Le tante nuove strade della cybersicurezza

Il ransomware ha fatto da catalizzatore portando molte imprese a una prima consapevolezza sui rischi informatici. Ma per adottare strategie di protezione dei dati e degli asset aziendali più organiche sono necessari molti altri passi in avanti.

La protezione delle informazioni è ormai uno degli asset chiave per lo sviluppo di ogni singola azienda e di ogni Paese. Nell’attuale scenario geo-politico, i governi di tutto il mondo mettono in atto azioni di contrasto di rilevanza globale, pianificate in ambito governativo, per aumentare l’efficacia dei sistemi di cybersecurity di istituzioni e organizzazioni pubbliche. E per le aziende private è lo stesso.

La cyber sicurezza, inoltre, è un pilastro fondamentale per la transizione digitale ed elemento imprescindibile per la fruibilità dei servizi digitali da parte del cittadino. Nel PNRR è stato inserito un investimento di 620 milioni di euro, nell’ambito della Missione 1, per il rafforzamento delle difese cyber del nostro Paese. Forse poco rispetto alle esigenze e alla rilevanza della sicurezza.

Dal 18 maggio di quest’anno, l’Italia ha una Strategia Nazionale di Cybersicurezza per il quinquennio 2022-2026, accompagnata dal collegato Piano di Implementazione. Un documento atteso, presentato a Palazzo Chigi dai due volti autorevoli in materia cyber (il sottosegretario Franco Gabrielli con delega per la sicurezza, del precedente governo, e Roberto Baldoni, direttore dell’Agenzia per la Cybersicurezza Nazionale) e approvato dal Comitato Interministeriale per la Cybersicurezza (Cic).

Più della metà (54%) dei leader aziendali ritiene che le minacce informatiche siano aumentate nell’ultimo anno, ed il 35% di loro si aspetta una significativa violazione dei dati sensibili all’interno della propria azienda nel prossimo anno. A livello globale, il 68% dei leader aziendali, però, vede i dati della propria azienda come “completamente protetti”, il ché suggerisce che la maggior parte delle aziende sembra fiduciosa della propria cybersecurity e della propria capacità di far fronte a possibili attacchi esterni.

Questi alcuni dei dati emersi dal sondaggio “Cyber security report”, condotto da Mazars – gruppo internazionale specializzato in servizi di audit, tax e advisory – su oltre 1.000 dirigenti in tutto il mondo, dal quale emerge come i leader aziendali affrontino attacchi informatici quotidianamente, tentando di difendersi e proteggersi con ogni mezzo a loro disposizione.

L’aumento degli attacchi informatici verso aziende e istituzioni rende necessario un nuovo tipo di approccio nella selezione e nell’adozione delle tecnologie di sicurezza. Troppo spesso, infatti, il tema della cybersecurity viene affrontato partendo dai prodotti e dagli strumenti tecnologici per difendersi, limitando gli sviluppi successivi e le possibilità di un impatto positivo sul business.

Oggi, una corretta strategia di cybersecurity deve essere “Process first” – come è emerso durante l’ultima edizione di ITASEC, la Conferenza Nazionale sulla Sicurezza Informatica, ovvero deve partire dall’analisi dei processi e delle esigenze dell’organizzazione al fine di implementare, in un secondo momento, le tecnologie più adeguate.

Questo è solo una parte dello scenario che attualmente caratterizza il mondo della cybersecurity nel nostro Paese. E su questo si sono confrontati in una serie di tavole rotonde organizzate da Office Automation un folto numero di rappresentati del mondo dell’offerta operativo in Italia. Qui potete leggere la prima parte di quanto è stato condiviso in termini di criticità da affrontare, approcci da adottare ed esperienze da mettere a fattor comune. Nei prossimi giorni verranno pubblicati gli ulteriori contributi. Buona lettura!

Nicola Cavallina, Channel Manager and Alliance Manager di Radware

La missione di Radware è quella di fornire soluzioni di sicurezza per adattarsi rapidamente alle sfide del mercato, mantenere la continuità aziendale e raggiungere la massima produttività in tutti gli ambienti. Negli ultimi tempi c’è stato un aumento di sensibilità verso la digital transformation, ma la richiesta di maggiore velocità e l’adozione del cloud, tipiche di questo processo, ha generato una serie di problematiche, sia in ambito business che nella pubblica amministrazione, ancora non pienamente comprese e quindi adeguatamente indirizzate. Innanzitutto c’è la necessità di un adeguamento dei processi e poi anche di una rivisitazione delle forme di automazione, non sempre più in linea con le nuove normative o velocità di reazione. Spesso i clienti, ancora adesso, non sanno a cosa vanno incontro adottando soluzioni in cloud. Dovrebbero innanzitutto capire che la sicurezza del cloud e la sicurezza nel cloud sono due cose diverse con ambiti di responsabilità diversi e condivisi.

