Le tante nuove strade della cybersecurity – parte 5
Il ransomware ha fatto da catalizzatore portando molte imprese a una prima consapevolezza sui rischi informatici. Ma per adottare strategie di protezione dei dati e degli asset aziendali più organiche sono necessari molti altri passi in avanti.
Vi presentiamo qui la quarta parte del resoconto di una serie di tavole rotonde organizzate dalla redazione di Office Automation sul tema della cybersecurity.
Clicca qui per leggere la prima parte.
Clicca qui per leggere la seconda parte.
Clicca qui per leggere la terza parte.
Clicca qui per leggere la quarta parte.
Giovanni Mencarelli, Direttore Commerciale di Cybergon
Cybergon è la business unit dedicata alla sicurezza informatica con la quale Elmec Informatica (managed service provider di servizi IT) ha consolidato l’esperienza del suo security operation center nel mondo dell’information technology, partendo dalla protezione del proprio data center nel 2015. Il nostro team svolge attività di intelligence, prevenzione, analisi e risposta degli attacchi informatici in modalità 24/7. Crediamo nel domani e nei benefici che la tecnologia apporterà alla società del futuro, per questo la difendiamo da chi la usa in modo sbagliato. I nostri servizi di SOC e formazione sono i pilastri di una strategia di difesa efficace per contrastare i cybercriminali, conservare il controllo dell’infrastruttura e proteggere i dati business-critical. L’importanza della cyber sicurezza è fuori discussione: a volte può decidere persino della sopravvivenza dell’azienda. Donde la necessità di una approfondita sensibilizzazione sul cliente. C’è ancora molto lavoro da fare: le nostre PMI mi sembrano generalmente reattive, anche se capita sovente che la reazione scatti quando a essere colpito è un concorrente.
Le organizzazioni criminali hanno una targhettizzazione per mercati omogenei. Gli attacchi sono sempre più insistenti e mirati. Ci vogliono risposte rapide con processi testati che coinvolgano anche il top management. Verificare, analizzare e monitorare sono tre attività fondamentali, sia nell’on-prem, sia nell’ambito di progetti di migrazione al cloud. Poi ci vuole un’abbondante dose di coerenza nella gestione dei processi interni e di competenze per le verifiche delle configurazioni, perché il cloud apre l’azienda in tutti i sensi e gli attaccanti sono sempre pronti a sfruttare ogni minima disattenzione.
Andrea Lambiase, Chief Digital & Innovation Group di Axitea
Axitea opera come Global Security Provider integrando servizi di vigilanza con tecnologie innovative e sistemi di protezione fisica e cyber all’interno di un mercato in forte trasformazione per la convergenza tra informatica, telecomunicazioni, controlli, automazione e Internet of Things. Grazie a conoscenze, competenze ed esperienze sviluppate nel tempo in ambito vigilanza, sicurezza e privacy, Axitea è in grado di offrire una vasta gamma di servizi, che vanno dalle attività di presidio del territorio e di gestione proattiva degli allarmi e degli interventi, allo sviluppo di competenze specialistiche nella progettazione, realizzazione, integrazione, manutenzione e gestione di piattaforme e soluzioni tecnologiche dedicate alla sicurezza fisica, al controllo accessi, alla videosorveglianza, al monitoraggio satellitare e alla protezione di infrastrutture ICT.
Il nostro punto di vista è un po’ diverso da quello di altri operatori, soprattutto sul tema della percezione: i dati del World Economici Forum dicono che solo il 19% delle organizzazioni ha una reale consapevolezza di dove investire, facendo il gioco del ramsonware che ha quindi spazi di impatto rilevanti. Alla nostra società spetta quindi il compito di proporre risposte sempre più sofisticate e ibridizzate, puntando molto anche sull’aiuto dell’automazione quando possibile. Noto ancora una certa reticenza ad investire. Nel manufacturing, dove siamo molto presenti, il problema della sicurezza non è a mio avviso ancora percepito nella sua interezza.
