Superfici d’attacco più estese e rischio in continua crescita. La sicurezza delle reti aziendali diventa sempre più una priorità di business. Nuove architetture per integrare funzioni di prevenzione e difesa dall’Identity all’Edge, grazie al binomio AI e machine learning
È oramai accertato – dati alla mano, ma anche a fronte della nostra stessa esperienza quotidiana personale – che i casi di attacchi e incidenti informatici, oltre che le violazioni della privacy, sono in fortissimo aumento. La pandemia prima e la situazione di crisi internazionale legata al conflitto bellico in Ucraina poi hanno accelerato un trend che comunque era già in forte ascesa. Secondo gli esperti, il primo trimestre 2022 è stato il peggiore degli ultimi due anni in Italia. Quello che preoccupa è soprattutto il maggior grado di sofisticazione del codice malevolo, che sempre più spesso utilizza tecniche avanzate di intelligenza artificiale. Come difenderci allora con maggiore efficacia? Come farlo, in particolare, sulle reti enterprise, che sono oramai il vero cuore pulsante di quasi tutte le aziende e delle pubbliche amministrazioni? Proviamo ad analizzare questo delicato tema con il coinvolgimento di alcuni importanti vendor del settore, oltre che con il contributo rilevante degli analisti di IDC Italia e di CLUSIT. Facciamolo ponendo loro alcune domande chiave.
LA SITUAZIONE IN ITALIA
Il mercato dei sistemi e delle soluzioni di network security nel 2021 si è attestato intorno ai 190 milioni di euro, con un crescita prevista di oltre 235 milioni di euro entro il 2025, sostenuta dall’incremento delle vendite di sistemi e soluzioni firewall/UTM e VPN. Particolarmente interessante, è la vista differenziata che IDC ci offre sul settore pubblico rispetto a quello privato. «Nel settore pubblico con lo smart working si è ampliata l’area d’attacco alle reti e ai dispositivi dei singoli lavoratori» – spiega Daniela Rao, senior research and consulting director di IDC Italia. Come già rilevato da AgID attraverso il Censimento del Patrimonio ICT della PA, molte infrastrutture della PA risultano prive dei requisiti di sicurezza e di affidabilità necessari e, inoltre, sono carenti sotto il profilo strutturale e organizzativo. La strategia per l’ammodernamento dei sistemi della PA è stata delineata nel Piano Triennale per l’Informatica nella Pubblica Amministrazione 2021/2023. Nel delineare il processo di razionalizzazione delle infrastrutture è necessario considerare che, nel settembre 2021, il Dipartimento per la Trasformazione Digitale e l’Agenzia per la cybersicurezza nazionale hanno pubblicato il documento di indirizzo strategico sul cloud intitolato “Strategia Cloud Italia”. Da tale strategia è nato il Polo Strategico Nazionale (società costituita da TIM, Leonardo, CDP, Sogei) che vedrà il collaudo dell’infrastruttura entro fine anno, per ottenere la tranche di finanziamento da 900 milioni del PNRR e quindi la migrazione delle PA in perimetro entro metà 2023.
«In questo scenario – continua Daniela Rao – è probabile che la spesa dei sistemi e delle soluzioni di network security nel settore pubblico crescerà a una velocità maggiore rispetto alle imprese private. Nel settore privato, le imprese italiane adotteranno un approccio alla sicurezza delle reti incentrato sull’identità e sulla progressiva “cloudificazione” di applicazioni, servizi e infrastrutture basato su quattro obiettivi. Il primo è quello di integrare tecnologie di sicurezza nuove e preesistenti in unica piattaforma, perché l’innovazione è non sostenibile in un tradizionale approccio “a silos”. Il secondo di sviluppare la gestione dell’identità in tutto il ciclo di vita dell’accesso. La gestione delle identità degli utenti deve diventare il punto centrale delle policy di rete e di sicurezza. Il terzo obiettivo è di proteggere le applicazioni con strumenti adeguati alla natura distribuita del cloud. Le difese attive delle applicazioni aziendali devono essere aggiornate continuamente per corrispondere alla scalabilità e alla natura distribuita del web e del cloud. E in infine, il quarto consiste nell’estendere la protezione all’Edge. Le applicazioni sono sempre più spesso implementate e utilizzate al di fuori del data center centrale. È necessario estendere le protezioni dagli ambienti IT legacy all’Edge e ovunque risiedano le applicazioni aziendali».