Le stesse grandi banche nostre clienti hanno difficoltà di comprensione, essenzialmente per mancanza di competenze specifiche o di chiarezza contrattuale. Basti pensare che in molte situazioni per individuare una violazione ci vogliono meno di 20 secondi, ma i processsi interni poi richiedono ore per mitigare la situazione. In un contesto di cloud pubblico, inoltre la sicurezza non deve riguardare il solo dato ma anche l’infrastruttura e tra le altre sfide anche la gestione delle permission e il tracciamento degli entitlements. In questi casi bisogna fare ricorso a un approccio metodologico a 360 gradi. I servizi di sicurezza cloud di Radware offrono una gamma di soluzioni di Application Security, WAF e DDoS in modalità SaaS, soluzioni completamente gestite e con SLA garantiti contrattualmente e massima aderenza agli standard di sicurezza ‘military grade’ per creare una solida rete di sicurezza che protegge dagli attacchi, e separa il traffico legittimo da quello malevolo, bloccandolo. Le organizzazioni traggono vantaggio da un unico cruscotto di visibiltà e mitigazione agnostico rispetto al posizionamento delle applicazioni sia in cloud privato che pubblico, tramite un portale unificato e un servizio di sicurezza completamente gestito dal collaudato Emergency Response Team di Radware.

La sicurezza è un mercato molto competitivo, in crescita e che attira molti player, quindi vi approdano in tanti ma serietà, competenze e qualitè del servizio erogato non sono facilmente comparabili, misurabili o garantite a priori se non esplicitate contrattualmente.

Nicola Bosello, Chairman & Sales Director Gruppo Eurosystem

Gruppo storico veneto specializzato in Information & Communication Technology con più di 40 anni di storia, Eurosystem nasce a Treviso per accompagnare le aziende del territorio nella trasformazione digitale e nel tempo estende la sua presenza in tutto il Nord e Centro Italia. La società, con headquarter a Treviso e filiali a Bergamo, Bologna, Udine e Ferrara, conta 160 collaboratori ed è specializzata nella progettazione e nello sviluppo di soluzioni applicative per l’Industria 4.0: software Freeway Skyline ERP, Freeway MES, APS, I-Napsy 4.0 e DAK e per la business analytics (business intelligence, CRM, controllo di gestione), nonché progetti e servizi IT e per un’area dedicata alla cyber security per aziende di ogni dimensione.

In merito alla sicurezza aziendale, il Gruppo Eurosystem offre servizi e soluzioni consulenziali partendo dall’analisi delle criticità con assessment e security audit, arrivando all’individuazione della soluzione più adatta per una security governance di alto livello, utilizzando le ‘best practice’ dei più noti framework nazionali e internazionali. Oggi è fondamentale non trascurare alcun segnale che possa far pensare a un imminente incidente o possa far emergere una non corretta gestione dei processi aziendali. Si pone poca attenzione alle logiche di ‘security by design’ e manca una visione completa sui temi della sicurezza, approcciandola ancora troppo spesso a compartimenti stagni. Vi è una carenza di cultura da parte delle organizzazioni su questo tema, che sta divenendo vitale. Nonostante siano stati fatti dei passi avanti sulla consapevolezza, si tende ancora a sottovalutare i rischi e a non fare quanto sarebbe opportuno per prevenirli. Nella complessità, la consulenza è una buona arma da sfruttare, considerando inoltre che il perimetro di attacco si espande sempre di più con la crescente fruizione di tecnologie quali il cloud, la realtà aumentata e virtuale, il metaverso… Serve ‘fare squadra’ e cooperazione tra operatori e vendor per poter mettere quanto più in sicurezza imprese e persone e noi stiamo lavorando in questa direzione.

Quello di essere consulenti e non solo, oltre che porre molto ascolto al cliente, è un tema che riteniamo molto caro al quale affianchiamo anche un indispensabile approccio strutturato e un utilizzo delle tecnologie secondo metodologie precise. Tutte regole piuttosto disattese negli ultimi due anni di emergenza. La carenza di competenze è un altro argomento che depone a favore della collaborazione a livello di offerta. Fare fattor comune è una strada che ripaga sempre.