In un momento in cui le organizzazioni stanno realizzando il potenziale e le capacità del cloud adottando sempre più servizi cloud-based per il proprio IT (in qualunque configurazione e specialmente in un contesto ibrido), la sicurezza dell’identità è stata spesso paradossalmente trascurata, generando un terreno fertile per cyberattacchi esterni, minacce interne e data breach di natura diversa. Ed è proprio in questo nuovo panorama che funzionalità avanzate di gestione dell’identità e degli accessi diventano sempre più urgenti, emergenti e diffusi anche in settori trasversali dell’economia, superando spesso i confini dimensionali a cui approcci più tradizionali e datati e certamente meno ‘disruptive’ ci avevano abituato.
In altri termini parliamo di sistemi di Identity Access Management, piattaforme con cui diventa possibile decidere quali utenti abbiano accesso a quali dati, con che tempistiche e per quali ragioni specifiche, con l’obiettivo di identificare un utente, autenticarlo e autorizzarlo all’accesso secondo il profilo e ruolo di una sua identità digitale che deve essere mantenuta, modificata e monitorata in ogni momento del ciclo di vita del procedimento di accesso. L’esperienza e la capacità acquisite nel tempo permettono ad Axitea di interpretare e trasformare le nuove sfide in soluzioni e servizi di sicurezza su misura per assicurare e difendere la continuità aziendale dei clienti, attraverso l’adozione delle più innovative tecnologie di sicurezza e lo sviluppo di servizi specialistici.
Cesare D’Angelo, General Manager Italy & Mediterranean di Kaspersky
Kaspersky è un’azienda di sicurezza informatica con una profonda competenza in materia di threat intelligence e sicurezza, che si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. Più di 400 milioni di utenti e 240.000 clienti aziendali in tutto il mondo sono protetti dalle tecnologie di Kaspersky. Secondo quanto emerso da un nuovo report di Kaspersky, i dirigenti dell’88% delle organizzazioni che sono già state vittime di un attacco ransomware, sceglierebbero di pagare il riscatto se dovessero subirne un altro. Tra le organizzazioni che non sono ancora state vittime di ransomware, il 67% sarebbe disposto a pagare ma non subito. Sebbene i ransomware rimangano una delle minacce più diffuse, con due terzi (64%) delle aziende che hanno già subito un attacco, il pagamento del riscatto sembra essere percepito dai dirigenti come un modo sicuro di affrontare il problema. Le cinque minacce alla sicurezza informatica più comuni per gli ambienti ibridi comprendono: virus ibrido/worm, cioè un codice maligno che combina le caratteristiche di entrambi i tipi di malware; valutazioni inadeguate dei rischi per la sicurezza, senza conoscere a sufficienza un rischio, un’azienda (o un cloud provider) potrebbe non sapere come e da dove proviene un attacco; gestione debole della sicurezza, i dati del cloud sono archiviati in remoto e il provider del cloud ha la possibilità di dettare le caratteristiche di sicurezza del cloud; protezione inadeguata della proprietà intellettuale che invece richiede una crittografia molto accurata quando viene archiviata in remoto; mancata comunicazione con il fornitore del cloud, tutti i fornitori di cloud dovrebbero fornire accordi che consentano di sapere quali livelli di servizio ci si può aspettare. In assenza di tali accordi, si rischia di esporre i dati a rischi inutili perché non si è sicuri di quali siano le responsabilità del fornitore di cloud.
Kaspersky Hybrid Cloud Security consente di mantenere sicuro ed efficiente il processo di trasformazione digitale, fornendo una protezione cloud-native comprovata e le migliori prestazioni per gli ambienti ibridi. Questa soluzione rappresenta una parte significativa del nostro portafoglio futuro. Nei prossimi anni svilupperemo però anche prodotti più maturi per container security e altre soluzioni di sicurezza per il cloud.
