Una “missione possibile” in cui l’innovazione tecnologica si sposa con la necessità di impiegare professionalità per garantire la protezione dei sistemi digitali dagli attacchi dei pirati informatici. Sono questi i temi emersi nella tavola rotonda organizzata da ZeroUno in partnership con DI.GI che si è tenuta lo scorso 8 luglio tramite web. Un confronto ricco e articolato, che ha visto partecipare una decina di professionisti del settore che operano in varie realtà produttive italiane.
Una priorità per tutte le aziende
Il primo elemento certo è che il tempo in cui la cyber security poteva essere considerata “figlia di un dio minore” sono finiti. A consentire questa “scalata” nella classifica delle priorità delle aziende sono numerosi fattori. Il primo è il processo di digitalizzazione che ha interessato tutte le realtà produttive, per le quali gli strumenti digitali non sono più un’infrastruttura accessoria, ma un elemento nevralgico del business. In altre parole, il potenziale danno economico legato a un incidente di cyber security è aumentato esponenzialmente. Un blocco dei sistemi informativi, o un semplice data breach, possono rappresentare un enorme problema per qualsiasi azienda.
Il secondo elemento, invece, riguarda il livello di rischio legato alle nuove strategie dei pirati informatici, il cui livello di professionalizzazione è aumentato esponenzialmente negli ultimi anni. In particolare, a preoccupare è l’evoluzione nel modus operandi dei cyber criminali, che agiscono sempre più spesso attraverso sistemi di affiliazione, formule legate al “malware as a service” e sfruttando una condivisione di know how che permette loro di incrementare l’efficacia degli attacchi.
Gli investimenti? Serve trasparenza
L’annosa questione riguardante la scarsità di risorse economiche disponibili per la cyber security, per lo meno nell’ambito del confronto, non rappresenta più un “muro di gomma” che obbliga gli addetti ai lavori a rassegnarsi a condurre una battaglia di retroguardia. Il management, infatti, ha oggi una sensibilità diversa rispetto al passato e una rappresentazione adeguata del rapporto costi-benefici (condito dalla definizione dei possibili impatti di un incidente di sicurezza) diventa un fattore determinante per favorire gli investimenti in cyber security.
Una spinta, in questo senso, l’hanno data le normative (dal GDPR al NIS) che hanno “obbligato” molte realtà ad affrontare il tema security con maggiore rigore. Non solo: anche alcuni provvedimenti focalizzati su settori specifici, come quello assicurativo, hanno imposto alle aziende una maggiore attenzione per la gestione delle transazioni su strumenti digitali, innescando un “effetto traino” sulla sicurezza informatica.
La nuova prospettiva della cyber security
L’aumento del rischio legato alla frequenza e tipologia degli attacchi e la maggiore “sensibilità” dei sistemi informatici non sono gli unici elementi di novità. A contribuire a quel cambio di prospettiva che tutti i partecipanti hanno sottolineato nel corso dell’incontro, infatti, sono anche le nuove architetture IT implementate a livello aziendale. L’adozione di piattaforme cloud per la gestione delle risorse e il sempre più diffuso ricorso a forme di lavoro in remoto, infatti, hanno espanso il perimetro della rete aziendale al punto da renderlo estremamente “volatile”. Un fenomeno che ha subito un’accelerazione nel periodo pandemico, in cui tutti i soggetti produttivi si sono trovati nella necessità di trasferire sull’online sia parte dell’attività dei dipendenti, sia quella di utenti e clienti. In questo quadro, il passaggio verso una logica orientata alla detection and respone e all’uso di strumenti SIEM (Security Information and Event Management) viene considerata un passaggio indispensabile. “Questo tipo di strumento è indispensabile per ottenere visibilità e sicurezza all’interno della rete” ha sottolineato Angelo Salice, Information Security Manager di DI.GI International. “In ambito security è infatti possibile controllare solo ciò che si può individuare”.
Tutto sotto controllo
L’adozione di una logica basata sul monitoraggio delle attività di rete aziendali non è solo una strategia che permette di migliorare il livello di security all’interno del network. L’implementazione di sistemi SIEM, capaci di registrare e correlare qualsiasi evento a livello di rete, è anche un sistema che consente di avere una visibilità a 360 gradi dell’infrastruttura IT.