DA DOVE COMINICIARE
Secondo Claudio Telmon che fa parte del comitato direttivo di CLUSIT, l’associazione Italiana per la sicurezza informatica, il forte aumento degli attacchi informatici degli ultimi anni è un fenomeno comprensibile poiché – spiega l’esperto di cybersecurity – «è un effetto collaterale della digitalizzazione, perché lo spostamento delle attività e delle risorse di maggiore valore attrae l’attenzione dei criminali informatici. Inoltre, la normativa vigente richiede sempre più la notifica di incidenti. Tuttavia, le violazioni che diventano di dominio pubblico sono per la maggior parte di tipo ransomware. Rimangono per gran parte non conteggiati gli incidenti che mirano alla raccolta silenziosa di informazioni, come per esempio quelli legati allo spionaggio industriale o alla raccolta di informazioni riservate da pubbliche amministrazioni». La sensibilità al tema delle aziende italiane è aumentata molto, ma in modo disomogeneo per quanto riguarda l’efficacia nella capacità di tutelarsi. «Mentre alcune aziende hanno ormai adottato gli strumenti fondamentali per proteggere i propri sistemi e le proprie informazioni, molte altre scontano la poca attenzione al tema data in passato» – continua Telmon. Il problema non è tanto l’acquisizione di strumenti sofisticati, quanto l’adozione delle soluzioni più di base, la cui assenza si vede in occasione degli incidenti: «Aggiornamento dei sistemi, segregazione fra reti, gestione protetta dei backup, adozione di un processo di gestione incidenti che possa rilevare e contenere gli attacchi. Proprio sulla rilevazione degli incidenti, strumenti che facciano anche uso di meccanismi di machine learning possono essere particolarmente efficaci. Per la maggior parte delle aziende – suggerisce Telmon – è preferibile utilizzare servizi di monitoraggio esternalizzati, per trarre vantaggio da queste nuove tecnologie che difficilmente riuscirebbero a sfruttare in autonomia. L’adozione delle buone pratiche già note da tempo nel campo della sicurezza permette alle aziende di proteggersi efficacemente anche da minacce dotate di funzionalità di intelligenza artificiale, che comunque non sembrano ancora diffuse e non sono per ora il primo punto di attenzione per le aziende italiane».
LA COMPLESSITÀ AUMENTA
La digital transformation delle infrastrutture IT ha risposto e sta rispondendo alle esigenze del Business in maniera sempre più flessibile e completa. «Ma al contempo ha portato maggiore complessità ed esposizione agli attacchi informatici» – spiega Fabrizio Tosi, sales account executive Italy, Greece, Malta and Cyprus di EfficientIP. EfficientIP è distribuito da Westcon Italia. «Il malware tende a prendere di mira Paesi che hanno grande diffusione dal punto di vista linguistico. I criminali informatici si sono concentrati sugli obiettivi in lingua inglese. Quindi l’Italia è stata fortunata in passato» – commenta Marc Lueck, EMEA CISO di Zscaler. «Man mano che le minacce informatiche diventano sempre più sofisticate e si arricchiscono di nuove funzionalità, la lingua diventa sempre meno una barriera, di conseguenza anche l’italiano è stato incluso nel portafoglio dei criminali, con la conseguenza che il nostro Paese ora è preso di mira allo stesso modo di altri». L’Italia però ha un problema in più – spiega il CISO di Zscaler: «È composta principalmente da medie imprese che si trovano spesso nella posizione peggiore, perché da un lato non dispongono delle risorse per investire a tutela della propria sicurezza informatica, e dall’altro sono un bersaglio attraente per gli hacker dal punto di vista finanziario».
COME DIFENDERSI MEGLIO
Di che cosa hanno bisogno le organizzazioni per difendersi meglio? Secondo Daniela Rao di IDC Italia le principali esigenze delle imprese italiane nei confronti di system integrator e vendor sono tre: maggiore conoscenza e visibilità sulle nuove piattaforme, la priorità all’integrazione rispetto alla convergenza e le partnership tecnologiche che possono riempire rapidamente le lacune esistenti. «Nuove tecnologie come cloud, multicloud, cloud ibrido, container e serverless – spiega Daniela Rao –hanno introdotto lacune di visibilità e controllo che ostacolano gli sforzi di sicurezza, anche se sono emersi contemporaneamente una serie di nuovi prodotti di sicurezza per affrontare questi nuovi ambienti e tecnologie. I criminali informatici stanno impiegando malware sempre più sofisticato, di conseguenza è necessaria una profonda integrazione in un’ampia gamma di punti di controllo e visibilità della sicurezza per prevenire le violazioni dei dati. I fornitori di sicurezza in grado di integrare un ampio portafoglio di soluzioni di sicurezza all’avanguardia saranno in grado di aiutare i clienti a evitare costosi attacchi informatici. L’attenzione attorno al Secure Access Service Edge (SASE) è iniziato nel 2020 e ha raggiunto un crescendo nel 2021. Tuttavia, tale concetto stenta a decollare poiché richiede l’integrazione tra i team di rete e i team di sicurezza, che troppo spesso sono organizzazioni che hanno obiettivi tra loro molto diversi».