Gabriele Zanoni, Consulting Country Manager di Mandiant
Mandiant gestisce gli incidenti informatici più rilevanti al mondo e la conoscenza che ne deriva viene completata dallo studio degli aggressori con attività di Cyber Threat Intelligence. Questo ci permette di mantenere una visione chiara del panorama delle minacce attuali e di poter aiutare i clienti nel prioritizzare le loro iniziative di cyber security, sulla base di queste osservazioni pubblichiamo ogni anno un report chiamato M-Trends. Per diversi segmenti di mercato una delle minacce più rilevanti rimane il ransomware che oggi non è più percepito solo come un problema di security ma anche di business dato che le vittime si trovano spesso a non poter lavorare per giorni o settimane. Mandiant supporta i clienti sia nell’essere confidenti nel gestire questi incidenti sia a minimizzarne l’impatto attraverso le identificazioni tempestive del nostro servizio di Managed Defense. Un altro trend rilevante riguarda i servizi Cloud che molte aziende hanno adottato di recente (specialmente durante il periodo del Covid), è importante ora focalizzarsi sulla messa in sicurezza questi sistemi.
Nell’ultimo anno, abbiamo osservato un numero crescente di attacchi ai servizi Cloud anche da parte di aggressori State-Sponsored: sulla base di questo nuovo trend, la nostra divisione di consulenza ha sviluppato un servizio di hardening per rendere i clienti confidenti nel continuare ad usarli. Sempre più spesso le aziende, preoccupate della evoluzione degli attacchi cyber, vogliono conoscere la propria “security posture” per poter identificare le aree di miglioramento. Una nostra ricerca su questo tema ha evidenziato che le aziende, in media, usano tra i 50 e i 70 tool di sicurezza e che nell’80% dei casi tali tool siano sottoutilizzati. E’ chiaro quindi che oggigiorno ci sia bisogno di mettere alla prova i propri sistemi di sicurezza attraverso degli assessment. In questo ambito la Banca Centrale Europea suggerisce di eseguire attività di Threat Intelligence-based Ethical Red Teaming (TIBER) e anche il nuovo Digital Resilience Operation Act (DORA) va nella stessa direzione.
Mariagrazia Berra, Sales Director Italia di Elastic
Elastic è una multinazionale con più di 3.000 dipendenti e una presenza in 40 Paesi che offre una data platform che aiuta i clienti a trarre valore dai propri dati e agire in modo efficace ed efficiente. La security deve essere un fattore abilitante per il business e non un blocker. Attorno a questo concetto Elastic ha elaborato una strategia che l’ha portata a essere nominata quale ‘visionaria’ nel Gartner Magic Quadrant di quest’anno per il SIEM e sempre ‘visionaria’ nel Gartner Magic Quadrant per APM e Observability per il secondo anno consecutivo.
Il riconoscimento di Elastic conferma che il nostro approccio è volto a fornire una piattaforma che permetta sia il monitoraggio infrastrutturale e applicativo, sia uno strumento completo di security che include SIEM, endpoint protection e cloud security. Tutto questo può essere fornito nell’ambiente scelto dal cliente, sia esso onpremise oppure cloud (multicloud o hybrid).
In un contesto come quello attuale che esige analisi in tempo reale su una mole sempre crescente di informazioni e di condivisione dei risultati all’interno dell’azienda, avere una ‘single source of truth’ è un fattore abilitante per le aziende.
Oggi stiamo assistendo a una grande frenesia e attenzione verso il cloud. Il nostro dovere è di fornire strumenti per una digital transformation sicura e che si dimostri la meno onerosa possibile. È sicuramente utile conoscere i cloud service provider, ma ci vuole un percorso anche all’insegna della consapevolezza perché l’operazione sia efficace. La cloud security è un elemento imprescindibile così come il coinvolgimento di partner e consulenti focalizzati. Lo stesso atteggiamento Elastic lo mantiene nei confronti dell’ethical hacking agendo su più leve: l’education (anche in ambito universitario) e la realizzazione di eventi virtuali gratuiti dove vengono anche presentate simulazioni di attacchi. Anche qui è richiesta molta consapevolezza e una buona interazione tra vendor e cliente.
Giulio Vada, GIB Regional Sales Managert Italy di Group-IB
Group-IB è un’azienda di sicurezza specializzata nella fornitura di soluzioni per l’identificazione e prevenzione dei cyber attacchi e nell’investigazione di frodi ad alto contenuto tecnologico. Per esempio, la sua soluzione di cyber threat Intelligence è stata giudicata come una delle migliori della categoria dalle principali società di ricerca e consulenza. A oggi offriamo anche strumenti di real-time intelligence che permettono di effettuare ricerche libere di tutti i messaggi contenuti nei forum del dark web, nei canali Telegram e nei server Discord (con un comodo traduttore in-linea che permette di leggere contenuti di qualsiasi lingua).
