Enterprise cybersecurity è tutto ciò che protegge i dati, le risorse, gli utenti e i clienti di un’azienda dagli attacchi informatici. Chiedersi come funzionerà quest’anno è lecito e doveroso, considerando come la quota di attacchi informatici degni di nota continui a crescere in modo scoraggiante.
I team di sicurezza hanno affrontato sfide senza precedenti nel 2022, ma per dire che nel 2023 sarà più o meno lo stesso non serve una sfera di cristallo.
Semmai, il ritmo e la portata con cui le minacce e le sfide si sommano non faranno che espandere il panorama e la velocità delle minacce che minano la cybersecurity aziendale. Il che significa che i team di sicurezza lavoreranno ancora più alacremente per proteggere reti, sistemi, applicazioni e dati. Farlo nel modo migliore significa conoscere non solo l’evoluzione delle tipologie di attacco ma anche quali tra le nuove tecnologie adottate in azienda portino con sé vulnerabilità che devono essere affrontate per tempo.
Enterprise Cybersecurity 2023: sfide ed errori da evitare
Ecco uno sguardo alle sette principali tendenze e sfide di cui i team e le organizzazioni di sicurezza devono essere più attenti nel corso del 2023.
1. Ransomware
La proiezione evolutiva del fenomeno ransomware evidenzia qual è il nemico numero uno della enterprise cybersecurity. Se il 2020 sarà ricordato come l’anno del ransomware, con attacchi aumentati del 148% durante la pandemia di COVID-19, anche il 2021 non è stato da meno. Per il secondo anno consecutivo, l’IBM Security X-Force Threat Intelligence Index ha rilevato che gli attacchi ransomware erano il tipo più importante di attacco informatico, rappresentando il 23% degli attacchi nel 2020 e il 21% degli attacchi nel 2021.
Nel 2022 è vero che il numero di attacchi è diminuito ma con il crescere degli attacchi a doppia estorsione e del Ransomware As a Service, presidiare l’enterprise cybersecurity impone alle aziende di sapere cosa sono e come funzionano per istituire le giuste strategie di prevenzione e di rimendio. Nel dettaglio:
- Il ransomware a doppia estorsione crittografa i file ed esporta i dati per ricattare le vittime e indurle a pagare un riscatto. Con il ransomware a doppia estorsione, gli aggressori minacciano di pubblicare i dati rubati se le loro richieste non vengono soddisfatte. Ciò significa che, anche se una vittima può ripristinare i propri dati dal backup, l’aggressore ha ancora potere su di essi. Dal momento che gli aggressori ormai si sono garantiti l’accesso ai dati che hanno rubato, il pagamento del riscatto non garantisce la loro protezione.
- Il Ransomware As a Service (RaaS) coinvolge gli autori che noleggiamo l’accesso a un ceppo di ransomware (creato da un qualunque cyber-autore), che lo offre in modalità pay per use. I creatori di RaaS caricano i loro ransomware su siti dark net e consentono ai criminali di acquistarli come abbonamento, proprio come un qualsiasi altro modello SaaS. Le tariffe dipendono dalla complessità e dalle caratteristiche del ransomware. In genere, è prevista anche una quota di iscrizione per diventare un membro. Una volta che i membri infettano i computer e i dispostivi IoT e riscuotono i pagamenti del riscatto, una parte del riscatto viene pagata al creatore di RaaS in base a termini precedentemente concordati.
2. Sicurezza dell’IoT
I dispositivi connessi che rientrano sotto il grande cappello della IoT minano l’enterprise cybersecurity per due motivi principali: espandono notevolmente la superficie di attacco e molti di essi non sono progettati pensando a una loro sicurezza nativa. Il che non significa che bisogna rinunciare alle grandissime opportunità tecnologiche legate a una dimensione connessa, comunicante e intelligente delle cose. Che le aziende debbano smartificare con attenzione non è una novità: già nel 2016 gli attacchi botnet Mirai hanno approfittato di una comune trappola per la sicurezza dell’IoT: le password hardcoded. Il successivo rilascio del codice sorgente di Mirai ha portato a molteplici varianti che ancora incombono oggi.