In altre parole, si tratta del primo passo per arrivare a un approccio olistico della security e a un salto evolutivo in cui la protezione degli asset digitali viene gestita in modo da considerare tutti gli aspetti fondamentali che consentono di individuare e bloccare eventuali attacchi.
La soluzione specifica? Dipende dal modello di business
Come in ogni ambito, la definizione di un modello strategico rappresenta però una schematizzazione che ha il valore di un punto di riferimento. “Parlare di prodotti SIEM in termini assoluti è fuorviante” ha spiegato Angelo Salice. “La scelta della soluzione e la sua configurazione dipendono dagli obiettivi specifici dell’azienda”.
Nel contesto attuale, l’adozione di un SIEM può infatti rispondere a varie esigenze: dal controllo di un perimetro estremamente esteso, come nel caso di aziende che hanno numerosi punti vendita e una filiera particolarmente strutturata, alla necessità di proteggere risorse specifiche come i dispositivi IoT in ambito industriale. I margini di evoluzione, in ogni caso, esistono e rappresentano un tema che per i professionisti della sicurezza informatica è oggetto di grandi aspettative.
Dalla capacità di automatizzare gli strumenti di analisi e correlazione per arrivare alla dimensione SOAR (Security Orchestration Automation and Response), le aspettative sono decisamente alte e tra i partecipanti si è registrata una certa “impazienza” nel poter accedere a soluzioni che implementino nuove caratteristiche. Si tratta però di un percorso, le cui tappe molti cominciano a intravedere.
Il fattore umano nella gestione della cyber security
Se la definizione delle strategie è considerata un “patrimonio comune” cui fare riferimento e la scelta degli strumenti rappresenta un elemento che le aziende affrontano attraverso un’attenta analisi dei bisogni legati alle specificità del business, il focus sulla necessità di investire sul cosiddetto “capitale umano” è un ulteriore elemento comune che è emerso in tutti gli interventi. Il “fattore uomo” è infatti rilevante sotto due profili. Il primo, più generico, riguarda la necessità di avviare processi di awareness interni all’azienda per instillare una cultura della sicurezza a livello individuale, che possa mitigare il rischio che si verifichino di incidenti di cyber security. Il secondo, più specifico, riguarda le risorse da allocare a livello di SOC (Security Operation Center) per gestire i sistemi di sicurezza informatica. “L’utilizzo di strumenti di monitoraggio e la gestione della security richiedono competenze specifiche” ha sottolineato Angelo Salice. “Il ruolo di DI.GI, in questo ambito, è quello di fornire alle aziende quelle risorse che le imprese spesso faticano a reperire sul mercato e che oggi sono indispensabili per garantire un servizio di cyber security adeguato”.
Threat Intelligence: un vantaggio strategico
Nel nuovo quadro della cyber security, la collaborazione con soggetti specializzati nel settore non si esaurisce nella messa a disposizione di risorse e strumenti per implementare un controllo granulare dei sistemi. Tra i valori aggiunti offerti dagli esperti del settore c’è quello dell’accesso alle risorse di intelligence, sempre più importati nell’ottica di un contrasto efficace ad attacchi personalizzati e attentamente pianificati dai cyber criminali. Un’attività che tutte le aziende hanno individuato come estremamente rilevante per proteggere gli asset digitali. “Individuare attività preparatorie ed essere in grado di monitorare ciò che succede è un vantaggio strategico in chiave di cyber security” ha confermato Salice. Il recente caso legato alle vulnerabilità dei software Kaseya, che ha portato alla compromissione dei sistemi di centinaia di aziende, come quello di PrintNightmare, che ha messo in allarme migliaia di imprese a causa della vulnerabilità zero-day emersa nei sistemi Microsoft, sono la migliore dimostrazione dell’importanza della cyber threat intelligence. Solo un approccio proattivo, in grado cioè di focalizzare le attività di security sui “fronti caldi” che si propongono di volta in volta, consente di garantire un sufficiente livello di efficacia alle attività di cyber security. Il ruolo dell’intelligence in questo ambito, come riconoscono tutti gli addetti ai lavori, è fondamentale sia sotto un profilo qualitativo, sia sotto quello della tempestività nella predisposizione delle contromisure necessarie.