La diffusione massiva del cloud computing e l’inarrestabile digitalizzazione, inoltre, stanno introducendo dimensioni e complessità senza precedenti nelle infrastrutture IT aziendali, rendendo difficile tenere traccia di tutte le risorse digitali. Group-IB Attack Surface Management, dal canto suo, migliora la sicurezza scoprendo continuamente tutte le risorse IT esterne, facendo così emergere anche il cosiddetto shadow IT, puntando il riflettore sulla propria superfice d’attacco, e valutandone i rischi associati grazie ai dati di intelligence oltre ad assegnare la giusta priorità ai problemi per consentire sforzi di riparazione ad alto impatto.
Lo stesso vale per Digital Risk Protection, un servizio di monitoraggio automatizzato e continuo, di tutta Internet, pubblica e non, alla ricerca di segnali, pattern o minacce, per tutelare il proprio brand, la proprietà intellettuale e la reputazione dei propri vertici aziendali. E se necessario rispondere.
Basata su due servizi principali identificazione/monitoraggio ed enforcing delle minacce, erogati in modalità SaaS, Digital Risk Protection consente di eliminare qualsiasi tentativo di frode online diretto sia all’azienda che ai propri clienti – dall’attività di phishing tradizionale basata sull’abuso di marchi noti, fino a schemi di scam anche complessi volti a estorcere informazioni personali o denaro, dalla pirateria online e dalla contraffazione di marchi e prodotti. La tutela del brand avviene su più livelli di monitoraggio: dai social network (Facebook, Twitter, Linkedin, ecc.) alla ricerca di pagine fake, oppure di cloni per esempio di siti istituzionali o di pagine personali, o nei diversi market-place, fino ai sistemi di instant messaging come Telegram.
Ci troviamo a operare in un contesto in cui i nuovi rischi ai quali siamo esposti stanno ridisegnando le regole del mercato della sicurezza, complice anche l’avvento dell’intelligenza artificiale.
Un compito difficile, se si pensa che anche in realtà organizzative complesse, mancano le risorse necessarie, e i team IT si sobbarcano un carico di lavoro immenso sulle spalle. Per questo c’è anche bisogno di una formazione mirata. Per fortuna i budget IT stanno crescendo, a seguito anche di una maggiore percezione del pericolo.
Si sa infatti che il perimetro aziendale va espandendosi e diventa sempre più complesso da difendere. Bisogna prendere atto e agire di conseguenza. Sarebbe auspicabile, a mio avviso, che la cybersecurity aziendale sia sempre di più trainata dalla cyber intelligence che permetterebbe di fare anche un esercizio di empatia, mettendosi nella mente degli attaccanti e mimando le loro intenzioni.
Massimiliano Micucci, Country Manager di One Identity
Una drammatica proliferazione di identità, combinata con un approccio spesso frammentato con cui molte organizzazioni affrontano oggi la sicurezza delle identità, ha creato opportunità senza precedenti per i cattivi attori. One Identity aiuta a colmare questa lacuna di esposizione al rischio informatico con un set integrato e modulare di soluzioni che offre visibilità, controllo e protezione senza precedenti.
Siamo focalizzati sulla salvaguardia della identità e quindi sui processi di autenticazione. Soprattutto per un accesso ispirato alla logica Zero Trust. Una normalità non ancora completamente acquisita, anche per effetto della diffusione del cloud che, anzi, ha creato un ulteriore strato di problematicità. Le aziende italiane conoscono bene il concetto di sicurezza fisica, meno quello relativo alla logica e in particolare alle identità. È paradossale come si investa sulle seconde ancora troppo poco, in confronto alla prima. Il gap tra queste due modalità è ancora molto evidente.