La legislazione è in prima linea nel mitigare tali problemi prevenibili e i conseguenti attacchi. L’ IoT Cybersecurity Improvement Act del 2020 stabilisce le linee guida di sicurezza per tutti i dispositivi IoT utilizzati nelle agenzie governative. Nel dicembre 2022, la Casa Bianca ha annunciato gli sforzi per proteggere i dispositivi IoT dei consumatori dalle minacce informatiche, con programma nazionale di etichettatura della sicurezza informatica per l’IoT che dovrebbe essere lanciato nella primavera del 2023. Anche altri Paesi hanno una legislazione sulla sicurezza dell’IoT. Ad esempio, il Product Security and Telecommunications Infrastructure Act 2022 del Regno Unito, che ha ricevuto il consenso reale il 6 dicembre 2022, richiederà misure di sicurezza su tutti i dispositivi IoT, ad esempio vietando l’uso di password predefinite e garantendo che il produttore mantenga un programma di divulgazione delle vulnerabilità.
3. Intelligenza Artificiale ed enterprise cybersecurity
Si prevede che l’uso dell’IA da parte dei consumatori e delle imprese crescerà ancora di più nel 2023. Anche i team di sicurezza possono incorporare l’Intelligenza Artificiale nel loro lavoro quotidiano, ad esempio per aumentare gli analisti del SOC, potenziando così il rilevamento e la mitigazione delle minacce ed eseguire la gestione e il rilevamento delle frodi.
Tra le cattive notizie c’è che Machine Learning e l’IA sono diventati anche il braccio armato del cybercrime. Gli attacchi abilitati all’intelligenza artificiale come, ad esempio, i deepfake, stanno caratterizzando sempre più gli attacchi legati al social engineering.
Il malware basato sull’Intelligenza Artificiale, potenziato dall’apprendimento automatico, lo rende capace di pensare da solo. In sintesi, gli aggressori possono utilizzare il Machine Learning in diversi modi.
Il primo, e il più semplice, è costruire i propri ambienti ML per modellare le proprie pratiche di malware e di attacco, potendo determinare i tipi di eventi e comportamenti ricercati dai difensori. Chi si occupa di enterprise cybersecurity deve avere contezza di come il cybercrime sia in grado di:
- Studiare i tool e le piattaforme di sicurezza potenziate dall’IA utilizzate dalle aziende. Eseguendo malware con algoritmi finalizzati a testare l’efficacia di queste soluzioni, i cybercriminali sono in grado di avvelenare i modelli con dati imprecisi e mappare l’uso legittimo per distorcere i risultati delle elaborazioni, per migliorare così il successo dei loro attacchi.
- Compromettere gli ambienti aziendali. I modelli di Machine Learning e AI si basano su campioni di dati correttamente etichettati per creare profili di rilevamento accurati e ripetibili. Introducendo file innocui che sembrano simili a malware o creando modelli di comportamento che si rivelano falsi positivi, gli aggressori possono indurre i modelli di Intelligenza Artificiale a credere che i comportamenti di attacco non siano dannosi. Gli aggressori possono anche avvelenare i modelli AI introducendo file dannosi che i corsi di formazione AI hanno etichettato come sicuri.
- Mappare i modelli di Intelligenza Artificiale esistenti e in via di sviluppo utilizzati dai fornitori di sicurezza informatica e dai team operativi per imparare come funzionano e cosa fanno. Questo permetterà loro di intaccare l’enterprise cybersecurity, interrompendo in modo attivo le operazioni e i modelli di machine learning durante i loro cicli. Ciò può consentire agli hacker di influenzare il modello ingannando il sistema per favorire gli aggressori e le loro tattiche, ma può anche consentire loro di eludere del tutto i modelli noti modificando sottilmente i dati per evitare il rilevamento basato su modelli riconosciuti.
