Uno scenario sempre più complesso, in cui le aziende devono convivere con il rischio di attacchi informatici che possono mettere in pericolo la business continuity e avere impatti devastanti sulle organizzazioni. E la situazione sta peggiorando progressivamente.
Peter Mackenzie, Director of Incident Response Team di Sophos è impegnato in uno dei settori della cyber security più “caldi” del momento, cioè quella “risposta” agli attacchi che, in molti casi, può fare la differenza tra un banale incidente di sicurezza e una catastrofe. Il suo punto di vista offre una prospettiva preziosa per comprendere le sfide che le imprese si trovano ad affrontare in termini di sicurezza.
La giusta prospettiva nella cyber security
“Fino a qualche tempo fa si diceva che il problema non fosse ‘se’ subirai un attacco, ma ‘quando’ lo subirai. Ora il problema è chiedersi ‘quante volte’ subirai l’attacco” esordisce Mackenzie. Il caso che cita riguarda un’esperienza diretta, in cui un’azienda è stata colpita tre volte nel corso di una sola settimana. Tutte e tre le volte utilizzando la stessa tecnica.
“Siamo stati coinvolti dopo il terzo attacco e abbiamo immediatamente individuato lo schema utilizzato dai pirati informatici” spiega Mackenzie. “L’investigazione, oggi, è lo strumento più efficace per bloccare l’attività dei cyber criminali”.
Secondo Mackenzie, è fondamentale interiorizzare due concetti che riguardano la cyber security. Il primo riguarda il fatto che la tecnologia può aiutare nel contrasto degli attacchi, ma da sola non è sufficiente. Il secondo è che garantire la sicurezza non significa combattere i malware, ma gli individui che li utilizzano per provocare danni all’azienda. Insomma: illudersi che la sicurezza informatica sia una sorta di scontro tra software malevoli e software di protezione, rischia di essere un errore strategico.
Non solo attacchi pianificati: i pirati colgono le opportunità
La minaccia più grave per le aziende, a livello di security, è ancora rappresentata dai ransomware. Si tratta di attacchi che hanno caratteristiche peculiari rispetto alle “normali” minacce cyber. Spesso, infatti, rappresentano l’ultimo stadio di un attacco mirato, ma possono anche essere provocati da quelli che vengono comunemente definiti “attacchi opportunistici”, cioè derivanti dall’individuazione di vulnerabilità specifiche che coinvolgono dispositivi presenti nel network aziendale.
“Un pirata informatico, utilizzando strumenti specializzati o anche piattaforme come Shodan (un sito che consente di mappare tutti i dispositivi connessi a Internet – ndr) può facilmente individuare tutti i device che sono vulnerabili a un particolare attacco” spiega Mackenzie. “Il passo successivo è quello di attaccare a tappeto tutti i potenziali bersagli, indipendentemente dalle loro dimensioni o da una precedente pianificazione”.
In altre parole: qualsiasi organizzazione può finire nel mirino di un cyber criminale semplicemente perché esiste una falla nei suoi sistemi che è stata individuata da un pirata informatico in grado di sfruttarla
Dalle risorse al fattore umano: le chiavi del successo
Accorgimenti tecnici e applicazione di policy adeguate sono elementi che possono rallentare od ostacolare l’attività dei cyber criminali. Per implementarle, in primo luogo, è necessario allocare le risorse adeguate e, secondariamente, scegliere le tecnologie più adeguate.
Secondo Mackenzie, però, la vera differenza la fanno le persone. “Gli strumenti tecnologici permettono di individuare i segnali che indicano l’imminenza di un attacco” spiega. “Per interpretarli, però, servono specialisti che sappiano come leggere questi indizi e come reagire in maniera tempestiva per bloccare l’attacco stesso” spiega.
Non si tratta di un compito facile. Oggi le aziende, complice anche l’adozione di piattaforme distribuite e dei sistemi cloud, hanno a che fare con una superficie di attacco molto più estesa rispetto al passato. Il controllo, inoltre, deve essere attivo 24 ore al giorno, sette giorni a settimana. Insomma: stiamo parlando di un’attività che richiede impegno e risorse notevoli, che l’esperto di Sophos quantifica in un team di almeno 10 persone.
“Non è un caso – sottolinea Mackenzie – che il 75% degli attacchi in questa fase storica colpisca le aziende di piccole e medie dimensioni, con meno di 500 endpoint Sono quelle che non hanno la possibilità di dotarsi di sufficienti risorse interne in grado di mitigare il rischio di attacchi”.
La soluzione, che Sophos considera la formula vincente nel contrasto al cyber crimine, è quella di ricorrere a servizi di Managed Detection and Response (MDR). In sintesi: una forma di esternalizzazione nella gestione della cyber security che consente di avere a disposizione un team specializzato che è in grado di intervenire in maniera efficace in caso di attacco.
Servono dei professionisti abituati a gestire le emergenze
Affidare la sicurezza a un team specializzato non rappresenta solo un modo per aggirare i limiti a livello di investimento, ma impatta anche a livello qualitativo. “I responsabili interni cui è delegata la cyber security sono spesso sommersi di alert e devono fare fronte a centinaia di incidenti di lieve importanza” spiega Mackenzie. “Non solo questi rischiano di distrarli dalle reali priorità, ma la gestione dell’ordinaria amministrazione ha come conseguenza il fatto che non sono abituati ad avere a che fare con attacchi gravi”.
Avere a disposizione un team specializzato con una “robusta” esperienza alle spalle, secondo l’esperto di Sophos, aumenta notevolmente le chance di rispondere in maniera efficace agli attacchi. Il contributo di un servizio MDR, inoltre, è utile anche a livello di prevenzione.
“Spesso nelle aziende ci sono endpoint che non sono protetti” spiega Mackenzie. “Individuare elementi di debolezza come questi, al pari di altri aspetti come le policy nella gestione degli aggiornamenti software, un’adeguata visibilità degli eventi di sicurezza e la previsione di procedure chiare per rispondere ai problemi di sicurezza, aumentano notevolmente il livello di sicurezza”.