Le organizzazioni non hanno investito in misura adeguata per far fronte alla tempesta rappresentata dal ramsonware e da altre vulnerabilità, facendo lievitare tra l’altro il furto d’identità, come conseguenza diretta. Il fenomeno riguarda sia il privato che il pubblico. La manifattura italiana è attaccata quattro volte e la PA italiana due volte di più di quella estera. Da qui, la necessità di un contrasto maggiore, per rendere la vita più complicata agli attaccanti. In particolare, la sicurezza delle identità garantisce la protezione completa degli accessi e automatizza in modo flessibile il ciclo di vita delle stesse grazie al rilevamento e alla prevenzione delle minacce senza soluzione di continuità, il tutto con un approccio unificato.
La diffusione dell’interazione uomo-macchina e macchina-macchina acuisce ancora di più il tema della difesa delle identità (il cui mercato registra tassi medi annui di crescita del 20%), soprattutto da remoto, richiedendo misure di identity associate a quelle Zero Trust. Non dobbiamo infatti dimenticare che la trasformazione digitale determina una proliferazione delle identità che ha fatto esplodere il problema della loro protezione. Devo anche aggiungere che a mio avviso la consapevolezza sulla centralità della sicurezza non è ancora del tutto stata colta.
Sono poche le aziende che per esempio effettuano periodicamente processi di ricertificazione degli accessi. Al fine di ridurre la superficie di attacco, dovrebbero essere aggiornati ogni tre mesi, specialmente se riguardano accessi privilegiati.
Paolo Passeri, Sales Engineer di Netskope
Netskope è conosciuta per le soluzioni di protezione offerte in ambito cloud. Le funzioni di sicurezza offerte, erogate dall’edge di accesso secondo il paradigma SSE (Security Service Edge), includono controllo di accesso adattivo, protezione dal malware e DLP, per la protezione completa del traffico web, cloud, e delle applicazioni private. Il 25% delle prime 100 società di Fortune utilizza prodotti Netskope; la società è stata fondata nel 2012 da architetti e ingegneri, veterani del settore.
Il lavoro da fare per acquisire la necessaria consapevolezza è ancora tanto. Saluto positivamente la nascita della nuova Agenzia per la Cybersicurezza che rileva le funzioni in materia di cybersicurezza già assicurate dall’Agenzia per l’Italia digitale (Agid) e dal Dipartimento per la trasformazione digitale, le procedure per il trasferimento dei beni strumentali e delle risorse finanziarie idonee ad assicurare la prima operatività dell’Agenzia. Ci auguriamo tutti che sappia creare le condizioni per far fare al Paese, che sta soffrendo più di altri, un salto in avanti sul fronte vitale della digitalizzazione.
Il ransomware è un problema particolarmente sentito in Italia, soprattutto per via del suo assetto imprenditoriale fatto in larga misura come noto di piccole e medie aziende, assetto che rende gli attacchi ripetibili, anche se oggi il modello di attacco del ransomware è passato da un approccio opportunistico a un approccio mirato.
Inoltre, i vettori iniziali di accesso sono cambiati con nuovi modelli di attacco, come le credenziali compromesse o lo sfruttamento di vulnerabilità su applicazioni esposte su internet, che hanno soppiantato metodi più ‘tradizionali’ come il phishing.
Il successo degli attacchi ransomware è amplificato dalla scarsa attenzione alle identità che oggi facilita il gioco degli attaccanti. Questa è solo una conseguenza del cambiamento avvenuto negli ultimi anni del concetto di digital trust: i periodi di lockdown e la diffusione del lavoro remoto hanno cambiato il concetto di fiducia degli utenti che oggi hanno ‘digitalizzato’ le proprie interazioni e sono quindi più vulnerabili ad attacchi di ‘social engineering’ da parte di individui con cui non interagiscono fisicamente. Le credenziali compromesse vengono poi utilizzate dalle gang ransomware per entrare all’interno delle organizzazioni vittima, e questo ha favorito lo sviluppo di una nuova categoria di criminali conosciuti come ‘initial access broker’ che vendono o forniscono come servizio ai gruppi ransomware le credenziali compromesse.