Cristiano Cafferata, Country Manager di InWeBo

Molti attacchi fraudolenti mirano ad abusare dei dati dei clienti, dipendenti o partner. L’autenticazione forte (di tipo MFA) offre una forma di prevenzione e protezione completa. InWebo protegge l’ambiente digitale senza alcun vincolo hardware, grazie al suo funzionamento semplice e ai suoi token multipli, incluso il puro Browser Token. InWebo MFA combina due elementi chiave: elevata sicurezza, grazie alla combinazione unica di dynamic random keys e tecnologia HSM (Hardware Security Module), e una migliore esperienza di connessione dell’utente grazie ai suoi esclusivi token deviceless e passwordless. Accessibile come SaaS, ricca di connettori, API e SDK, la soluzione di autenticazione forte InWebo si adatta ai vincoli tecnici senza imporne di nuovi. I vettori di attacco sono in aumento: tutto il fronte del ransomware è in fermento e in crescita, persino un QRCode di un ristorante oggi potrebbe collaborare nel rubare credenziali. Non bastano prodotti singoli per arginare il fenomeno, ci vuole anche molta formazione e la formulazione di progetti integrati in modo coordinato. I system integrator non sempre riescono ad allestire velocemente soluzioni capaci di impedire agli attaccanti di sfruttare le falle, anche per la sempre maggiore precisione degli attacchi. È infatti molto importante capire Chi? Dove? e Quando? il più diffusamente possibile, soprattutto oggi in un contesto sempre più allargato di accessi. A questo proposito suggeriamo la scelta di un percorso semplice alla gestione delle identità, fatto anche di garanzie e di certificazioni, oltre che di buone tecnologie e di standard economici. È inoltre indispensabile un dialogo fruttuoso tra Cio e Ciso perché se non si parlano fra loro i problemi non si risolvono. Oggi poi, più il venditore sarà capace di interpretare le esigenze e stare al passo con le normative e più probabilità avrà di concludere un contratto, senza tralasciare la sicurezza, MFA come primo passo per sbarrare la porta ai criminali.

Massimo Alì, Country Territory Manager di Tenable

La piena e completa visibilità di asset, dati, esposizioni, privilegi, minacce è essenziale per difendersi adeguatamente da avversari e criminali informatici. Tuttavia, la piena visibilità delle risorse rimane uno degli obiettivi più elusi della sicurezza informatica. Man mano che più risorse, servizi e applicazioni risiedono su internet, man mano che le aziende migrano al cloud e adottano nuove tecnologie, la loro superficie di attacco aumenta, soprattutto per le applicazioni web. È essenziale per i team di sicurezza avere visibilità su dove è esposta l’organizzazione e in quale misura, consentendo loro di gestire efficacemente i rischi su base giornaliera. La piattaforma Tenable Cyber Exposure Management offre in modo univoco l’ampiezza della visibilità sul rischio informatico in tutti gli ambienti, comprese le risorse IT tradizionali, i servizi cloud, le tecnologie operative (OT), le moderne app web, i domini di directory attive e le superfici di attacco esterne e la profondità dell’analisi per misurare e comunicare il rischio informatico aziendale per prendere decisioni strategiche migliori.

La Visibilità è data dalla Gestione della superficie di attacco esterna alla quale si aggiunge una VM basata sul rischio.

In questi contesti può essere utile mettere in atto processi di comunicazione che spieghino cosa fare e cosa non fare. Una cosa che va sicuramente valutata è quella di creare ecosistemi per avere una visione più completa, che è prerogativa di tutti gli attori delle minacce. Tenable ha integrazioni con una varietà di partner tecnologici di sicurezza come parte del suo ecosistema di esposizione informatica. Tenable, insieme ai suoi partner, fornisce l’insieme più ricco al mondo di dati sull’esposizione informatica per analizzare, ottenere un contesto e intraprendere azioni decisive per comprendere meglio e ridurre il rischio informatico.

