Quali sono i cybersecurity trend di cui tener conto negli investimenti a tutela delle infrastrutture da cui oggi dipendono la continuità del business e parte del valore aziendale? Per gli esperti ci sono pochi dubbi: siamo in presenza di un aumento del numero e della varietà degli attacchi che approfittano delle aperture del perimetro di rete ai client remoti e servizi in cloud. La minaccia percepita numero uno è il ransomware, che causa danni non solo con il sequestro crittografico dei dati e le relative richieste di riscatto, ma anche con la sottrazione e la minaccia della divulgazione dei dati.
Tutto questo porta alla necessità di aggiornare la security con le più moderne strategie di difesa, adatte a infrastrutture aziendali distribuite con un perimetro aperto un numero crescente di utenti e di servizi remoti con cui è necessario avere a che fare. I cybersecurity trend suggeriscono la necessità di ridurre le vulnerabilità agli attacchi di social engineering, rafforzando la solidità dei processi, facendo formazione, aumentando la consapevolezza delle persone per l’uso in sicurezza dei sistemi digitali. Vediamo più in dettaglio cosa fare.
La difesa dal ransomware, in prima fila tra i cybersecurity trend
Tra i cybersecurity trend, il tema montante è il contrasto ai ransomware. “Un po’ alla volta, all’interno delle organizzazioni, abbiamo visto crescere il timore per i ransomware – spiega Giulio Patisso, co-fondatore di Thux e Direttore della Unit Systems, realtà con 20 anni d’esperienza nella security – motivate dai pesanti danni subìti da aziende ed enti colpiti anche in Italia. Danni che potrebbero essere ben maggiori se gli attacchi continuamente lanciati riuscissero ad andare a buon fine, come è nell’intenzione dei cyber criminali”.
Gli attacchi ransomware sono all’ordine del giorno: “Lo vediamo nel monitoraggio sulle reti dei nostri clienti, dove gli attacchi vengono bloccati attraverso i controlli efficaci a livello della rete e degli endpoint, oltre che dall’utilizzo delle capacità di segregazione. Ci è comunque capitato d’essere contattati con urgenza da realtà che avevano perso tutti i dati o pagato il riscatto, ma comunque impossibilitate a ripartire senza la certezza di aver eliminato le falle in grado di esporle a ulteriori attacchi e minacce”.
I riscatti pagati per ottenere le chiavi di recupero dei dati non sono solo un danno finanziario: “Alimentano la spirale del cybercrime, permettono ai cyber criminali di ottenere informazioni da impiegare in altre frodi a danno sia della stessa realtà colpita sia di clienti e partner nella supply chain” sottolinea Patisso.
Come affrontare i cambiamenti del perimetro di rete
Tra i cybersecurity trend è significativa l’adozione di nuove strategie per superare i limiti delle difese tradizionali, basate su componenti quali firewall, antivirus e VPN. “Un tema che è esploso con il passaggio ai servizi in cloud e con la diffusione del lavoro remoto durante la pandemia – spiega Patisso – mettendo alla corda le vecchie protezioni centrate sul perimetro della LAN”. Il cambiamento richiede la revisione dei sistemi di monitoraggio e difesa esistenti con l’adozione di strumenti e pratiche in linea con le moderne strategie di difesa.
Questo spiega l’interesse montante per l’autenticazione multifattoriale per la sostituzione delle fragili protezioni basate su password, vulnerabili al phishing e ad altre azioni di social engineering. “Strumenti funzionali all’implementare di una moderna strategia di difesa zero-trust, ovvero senza un perimetro dotato di sicurezza differente tra interno ed esterno, ma con più livelli di protezione applicati ad ogni macchina o utente che accede ai servizi e dati aziendali”.
Sempre più aziende adottano tecnologie EDR e XDR (Endpoint Detection & Response) per la tutela dei dispositivi connessi, quindi IDS (Intrusion Detection System) e di SIEM (Security Information & Event Management) per controllo attivo e automazione delle difese. Restano importanti, soprattutto nella gestione del ripristino post attacco backup e disaster recovery.
L’estensione del monitoraggio al livello delle applicazioni e l’integrazione con funzionalità di analisi comportamentali supportate da ML/AI completano le linee di difesa contro le minacce sconosciute. A cominciare da quelle che gli esperti si attendono con l’utilizzo, da parte dei cyber criminali, degli strumenti dell’AI generativa (es. ChatGPT) sia per scrivere e-mail fasulle più efficaci, sia per generare nuove varianti ai codici malware esistenti in grado di attraversare le difese.
Avvalersi correttamente dell’esperienza per migliorare la cybersecurity
Implementare logiche di sicurezza zero trust o di multifactor security per rafforzare la difesa di servizi e applicazioni aziendali richiede molto lavoro ed esperienza. “Non è facile far digerire agli utenti gli oneri dell’autenticazione multipla” commenta Patisso. “Se l’approccio è sbagliato, le persone si precipitano dai loro dirigenti a chiedere deroghe che finiscono per vanificare gli obiettivi”.
Per rendere l’azienda più sicura serve portare buone pratiche nella cultura aziendale, aiutare le persone dell’azienda a vedere nelle procedure un valore anziché ostacolo al lavoro di tutti i giorni. “Un aspetto che ha talvolta comportato l’interruzione della nostra partnership nella security a clienti che opponevano resistenza ai nostri inviti per modificare procedure interne ad alto rischio”.
In qualche caso, il miglioramento della sicurezza è ostacolato da false convinzioni, acquisti effettuati o dalla commissione dei servizi senza una visione adeguata del contesto. “Molte piccole realtà aziendali hanno la falsa convinzione di poter risolvere tutti i problemi di sicurezza usando applicazioni in cloud. In altri casi si commissionano servizi puntuali, come il vulnerability assesment e la remediation sul codice, senza curarsi degli ambienti d’esecuzione. La cybersecurity non si esaurisce con singole attività, richiede continuità e competenza per utilizzare al meglio i budget disponibili” spiega Patisso.
Al di là delle scelte efficaci, i trend di cybersecurity suggeriscono di prestare una maggiore attenzione alla componente umana della security. “Negli assesment iniziali troviamo un gran numero di persone che si comportano in modo ingenuo nell’uso delle risorse digitali aziendali, capaci di fare errori che non farebbero in situazioni speculari del mondo fisico. Anche per questo è importante avere contezza dei rischi, avere un partner capace di programmare e adattare su misura tutte le azioni, compresa la formazione sia degli utenti sia delle persone che si occupano dell’IT e della sicurezza aziendali” conclude.