Un’ulteriore conseguenza del digital trust è il crescente utilizzo delle applicazioni cloud da parte degli utenti; tuttavia, anche questo aspetto è stato tramutato in minaccia dagli attaccanti. Le analisi Netskope hanno messo in evidenza come i download di malware provenienti da applicazioni cloud rappresentano oltre la metà di tutti i download di malware in confronto ai siti web tradizionali. La tecnologia è importante, ma mai come ora si capisce l’importanza dell’educazione degli utenti e quindi del concetto di digital trust, affinché tutti i cittadini di internet abbiano un utilizzo responsabile dei propri asset, siano essi personali o aziendali.
Salvatore Marcis, Technical Director di Trend Micro
Anche per Trend Micro la protezione in ambito cloud ha un ruolo fondamentale per una migrazione e un utilizzo sereno delle risorse. Trend Micro Cloud One è una piattaforma di servizi di sicurezza per cloud builder che consente di affiancare uno strato di analisi, controllo e protezione degli asset presenti su cloud pubblici e privati.
Grazie alla sua protezione multilivello, offre protezione flessibile e semplificata per workload, container, storage, serverless, network e altre possibili evoluzioni. In questo modo si ottiene una visibilità senza precedenti e si garantisce una postura di sicurezza costante in tutti gli ambienti. Si protegge ciò che si migra in cloud e che nasce nel cloud, ottimizzandone la conformità.
Il ransomware sicuramente ha fatto da acceleratore sulla consapevolezza dei rischi derivati da un incidente informatico. Ciò ha contribuito in molti casi a maggiori investimenti nelle tecnologie di prevenzione, ma poco si è fatto per l’adeguamento dei processi, anche per una questione culturale senza dubbio. I processi rappresentano oggi il tallone d’Achille, resi ancora più deboli dalla mancanza sul mercato di competenze adeguate.
La platea degli esperti è infatti più o meno sempre la stessa, mentre la potenziale superficie di attacco si è molto estesa. Cosa fare? Innanzitutto, suggerisco la definizione di un Piano di rischio, per lo più assente oggi, perché solo uno strumento di questo tipo consente di porre mano alla evoluzione dei processi e anche di stipulare polizze antirischi con le compagnie di assicurazione.
Inoltre, di fare più analisi, per esempio sui rischi connessi alle migrazioni verso il cloud, ma anche di affidarsi a partner tecnologici che forniscano soluzioni affidabili ma semplici da utilizzare. Nonché incentivare uno sviluppo agile, incluso per esempio l’aggiornamento costante delle applicazioni in uso. Per fortuna le tecnologie ci sono, vanno solo implementate in modo proficuo ed efficiente nell’ecosistema digitale.
Bruno Filippelli, Sales Director Italia di Semperis
I programmi di sicurezza informatica, grandi e piccoli, sono in prima linea in una nuova guerra che non ha praticamente confini e regole di ingaggio. Se si pensa per esempio a casistiche che riguardano le strutture sanitarie fino all’arrivare ad aziende che producono beni secondari, le minacce possono colpire tutti.
Abbiamo quindi la responsabilità di aiutare e formare le organizzazioni a riprendere il controllo. Questo concetto sta alla base dell’attività di Semperis, azienda nata nel 2013 con il chiaro intento di trovare approcci innovativi alla cyber sicurezza.
Oggi il mercato della sicurezza digitale è in preda a una grande confusione e ha creato anche dell’entropia nelle aziende che non si sentono protette e supportate nella scelta delle azioni da intraprendere. Un valido supporto potrebbe arrivare dall’Agenzia per la Cybersicurezza. Troppo spesso, e con troppa facilità, si tende a individuare nell’utente finale il punto più debole della catena. Invece non è così: l’utente è un anello della catena punto e basta.
In un panorama cambiato, la malleabilità diventa un punto fermo, così come l’ibridazione dei processi. La formazione deve essere qualificata, per evitare di aggiungere confusione alla confusione e vanno messe in atto tutte le misure per prevedere l’attacco, prima, e analizzarlo, dopo. Inoltre, ci vuole un’awareness estesa a livello aziendale. E in tutto questo marasma occorre fare ordine andando oltre al concetto di responsabilità e condividere i risultati in maniera costruttiva per poterne beneficiare tutti.
Infine, mi sento di suggerire a tutti di fare frequenti vulnerability assessment della postura della sicurezza. Si tratta di una best practice da implementare indipendentemente dalla infrastruttura usata.