionalità degli aggressori informatici e della guerra virtuale, la protezione delle infrastrutture critiche continua a essere al centro dell’attenzione. Ciò vale soprattutto per settori altamente sensibili. Ad esempio come quello dell’approvvigionamento energetico e dell’assistenza sanitaria.
Protezione dati, il fattore umano
Il fattore umano continua a essere l’anello debole della catena della sicurezza informatica e può ridurre l’efficacia dei meccanismi di protezione dati. Dove i dipendenti che rappresentano la terza componente principale delle imprese, dopo la tecnologia e i processi. Finora, l’attenzione si è concentrata sulla formazione generale di sensibilizzazione per tutta la forza lavoro. In futuro, ci sarà una tendenza crescente verso misure di formazione per specifici destinatari, affrontando aree che includono requisiti di settori specifici come l’ingegneria automobilistica o l’industria medtech. Anche esperti e dirigenti richiedono una formazione costante sulle minacce informatiche e su come agire e comportarsi correttamente.
Costruire la fiducia digitale nell’Intelligenza Artificiale è un fattore chiave importante. In considerazione di ciò, le norme e gli standard stanno diventando sempre più importanti. Per quanto riguarda i regolamenti, la Commissione europea ha presentato l’Artificial Intelligence Act nell’aprile 2021. Detto questo, le parti interessate devono ora iniziare a impegnarsi in discussioni sui certificati di intelligenza artificiale e sugli standard di certificazione che consentono loro di stabilire ambienti IT che offrano la massima sicurezza.
Cybersecurity skills
Secondo una recente analisi di mercato, il 97% di dirigenti e professionisti della sicurezza dichiara nella ricerca che la propria azienda è adeguatamente o maggiormente preparata a difendersi dagli attacchi di cyber rispetto allo scorso anno. Tuttavia uno su cinque non scommetterebbe sul fatto di poter prevenire una grave violazione. Lo studio rileva che le organizzazioni stanno accelerando il passo per proteggersi dagli attacchi informatici, ma il settore si scontra ancora con un approccio ancora troppo reattivo.
Ciò è evidente dal modo in cui i team di sicurezza assegnano priorità alle patch. Sebbene il 92% dei professionisti abbia dichiarato di disporre di un metodo per definire tali priorità, ha anche indicato che ogni patch è in cima alla lista. Quindi tutte sono prioritarie e allo stesso tempo non lo è nessuna in particolare.
I responsabili IT considerano il phishing, il ransomware e le vulnerabilità del software come principali minacce a cui il settore dovrà far fronte nel 2023. Circa la metà degli intervistati ha affermato di essere “molto preparata” a contrastare il quadro delle crescenti minacce (ransomware, crittografia inadeguata e dipendenti inadempienti). Tuttavia, le misure di sicurezza previste, come la verifica delle credenziali, vengono ignorate un terzo delle volte. Inoltre, quasi la metà degli intervistati dichiara di sospettare che un ex dipendente o collaboratore abbia ancora accesso diretto a sistemi e file aziendali.
Lavoro ibrido, l’impatto sulla sicurezza
In Europa molte aziende non sono ancora del tutto pronte ad affrontare le sfide legate alla sicurezza informatica nel lavoro ibrido e da remoto. Lo confermano numerosi IT Decision-Maker interessati da un recente sondaggio. Da esso emerge la preoccupazione per le aziende si riferiscono alla difficoltà nella gestione degli aggiornamenti da remoto, del comportamento dei dipendenti e dei dati off-site.
Difficoltà riconducibili prevalentemente al non disporre di soluzioni e strumenti adatti per una gestione ottimale di tali problematiche e per garantire livelli di protezione adeguati alle crescenti minacce informatiche. Tra i primi ostacoli riscontrati, la scarsa cultura sulla prevenzione. Infatti, per quanto riguarda le aziende italiane, dal report emerge la difficoltà a implementare misure preventive di protezione dei dati negli ambienti di lavoro ibrido e da remoto.
Protezione dati, patch e policy
L’82% (il 79% a livello europeo) degli ITDM incontra continuamente difficoltà nel fornire ai lavoratori da remoto le patch e gli aggiornamenti IT necessari a garantire sicurezza. Mentre il 76% (77% a livello europeo) ritiene che i dipendenti non rispettino le policy di sicurezza quando sono fuori sede. La protezione dei documenti sensibili stampati e gestiti dai dipendenti a casa è un altro chiaro punto dolente. Il 77% (il 75% a livello europeo) degli ITDM italiani ha difficoltà a configurare in modo adeguato le stampanti e gli scanner remoti.
A fronte di queste criticità nella sicurezza, l’82% delle aziende italiane (70% a livello europeo) fatica a tenere il passo con il regolamento GDPR. Con il 51% (46% a livello europeo) che ha riscontrato problemi di conformità e di audit sulla sicurezza informatica. Ciò potrebbe essere dovuto al fatto che solo il 18% delle aziende italiane (in linea con il dato europeo) è attualmente in grado di tracciare l’intero ciclo di vita di un documento.
Cambia il concetto di difesa, aumentano gli strumenti
Ogni azienda deve comprendere che è necessario adottare una strategia di sicurezza solida ed efficace. In primis, occorre considerare che sebbene i server risiedano fisicamente oltre i confini aziendali, è responsabilità esclusiva del cliente poter garantire la sicurezza dell’host cloud, monitorando costantemente tutti i processi per identificare in modo autonomo eventi dannosi e contrastarli prima che questi si diffondano. I dati più recenti delle indagini sulle violazioni riflettono le attuali prassi di comportamento delle organizzazioni, le quali devono poter investire in soluzioni runtime XDR, che garantiscono la sicurezza dei propri workload in cloud, implementando una soluzione di protezione efficiente.