Dal canto suo, va valutata meglio la migrazione al cloud: velocità ed economicità sono indubbiamente vantaggi importanti ma non sempre i rischi vengono tenuti in adeguata considerazione. Questo è il motivo per cui la sicurezza dovrebbe essere coinvolta fin dall’inizio del processo di migrazione. Una tendenza preoccupante per la sicurezza informatica è la riduzione della finestra tra il momento in cui una vulnerabilità viene scoperta e quando viene sfruttata. All’inizio di questo mese, Tenable ha annunciato funzionalità avanzate per Tenable Cloud Security volte a risolvere questo problema. Le nuove funzionalità includono la valutazione senza agenti e i risultati in tempo reale, che aiutano le organizzazioni a correggere le vulnerabilità più rapidamente e anche a prevenire lo sfruttamento di minacce come zero-day.

Gli ambienti IT e OT stanno rapidamente convergendo. Le organizzazioni di infrastrutture industriali e critiche stanno adottando la tecnologia IoT a un ritmo senza precedenti. Sebbene queste nuove tecnologie producano efficienze estreme e risparmi sui costi, non sono prive di rischi. Senza la sicurezza OT completa, la superficie di attacco e i vettori di attacco aumenteranno, portando a rischi evitabili. La migliore difesa di un’organizzazione è un approccio proattivo alla sicurezza informatica. I criminali informatici non possono sfruttare le vulnerabilità se le organizzazioni valutano in modo proattivo i loro ambienti per individuare le vulnerabilità e le correggono.

Riccardo Belli, Senior Sales Engineer di Juniper

La migrazione di porzioni di workload e dati, anche critici, verso il cloud ibrido, pubblico e/o multicloud è un trend che ormai si può considerare uno standard de facto dell’evoluzione architetturale di qualsiasi organizzazione, accelerato anche dagli investimenti previsti dal piano del PNRR. In questo contesto, il vero cambio di mindset nella gestione della sicurezza risiede nella rimozione del concetto di perimetro e localizzazione del servizio e del dato. È necessario, infatti, un approccio di tipo intent based o application oriented networking, che consenta una gestione unificata ed efficace della cyber sicurezza. In questo senso, la mission di Juniper Networks è sviluppare soluzioni che siano in grado di armonizzare un ecosistema così complesso con una soluzione che sia in grado di fornire a tutti questi elementi di per sé disgiunti e diversi un unico control e management plan. Quello che è il vero beneficio di avere un livello di orchestrazione centralizzato è la possibilità di avere una visione end to end del servizio e dell’infrastruttura e di averne un controllo a livello di overlay. L’approccio di un’organizzazione su tematiche di cybersecurity dovrebbe, poi, muoversi dall’istintivo atteggiamento reattivo verso un approccio proattivo. I criminali informatici sono sempre più esperti e approfittano degli errori, nascondendo i loro movimenti e aggirando le tecnologie di rilevamento, soprattutto nel cloud, attraverso le applicazioni mobili e sulle reti. Le soluzioni di cybersecurity oggi devono essere predittive, proattive e preparate a prevedere e rispondere a qualsiasi incidente che potrebbe verificarsi.

Roberto Obialero, Ciso, Cybersecurity & Data Protection Advisor, Business Line Manager di CSA&C-S2E

Dal nostro punto di vista la sicurezza non viene ancora affrontata in modo corretto e adeguato mentre gli attacchi si moltiplicano e il ransomware nei suoi molteplici aspetti ha ormai assunto un ruolo dominante. Si fa ancora sicurezza soprattutto per una esigenza di compliance mentre è diventata un tema aziendale in grado di condizionare il business. Il ricorso alle assicurazioni e il trasferimento dei rischi propri ad altri non è un modo per risolvere il problema. Da qui anche la necessità di una migliore definizione dei ruoli dei Cio e dei Ciso, spesso non adeguatamente consultati quando si acquista un’applicazione o un sistema mentre la regola vorrebbe un loro coinvolgimento costante. Sul cloud è meglio prediligere un approccio orientato al principio ‘security by design’. Troppo spesso, dice, le aziende hanno intrapreso progetti di migrazione al cloud solo per ragioni economiche, preoccupandosi poco degli aspetti relativi alla responsabilità di assicurare la sicurezza. L’opzione cloud, sostiene, è importante ma andrebbe affrontata anche in una logica di sicurezza e di maggiore consapevolezza degli impatti organizzativi.

Massimo Giaimo, Team Leader Cyber Security di Würth Phoenix

L’offerta di Würth Phoenix è varia. L’azienda rende disponibili soluzioni di business software, come ERP e CRM basati su Microsoft Dynamics 365; soluzioni di business intelligence; soluzioni di IT System & Service management (in particolare IT monitoring, hardware e software); soluzioni di Salesforce automation e, dal 2021, servizi di cyber security.