4. Budget ridotti e cybersecurity
Gli aumenti dell’inflazione, dei tassi di interesse e del prodotto interno lordo fanno prevedere in molti un’inevitabile recessione nel 2023. In un regime di crisi permanente, il rischio di tagli al budget e di licenziamenti del personale sono alti. Considerato come la sicurezza è storicamente vista come un centro di costo dal momento che il ROI non è facilmente calcolabile, i CISO e i team di sicurezza devono pianificare attentamente investimenti e strategie per l’enterprise cybersecurity, facendo di più con meno e senza esaurirsi.
5. Il divario di competenze e problemi di personale
Il settore della sicurezza soffre anche di una grande carenza di competenze. Gli analisti, report dopo report, evidenziano come siano necessari più dipendenti aziendali interni dedicati alla sicurezza. Tagli al budget e i licenziamenti possono equivalere a un minor numero di membri del personale in un team che deve portare a termine la stessa quantità di lavoro, qualunque cosa accada.
Secondo l’(ISC) 2 Cybersecurity Workforce Study 2022, sebbene la forza lavoro della sicurezza informatica sia la più numerosa mai registrata, il divario della cybersecurity mondiale aumenta di anno in anno. Si stima che l’enterprise cybersecurity attualmente occupi 4,7 MLN di persone, con un aumento dell’11,1% rispetto al 2021. Il problema è che oggi per proteggere e difendere adeguatamente le organizzazioni ne servono altri 3,4 MLN.
Tuttavia, l’assunzione ma anche la retention di dipendenti con le competenze necessarie rimangono una sfida. Gli esperti affermano che le organizzazioni del settore pubblico e privato devono essere più flessibili e creative nei loro criteri di assunzione anche perché nessuno può permettersi di aspettare che i candidati arrivino da soli. È importante che le HR sappiamo cercare attivamente, internamente ed esternamente, concentrandosi sul temperamento, l’attitudine ma anche abilità che vanno ben oltre l’istruzione e l’esperienza tradizionali.
Molti dei migliori operatori di sicurezza, infatti, sono autodidatti e caratterizzati non solo da una forte propensione all’apprendimento ma anche da una grande tenacia nel combattere le minacce emergenti che sono attributi chiave non incorporati in una certificazione o in un diploma.
6. Phishing
Il phishing è una sfida senza fine affrontata da organizzazioni di ogni forma e dimensione: nessuna azienda o dipendente è immune agli attacchi. Secondo il “2021 Verizon Data Breach Investigations Report”, il 25% di tutte le violazioni riguardava una forma di phishing o di ingegneria sociale. Questi attacchi, che coinvolgono attori malintenzionati che inducono con l’inganno i dipendenti a rivelare password, numeri di carte di credito e altri dati sensibili, si presentano in molti modi, tra cui phishing via e-mail, spear phishing, compromissione di e-mail aziendali, whaling attack, vishing e phishing basato su immagini.
7. Attacchi alla supply chain e sicurezza della supply chain del software
Si può progettare la migliore enterprise cybersecurity del mondo il che significa considerare anche i fornitori di terze parti e i loro relativi fornitori. Sfortunatamente, molte organizzazioni non sono sicure dei componenti del proprio software, per non parlare dei componenti di altri a cui si connette il loro software. Se un anello della catena di fornitura del software è vulnerabile, tutti sono a rischio. La due diligence nel controllare le terze parti infatti, è un asset imprescindibile per la sicurezza aziendale.
Gli attacchi informatici a livello hardware e a livello software alla supply chain possono arrivare a devastare un’azienda. Ad esempio, l’attacco a SolarWinds segnalato nel dicembre 2020 ha coinvolto attori di stati-nazione che usano il sistema di monitoraggio delle prestazioni IT omonimo. Attraverso la backdoor di Sunburst, gi attaccanti sono stati in grado di ottenere l’accesso a più di 30mila clienti e partner di SolarWinds, inclusi enti governativi, come i Dipartimenti del Tesoro, del Commercio e della Sicurezza Nazionale degli Stati Uniti, nonché entità private, come Intel, VMware e Cisco.