Occorre dunque una piattaforma capace di estendere i confini della tecnologia autonoma per impedire le moderne minacce informatiche più sofisticate. L’XDR è un approccio proattivo alla sicurezza che analizza la telemetria trasversalmente a più livelli di sicurezza e poi correla tali dati per generare un unico assessment di sicurezza che considera l’intero ecosistema.
Automatizzando le correlazioni, l’XDR offre una panoramica del contesto, anziché una visuale a silos su un unico elemento dell’avanzamento dell’attacco. Nel farlo, l’XDR riunisce l’intelligenza dagli asset più disparati e rende lo stack di sicurezza più semplice per i team di sicurezza, per una maggiore efficacia ed efficienza.
Adottare un approccio proattivo alla sicurezza, difendersi dalle minacce “mai viste prima” e interromperle per tempo nella sequenza di attacco è fondamentale per individuare e rispondere più rapidamente agli attacchi stessi.
Le soluzioni XDR espandono le capacità di Endpoint Detection and Response (EDR), ma vanno ben oltre l’endpoint stesso, al fine di garantire visibilità nel cloud, trasversalmente alla rete, alle applicazioni, alle identità utenti e molto altro. L’XDR non offre solamente tutta una gamma di alert indipendenti e relativi a piccoli snapshot di un’operazione malevola in un determinato momento, ma fornisce anche una panoramica dell’intera catena di attacco trasversalmente a tutti gli asset colpiti, così da non perdere tempo prezioso in un triage senza fine o nei cicli investigativi, una buona parte dei quali si dimostra sempre essere un falso positivo.
Una soluzione XDR dà senso al flusso di alert non correlati e fornice contesto e sostanza dalle fonti aggiuntive di telemetria associate ai rilevamenti, automatizzando l’analisi della ‘root cause’ per generare una sequenza chiara e tracciare il percorso della minaccia. Ciò consente agli analisti di osservare l’interezza dell’operazione malevola, o MalOp, e di trasformare tutti i “dati degli alert” in intelligenza utilizzabile.
Protezione dati, il modello Zero Trust
Un approccio Zero Trust presuppone una compromissione a priori, e cioè che gli utenti legittimi con accesso autorizzato siano compromessi e quindi possano costituire una minaccia involontaria. Gli aggressori sanno che di solito è più facile entrare dalle finestre (gli utenti) che dalla porta principale (la rete aziendale). Gli utenti sono costantemente minacciati e quindi l’ipotesi che siano già compromessi è il presupposto più sicuro da cui partire.
Le azioni potenziali di un computer portatile o di un telefono cellulare aziendale compromesso sono molteplici. Comprendono il lancio di attacchi contro siti Web e applicazioni che tentano di condividere materiale dannoso (tra cui malware, ransomware o la prossima minaccia che arriverà) o di sfruttare le vulnerabilità per ottenere l’accesso.
Poiché le API stanno aumentando il modo in cui le applicazioni mobili e basate sul Web accedono alle applicazioni e ai sistemi aziendali, diventa importante ispezionare i contenuti provenienti anche da utenti legittimi e autenticati per determinare se sono dannosi o meno. Per questo motivo, la sicurezza del Web e delle API è una scelta logica per implementare la protezione contro questo rischio.
Un approccio Zero Trust presuppone che le credenziali non siano sufficienti. Che l’utente sia un essere umano, una macchina o un software, un approccio Zero Trust presuppone che anche se vengono presentate credenziali legittime, l’utente effettivo potrebbe non essere legittimo. Il credential stuffing, del resto, è un problema costante che sfrutta credenziali legittime, ma rubate. È risaputo che, in media, ogni giorno un milione di nomi utente e di password viene segnalato come divulgato o rubato.
Alcune imprese scambiano il modello zero-trust per un prodotto o una certificazione vera e propria.
Esso non è né l’uno né l’altra. Un modello di sicurezza a fiducia zero viene impiegato per garantire la sicurezza informatica e del cloud, viene impiegato per la sicurezza dei nostri stakeholder interni ed esterni. Il modello zero-trust include anche l’abilitazione dell’autenticazione a più fattori per garantire l’accesso a qualsiasi applicazione o piattaforma. Inoltre, adotta la micro-segmentazione dei perimetri di sicurezza per evitare qualsiasi violazione della sicurezza. Da qui il mantra dell’informatica “mai fidarsi, verificare sempre”.
Quindi si può adottare il modello zero-trust quando si vuole? Prima di implementare qualsiasi nuovo modello di sicurezza, dobbiamo capire il ritorno sull’investimento e se ne abbiamo davvero bisogno. Inoltre, dobbiamo capire che se zero-trust è un approccio per proteggere le risorse più importanti dell’azienda, è altrettanto importante sapere se ne vale la pena possederlo. È necessario essere già un’azienda digitale quando si decide di implementare la sicurezza zero-trust. Per applicare tale modello, i dipendenti devono disporre di risorse digitali su cui possono verificare sé stessi.
Gli investimenti in sicurezza informatica saranno utili solo se le aziende e i loro dipendenti saranno disposti a impegnarsi a lungo termine. Inoltre, saranno disposti a creare buone abitudini per garantire una sicurezza informatica completa.