In quest’ambito ambito, i nostri servizi non sono solo in grado di rilevare anomalie o attacchi, ma riguardano anche la social engineering. Le imprese sono sempre più consapevoli che l’anello debole della catena non è la macchina, il firewall o l’antivirus, ma l’essere umano. La consapevolezza delle persone è importante e non sempre il reparto IT è in grado di risolvere tutti i problemi di sicurezza. Proprio per supportare quanti lavorano in azienda proponiamo vari servizi. Da quest’anno rendiamo disponibile anche un Security Operation Center (SOC) in grado di monitorare la sicurezza 24 ore su 24 e di capire se, in un certo contesto, può verificarsi un attacco. Attenzione quindi all’importanza delle certificazioni e sulla scelta del provider. Per quanto riguarda i cloud provider è importante avere la possibilità di poterli testare prima di aderire, anche se vi è una certa resistenza da parte degli stessi. Per quanto riguarda invece la manutenzione, soprattutto in ambito industriale, sarebbe utile conoscere come avviene. Idem per l’analisi del traffico nell’infrastruttura OT e l’analisi dei protocolli in essere; mentre i rapporti tra OT e IoT sono da migliorare.

Valerio Tavazzi,  Country Sales Manager Italy di Imperva

Imperva è un fornitore leader di soluzioni per la sicurezza informatica nella protezione dei dati business-critical e delle applicazioni. Con le linee di prodotti di sicurezza delle applicazioni e dei dati, Imperva protegge le aziende dagli attacchi informatici in tutte le fasi della loro trasformazione digitale.

Il cloud è uno dei driver più importanti in questo momento che guida l’innovazione tecnologica nelle organizzazioni. È necessario però approcciarlo con strumenti che ne garantiscano la sicurezza, così come la capacità di rispondere alle esigenze dei clienti, in qualsiasi fase del processo di ‘go to cloud’ essi si trovino. Oggi sono cambiati, rispetto a due anni fa, i paradigmi del settore. Tutto è rimesso in discussione. Gli attacchi dalla Russia hanno reso ancora più minaccioso il quadro operativo e catalizzato l’attenzione delle aziende sugli investimenti in sicurezza informatica, nonostante lo scenario economico internazionale non porti grosse certezze. Il traffico internet sta crescendo a ritmi alti, anche come conseguenza delle diverse modalità operative a cui i vari lockdown ci hanno costretto. Questo ha portato a un ampliamento delle potenziali superfici di attacco. Con il traffico internet è aumentato anche il volume delle minacce ‘automatizzate’, come i bot. Oltre un quarto del traffico Internet è dovuto ai bot, piccole parti di codice che svolgono compiti ripetititvi per poter liberare il personale umano da queste attività di poco valore. Oggi la maggioranza dei bot è creata con lo specifico intento di attaccare le aziende e i loro clienti, cercando di sottrarre credenziali di accesso o carpire informazioni critiche dai siti per ottenere vantaggi competitivi. È pertanto fondamentale che la protezione delle applicazioni sia in grado di fornire adeguata copertura anche verso queste minacce.

Umberto Buonincontro, Sales Area Manager di Bludis

Bludis è un distributore a valore aggiunto che dedica una parte fondamentale del suo lavoro al comparto cybersecurity. Proprio per questo è perfettamente consapevole che, nello scenario aziendale odierno, la sicurezza informatica ha raggiunto un’ampiezza difficile da controllare manualmente e che l’analisi dell’intera infrastruttura aziendale è diventata complessa e costosa. Fino a oggi analisi simili erano demandate a società esterne che, tramite uno o più ethical hacker, analizzavano l’infrastruttura per rilevare le criticità esistenti nel preciso istante dell’attività, restituendo dunque una sola fotografia del momento. La nostra soluzione Pentera è una piattaforma di penetration testing che sferra i più sofisticati attacchi hacker in maniera automatizzata, permettendo la scoperta di vulnerability realmente esistenti poiché capace di eseguire veri ethical exploit e non semplici simulazioni.