Quando si parla di enterprise cybersecurity, dunque , sempre e comunque è importante sapere quali software e componenti software utilizzano terze parti e fornitori di servizi, come evidenziato durante l’exploit Log4Shell del 2021. È bastato un difetto nella libreria Apache Log4j su Java a consentire ai malintenzionati di lanciare attacchi di esecuzione di codice in modalità remota e potenzialmente assumere il controllo dei sistemi bersaglio. Qualsiasi software che utilizzava la libreria vulnerabile è stato oggetto di attacco. Mentre le aziende potevano aggiornare rapidamente la versione della libreria che utilizzavano, le librerie utilizzate dai loro fornitori e dalla relativa supply chain dei loro partner dovevano essere aggiornate per evitare di essere vulnerabili agli attacchi. Seguire una corretta gestione delle patch è una chiave per garantire che qualsiasi software sia sicuro e aggiornato ma anche l’utilizzo di distinte base software (SBOM) e la loro richiesta a terze parti sono importanti per sapere se i componenti nel software dei partner sono sicuri.
I punti di attenzione della enterprise cybersecurity
Concludendo, gli attacchi alla supply chain e la sicurezza della supply chain del software, la sicurezza dell’IoT, l’Intelligenza Artificiale, il ransomware, i budget e i problemi di personale e il phishing sono tutt’altro che le uniche sfide alla sicurezza delle informazioni che le aziende dovranno affrontare nel 2023. Per prevenire i rischi della enterprise cybersecurity, nel corso dell’anno i manager non devono perdere di vista:
La sicurezza nel cloud
Secondo Hornetsecurity, il 93% delle aziende sarà nel cloud entro cinque anni. Man mano che sempre più aziende spostano dati e applicazioni nel cloud, la sicurezza e la mitigazione degli attacchi basati sul cloud stanno diventando più importanti che mai.
Sviluppo software sicuro
Sebbene la sicurezza sia spesso vista come un inibitore dello sviluppo del software, è necessario investire tempo e denaro per sviluppare software in modo sicuro e prevenire le vulnerabilità che potrebbero portare a violazioni.
Sicurezza del lavoro remoto e ibrido
Sono ormai lustri che si parla di azienda estesa e di azienda liquida. Ma, da dopo la pandemia di COVID-19, tra smart working e remote working, il lavoro Agile ha rivoluzionato definitivamente sia il concetto di posto di lavoro che il modo in cui questo viene protetto. Regolamentare i dispositivi che si connettono ai sistemi aziendali non basta. È fondamentale presidiare le reti, l’evoluzione normativa e gli utenti, favorendo lo sviluppo di una nuova cultura aziendale della sicurezza.
L’importanza della formazione
Uno degli aforismi più noti quando si cita l’enterprise cybersecurity è che i rischi più grandi si generano nello spazio che c’è tra una tastiera e una sedia. Il che significa che sono le persone con i loro comportamenti (il più delle volte inconsapevoli) a fungere da porta d’ingresso al cybercrime. CISO lungimiranti e organizzazioni più all’avanguardia a questo proposito stanno aggiornando i loro programmi di sensibilizzazione di tutte le risorse in merito alle questioni relative alla sicurezza informatica. allontanandosi da progetti obsoleti e statici.
Invece di limitarsi a trasmettere regole e regolamenti ai lavoratori, il modello formativo di riferimento è orientato all’adozione di approcci più informativi con lezioni interattive e corsi su misura (persino personalizzati) finalizzati a promuovere con regolarità una cultura in cui la sicurezza permea le attività quotidiane e diventa automatica.
La cultura della sicurezza, infatti, è e deve essere un processo continuo. L’importante è che le organizzazioni sappiano raccontare ai propri utenti cosa cambia e cosa devono fare, tenendo bene a mente l’evoluzione delle minacce.
