Manlio De Benedetto, Director System Engineering di Cohesity, individua le lezioni apprese dalle aziende nel corso del 2021 e la necessità per il futuro di investire in strumenti di threat intelligence e andare oltre l’approccio Zero Trust
I movimenti dei criminali informatici evolvono costantemente. Oltre a infiltrarsi nei sistemi informatici, per avere accesso a dati sensibili, cancellarli, esfiltrarli o estorcerli nell’immediato, cambiano ripetutamente approccio per reagire alle misure adottate per fermarli. Ne deriva che anche le strategie di chi è deputato a difendere sistemi e dati devono evolvere di conseguenza.
Le notizie di violazioni della sicurezza che compaiono con frequenza allarmante sui giornali sono soltanto una piccola parte dell’insieme. Le organizzazioni più grandi e conosciute sono comprensibilmente riluttanti ad ammettere le lacune riscontrate nelle proprie configurazioni di sicurezza, mentre le aziende medie e piccole, anche quando rendono pubblico il fatto, non finiscono sulle prime pagine.
Con un numero di attacchi andati a segno molto più alto di quello che conosciamo, cosa possiamo dire di aver imparato nel 2021 sul fronte sicurezza? Di cosa dovrebbero preoccuparsi le organizzazioni? E quali elementi dovrebbero considerare Chief Information Officer (CIO) e Chief Information Security Officer (CISO) che pensano di rafforzare le difese di cybersecurity nel 2022?
Il ransomware continua a evolvere
Il ransomware continua a rappresentare una tipologia di attacco potente e potenzialmente devastante. In particolare, il ransomware as a Service (RaaS) ha subito continue evoluzioni nel corso del 2021. Questo fenomeno, per cui gli attaccanti sviluppano un software e lo rendono disponibile anche a cybercriminali non tecnicamente preparati, ha ampliato le opportunità di colpire organizzazioni di dimensioni medie e piccole.
La logica che vi sta dietro è chiara. Un attacco preparato ‘su misura’ per colpire una grande organizzazione può portare a guadagni multimilionari, ma ha bisogno di un’esecuzione tecnica molto precisa. Un attacco generalizzato su organizzazioni più piccole, attuato mediante RaaS, può avere un rendimento individuale inferiore, ma un risultato complessivo ben più elevato.
Nel report di Sophos sulle minacce attese per il 2022, la società di cybersecurity intervistate sostengono che il rilascio di alcuni materiali legati al RaaS ha permesso loro di identificare tattiche, tecniche e procedure rivelatrici di un attacco in corso, aiutando a sventarlo.
Il RaaS continuerà a rappresentare una minaccia significativa nel 2022. Per CIO e CISO la sfida sarà non solo quella di assicurare difese forti e capaci di far fronte a strategie ransomware in evoluzione, ma anche quella di avere una serie adeguata di piani di recovery per gestire le criticità nel momento in cui queste si presenteranno; cosa che accadrà inevitabilmente.
Usare l’AI per potenziare la threat intelligence
Nel corso degli ultimi due anni, molte organizzazioni hanno imparato che possono lavorare bene anche se la propria forza lavoro è distribuita e tale modalità è diventata la norma per un numero significativo di aziende. In queste condizioni, proteggere la rete aziendale come se fosse un giardino recintato non è più una scelta appropriata. Oggi la sicurezza degli endpoint è vitale. Ciò significa non solo rendere sicuri i device – si tratti di tablet, smartphone o laptop – ma anche essere attenti al modo in cui le persone utilizzano tali device. Proprio questi ultimi, infatti, possono portare dentro la rete aziendale nuove minacce e mettere a rischio i dati dell’organizzazione.
Gli strumenti di Intelligenza Artificiale (AI) che fanno parte dell’offerta IT degli attuali vendor possono essere utilizzati per rafforzare i sistemi e i tool di cybersecurity. I leader IT dovrebbero valutare le soluzioni esistenti cercando l’interoperabilità a fini di threat intelligence, per il rilevamento delle minacce. Alcune aziende devono far fronte a oltre 200mila minacce informatiche ogni anno, impossibili da gestire per le sole capacità umane. Senza prevedere alcun tipo di struttura di blocco per le incursioni, l’AI può essere impiegata per identificare attività potenzialmente sospette, attivare blocchi automatici e allertare il personale IT e di sicurezza, che valuterà se l’attività sia accidentale, malevola o consentita mitigando il rischio di minacce. CIO e CISO devono diventare sempre più consapevoli del potenziale dell’AI nel proprio arsenale di sicurezza informatica.
Andare oltre l’approccio Zero Trust nel 2022
Il framework di sicurezza Zero Trust sta diventando uno strumento essenziale per i CISO, perché forza i team a ripensare il modo in cui funziona l’accesso alla rete ed esamina più attentamente i prodotti su cui questi fanno affidamento.
Nel 2022 i team di sicurezza devono non solo comprendere meglio le metodologie e i prodotti Zero Trust ed essere pronti a implementarli, ma anche poter andare oltre l’approccio Zero Trust. La sicurezza può diventare un abilitatore per il business, che permette un accesso più intelligente ai sistemi e ai dati, raggiungendo al contempo un più alto livello di protezione e governance.
Affrontare la carenza di competenze in materia di sicurezza informatica
Se la costante evoluzione del panorama delle minacce non desse già abbastanza preoccupazioni a CIO e CISO, a questa va aggiunta la continua carenza di competenze digitali. Stando alle stime dell’Agenzia Nazionale per la Cybersicurezza Nazionale, in Italia servirebbero oltre 100 mila esperti di cybersecurity.
Tutte le organizzazioni, con l’unica eccezione delle più grandi e attrattive, potrebbero aver già sperimentato alcune criticità legate proprio all’assenza di competenze specifiche in materia all’interno del proprio staff. I CISO dovrebbero anche investire nella costruzione di una cultura della sicurezza a livello di intera organizzazione. Dopo tutto, gli attacchi informatici più comuni non sono causati da problemi tecnici, ma sono il risultato di social engineering o exploit di phishing che sfruttano errori umani o l’assenza di supervisione.
Progetti per il 2022
Considerata l’evoluzione delle minacce informatiche e l’assenza di segnali a favore di un rapido reperimento di competenze, il 2022 potrebbe rivelarsi un anno difficile per CIO e CISO. Le strategie che metteranno in campo già adesso saranno, dunque, decisive per assicurare la loro posizione nel corso dell’anno.
Se nel 2022 si prospettano grandi sfide, i CISO più svegli possono già guardare al futuro, concentrandosi sulle soluzioni ai problemi emergenti. Adottando strategie di sicurezza come l’approccio Zero Trust, guardando al di là delle architetture di Threat Defense e migliorando le tattiche di automazione, possono posizionarsi meglio per supportare la domanda della nuova forza lavoro ibrida.
Per molti, la migliore strategia consiste nel non provare a risolvere tutte le sfide in azienda, ma al contrario nel costruire relazioni con i vendor che operano nel settore del data management (e non solo con gli specialisti della sicurezza), per trovare organizzazioni di servizi altamente preparate che possano fornire le migliori soluzioni di cybersecurity. Le organizzazioni hanno bisogno di adattare, ristrutturare, ricevere aiuto e valutare ciò che è disponibile per loro.
Vendor e service provider non solo possono occuparsi delle questioni quotidiane inerenti la protezione e il recovery, ma possono anche suggerire le best practice da applicare – per esempio, nella gestione e nel supporto al personale da remoto – e sono sempre aggiornati sull’evoluzione del panorama delle minacce, per stare un passo avanti rispetto ai criminali informatici.