In quest’ottica, è facile vedere come le soluzioni del futuro, saranno sempre più orientate a proteggere le organizzazioni da attacchi, esterni, ma non solo. Ne è un esempio OKTA, leader mondiale nell’identity access management, che nata nel cloud e basata sul framework zerotrust, è un vero e proprio gestore di tutti gli account dei dipendenti e dei clienti di un’azienda, consentendo gli accessi ai vari servizi, solo dopo accurati controlli di sicurezza, che nonostante la loro capillarità, non pregiudicano affatto la semplicità di utilizzo per l’utente finale.

Carmen Palumbo, Country Sales Manager di Withsecure

Withsecure è una azienda finlandese che vende soluzioni solo software, presente sul mercato della sicurezza da oltre 30 anni. WithSecure (l’ex F-Secure Business) è focalizzatata sul mercato b2b e sui nuovi fronti innovativi della cybersecurity, avendo come paradigma di riferimento il cloud computing e il modello as-a-service, con una spiccata propensione all’erogazione di servizi attraverso un approccio sempre più consulenziale e collaborativo per abilitare logiche di ecosistema.

“In un mondo complesso come quello odierno, è la visione di Carmen Palumbo, il passaggio al cloud da ambienti legacy va accompagnato in modo adeguiato, anche perchè la carenza di competenze rappresenta un elemento di forte criticità, la cybersecurity deve essere fatta necessariamente in partnership per fornire il più alto livello di sicurezza possibile, facendo leva su tecnologie di valore, garantite dalla presenza di WithSecure in maniera molto qualificata e ‘prepotente’ in questo mercato, ma anche affidandosi a expertise esterne per riuscire ad affiancare non solo le aziende small e medium ma anche e, soprattutto, quelle di taglio enterprise nei loro viaggi di trasformazione in sicurezza”.

Palumbo è inoltre convinta che l’anello debole è il fattore umano e quindi suggerisce approcci improntati alla formazione, non legata al prodotto ma di consapevolezza sui rischi. Una azione che dovrebbe essere corale da parte del cartello dei vendor. Mentre oggi prevale ancora l’atteggiamenmto a cercare il rimedio all’ultimo momento. In uno scenario dove il cloud è parte fondamentale della trasformazione i servizi diventano sempre più importanti, soprattutto quelli cloud nativi. “Ecco perché al nostro interno la formazione è oggi un must che coinvolge anche i nostri partner, per metterli in condizione di parlare di cybersicurezza con cognizione di causa. Vogliamo una responsabilità condivisa a 360 gradi. Il motivo che ci ha spinti ad andare anche nelle scuole a parlare di security”.

Angelo Aloia, Responsabile Prodotti e Marketing di Relatech

Relatech, Digital Enabler Solution Know-How (DESK) Company e PMI innovativa nata nel 2001, è quotata su Euronext Growth Milan di Borsa Italiana dal 2019. Relatech è presente sul mercato con servizi e soluzioni digitali innovative dedicate alla digital transformation delle imprese. In questi anni ha registrato una crescita costante, sia per linee interne che per linee esterne anche tramite operazioni di acquisizione. Da parecchi anni si occupa anche di sicurezza.

Oggi siamo un Gruppo composto da 11 aziende, ciascuna con una sua specializzazione nelle tecnologie di frontiera Digital Enabler, e ognuna opera secondo un approccio di offerta integrata al fine di rafforzare ulteriormente la piattaforma Digital Cloud RePlatform, cuore della strategia commerciale di Gruppo Relatech. Cioè le aziende non operano in modo autonomo, ma secondo una strategia comune. Inoltre, facciamo molta ricerca e sviluppo, interagendo con le Università e il Cnr. Per esempio, sul tema della cybersecurity, nel nostro laboratorio di R&D conduciamo da anni attività di ricerca in collaborazione con l’Università della Calabria e di Verona su tematiche di sicurezza. Per potenziare la nostra offerta, nel 2020 abbiamo acquisito Mediatech che oggi rappresenta il centro di competenza del gruppo in tema di cybersecurity e grazie alla quale abbiamo lanciato ad inizio di quest’anno il servizio di Security Operation Center (SOC) attivo presso una sede di proprietà attrezzata con strumentazione e software di ultima generazione e gestito direttamente tramite personale certificato interno. Inoltre, nel maggio scorso abbiamo siglato un accordo per l’acquisizione di Venticento, società specializzata nell’offerta di soluzioni di cybersecurity e cloud per il mercato enterprise, con l’obiettivo di potenziare ulteriormente i nostri servizi nel mondo sicurezza. La pandemia ha lasciato in eredità una cosa importante: gli attacchi non vengono più portati solo per ottenere soldi, ma anche per uno scopo puramente distruttivo. Ciò richiede un maggiore sforzo ancora sul fronte della sicurezza. Per di più in un momento in cui l’avvento del cloud sta cambiando le regole del gioco, obbligando anche OT e IT a parlarsi di più. La sicurezza può fare da tramite. Si tratta di far comprendere a fondo la situazione in cui ci troviamo. “Noi siamo in grado – aggiunge Luigi Marafante, account maanger di Mediatech – con i nostri data center e il nostro SOC, di costruire un valido sistema di prevenzione e intervento H24, tenendo presente che la gran parte degli attacchi avviene di notte e nei week end . A questo scopo utilizziamo sistemi evoluti quali SIEM e SOAR in grado di rilevare e correlare eventi anche apparentemente poco significativi ma che congiuntamente possono indicare il rischio di un possibile attacco. Abbiamo anche attivato un gruppo di talenti che analizza costantemente ciò che avviene nel mondo cyber per essere sempre pronti a prevenire e intervenire su nuove tipologie di attacco, e far evolvere al meglio le nostre soluzioni”.

Olga Orlova, Head of Marketing di Sababa Security

Il messaggio principale che emerge dai recenti attacchi ransomware è che questo può raggiungere un’azienda di qualsiasi dimensione e livello di maturità. I criminali informatici possono impiegare diverse settimane per creare un messaggio ad hoc al fine di introdursi in una rete aziendale o, in alternativa, anche senza particolari competenze tecniche, possono acquistare un pacchetto ransomware-as-a-service (RaaS) per poche centinaia di euro sulla Darknet. Ciò che le aziende stanno pian piano imparando è che il focus delle strategie di sicurezza si è spostato dalla prevenzione delle minacce all’ottimizzazione del loro rilevamento e della risposta. Ciò non implica un semplice passaggio da un AV a un EDR, ma richiede una profonda comprensione delle fasi della ‘kill chain’ in un attacco ransomware. Affidarsi a tecnologie cloud è vantaggioso perché sono convenienti, accessibili e richiedono bassi investimenti infrastrutturali. C’è naturalmente la necessità di controllare queste risorse cloud. In che modo? Per esempio, con soluzioni PAM che definiscono chi può accedere a cosa e fino a che punto; oppure attraverso il monitoraggio della sicurezza, con soluzioni SIEM-free come l’XDR o con un SOC basato su SIEM. In questo caso, i log cloud possono integrarsi al monitoraggio dei log di altre soluzioni e rendere il quadro generale della sicurezza più completo e istruttivo per le aziende

Dal canto suo l’ethical hacking è ampiamente diffuso, anche a livello nazionale e internazionale. Le società di telecomunicazioni controllano le loro infrastrutture di rete e di comunicazione. Le banche e le aziende di retail testano le loro applicazioni mobili per l’online banking e l’e-commerce. Gli OEM e i loro fornitori controllano i veicoli connessi e i loro sistemi, dato che da luglio 2022 è obbligatoria per tutti i nuovi modelli di veicoli la conformità con le norme UNECE 155-156.

Cosa fare quando si scelgono i servizi di ethical hacking? Ecco le indicazioni: mettere in atto unna combinazione di azioni manuali e automatizzate, le vulnerabilità scoperte devono essere verificate manualmente per essere sicuri che rappresentino rischi concreti per l’azienda; mettere in campo competenze verticali, soprattutto quando si testano sistemi industriali, automobilistici, di telecomunicazione, bancari e altri sistemi critici; ‘etico’ non significa anonimo, l’assessment tecnico richiede esperienza, quindi prestate attenzione al CV del pentester, ai risultati ottenuti in precedenza e alla sua reputazione all’interno della comunità di cybersecurity.

Marco Iannucci, CEO di BooleBox

Accrescere i livelli di cybersecurity in azienda è di vitale importanza, ed è semplice se ci si affida alla crittografia, in particolare per la protezione dai ransomware. Si tratta di un sistema che permette di convertire dati e documenti in un formato codificato con un’estensione che la maggior parte dei ransomware non riconosce e quindi non colpisce: per poterli poi rendere di nuovo fruibili, sarà necessario decriptarli, rendendoli, così, di nuovo consultabili e modificabili solo dalle persone autorizzate. BooleBox sviluppa una strategia di questo tipo, traendo spunto anche dagli sviluppi in ambito militare. Il Ciso è oggi un personaggio importante in seguito alla diffusione del ransomware. Abbiamo rilevato, soprattutto da parte delle PMI, un livello di sensibilità verso questi temi ancora moderato. C’è interesse ma non si spinge abbastanza sulla leva degli investimenti. Da un lato per una questione culturale, dall’altro per la mancanza di competenze. Uno dei risultati è che un programmatore di 20 anni guadagna come un dipendente dopo 30 anni di lavoro. Cosa fare? Una maggiore cultura del dato, ma anche il percorso culturale va rafforzato, con il coinvolgimento possibilmente delle istituzioni, da cui sarebbe auspicabile un maggiore contributo tangibile. Le minacce si stanno specializzando. Vi sono, per esempio, ransomware, che agiscono in maniera simile ai trojan, scalfendo il sistema operativo – per esempio, sfruttando una vulnerabilità di rete o entrando in un file scaricato in precedenza – e criptando i file aziendali presenti nell’hard disk. Con quale obiettivo? Semplice: chiedere al proprietario dei file un riscatto per far tornare leggibili i documenti criptati (per esempio: preventivi, immagini, video, forecast, elenchi clienti, informazioni importanti e qualsiasi altro tipo di documenti riservati). Per contrastare le minacce, infine, auspichiamo un maggiore coinvolgimento di tutti i soggetti interessati, soprattutto oggi con la diffusione del cloud.

William Udovich, Regional Vice President Semea di Cybereason

Cybereason ha un approccio incentrato sulle operazioni invece che sugli allarmi. Offre approfondimenti istantanei pienamente contestualizzati e correlati a ogni MalOp (malicious operation, ndr), descrivendo nei dettagli l’evoluzione dell’attacco, dalla causa principale a ogni utente e dispositivo coinvolto, riducendo notevolmente i tempi di indagine e di correzione. Il motore di rilevamento Cybereason MalOpTM sfrutta threat intelligence e behavioral analytics guidati da intelligenza artificiale per fornire ai defender un quadro complessivo degli attacchi, dalla causa iniziale alla visibilità multi-livello in tempo reale, fornendo ai team di security le informazioni necessarie per identificare, comprendere e neutralizzare gli attacchi prima che si trasformino in incidenti gravi.

Gli attaccanti si sono molto evoluti negli ultimi tempi, sospinti dai facili guadagni, riuscendo il più delle volte a individuare i punti di ingresso nei sistemi aziendali. Ciò richiede un potenziamento della prevenzione e delle difese, anche sotto forma di azioni integrate e con ricorso a forme di automazione mirate, allo scopo di ridurre il tempo intercorrente tra la rilevazione della vulnerabilità e quello della sua risoluzione. Il tempo dormiente di norma è di nove mesi. Il Ciso è oggi in difficoltà a elaborare valide risposte nei brevi tempi richiesti. A lui si chiede un cambiamento di approccio, anche in un’ottica di velocizzazione e attenzionabilità delle situazioni. Strumenti in grado di aiutarlo per fortuna non mancano. C’è ovviamente la necessità di nuovi investimenti, stante la complessità della migrazione al cloud. Le aziende utenti devono guardare fuori dal solito seminato perché ci sono startup che sviluppano soluzioni di sicurezza pensate in una logica cloud, soluzioni magari settorializzate ma efficaci.

(continua)


Gian Carlo Lanzetti

Una esperienza di oltre 30 anni nel marketing strategico e come analista di mercato in una grande corporation dell’ICT. Esperienza completata come freelance di lunga data nei settori delle TLC, dell’IT, dell’elettronica, della logistica, delle tecnologie alternative e della finanza. Con una consolidata collaborazione con tutte le principali testate ...

Office Automation è il periodico di comunicazione, edito da Soiel International in versione cartacea e on-line, dedicato ai temi dell’ICT e delle soluzioni per il digitale.


Soiel International, edita le riviste

Officelayout 198

Officelayout

Progettare arredare gestire lo spazio ufficio
Luglio-Settembre
N. 198

Abbonati
Innovazione.PA n. 57

innovazione.PA

La Pubblica Amministrazione digitale
Settembre-Ottobre
N. 57

Abbonati
Executive.IT n.5 2024

Executive.IT

Da Gartner strategie per il management d'impresa
Settembre-Ottobre
N. 5

Abbonati