Governare la complessità della rete aziendale è una delle più grandi sfide che i responsabili IT devono affrontare su base quotidiana. «Le politiche di BYOD e i processi di trasformazione digitale in atto in tutti gli ambienti produttivi hanno avuto un effetto espansivo sul perimetro aziendale» – mette in evidenzia Maurizio Erbani, direttore Generale di Bludis. «Il numero di dispositivi e account che possono connettersi a una rete è aumentato in maniera considerevole, rendendo l’intero ecosistema estremamente più complesso da controllare. È quindi necessario fondarsi sul concetto di “new work”, quella indispensabile necessità di lavorare da qualsiasi luogo e in qualsiasi momento. Per farlo, occorre trasferire il concetto di Zero Trust Network Access al mondo del lavoro mobile: non fidarsi di un dispositivo o di un utente fino a quando quest’ultimo non viene autenticato. Proprio per questo, lo ZTNA deve costituire una componente chiave per la sicurezza IT del futuro». Se i dati che circolano sulle reti, sia nel settore pubblico che in quello privato, sono sempre di più e sempre più critici, allora tutto questo ha bisogno di un adeguato piano di sicurezza. «Gli attacchi informatici sono sempre più sofisticati e avanzati e di conseguenza le barriere di sicurezza lo devono essere altrettanto» – afferma Fabrizio Tosi di EfficientIP/Westcon Italia. La cybersecurity in azienda non può essere vista come insieme di soluzioni tecnologiche di protezione, ma deve essere affrontata e gestita in maniera organica con strategie e processi in grado di portare alla realizzazione di un programma strutturato.
«Il percorso che ogni azienda dovrebbe seguire va dalla governance alla compliance e passa attraverso l’adozione di soluzioni tecnologiche per raggiungere gli obiettivi prefissati, rendendo consapevoli gli utenti aziendali dei rischi e delle minacce a cui si va incontro mentre si utilizzano gli strumenti informatici» – spiega Cosimo Rizzo, system integrator director di NovaNext. «La sicurezza informatica è una corsa senza fine con accelerazioni continue. Gli attacchi informatici aumentano sia in termini di volume che di sofisticatezza. Mentre gli strumenti adottati diventano rapidamente obsoleti. L’intelligenza artificiale e l’apprendimento automatico sono potenti tecnologie ormai necessarie per rispondere agli attacchi informatici perché consentono alle organizzazioni di rispondere più rapidamente alle violazioni e di migliorare l’accuratezza e l’efficienza dei cyber analisti» – continua Rizzo. «Per contrastare gli attacchi più sofisticati guidati a loro volta dall’intelligenza artificiale e da altre capacità avanzate, le organizzazioni dovrebbero cercare di automatizzare il più possibile alcune attività routinarie del SOC come il reporting o la gestione di identità e accessi, utilizzando l’intelligenza artificiale e l’apprendimento automatico per stare al passo, in particolare con i cambiamenti dei modelli di attacco. Occorre infine tener presente che gli stessi sistemi di intelligenza artificiale sono potenziali bersagli degli hacker».
Marc Lueck di Zscaler ci ricorda che le minacce informatiche non rispettano alcun confine organizzativo, IT o OT. «Anche una strategia di sicurezza completa non può rispettare questi confini e molte aziende continuano a concentrarsi sulla protezione dei dipendenti con soluzioni single e non integrate, dimenticando che i criminali informatici possono trovare vulnerabilità e configurazioni malfatte ovunque, per poi muoversi lateralmente attraverso l’ambiente, una volta che sono riusciti a entrarvi. Il principio Zero Trust non deve quindi essere applicato solo ai dipendenti, ma anche all’intero ambiente, compresi tutti i carichi di lavoro e le loro interazioni. Anche in questo caso, deve valere il principio che non si può concedere alcuna fiducia preventiva prima che l’accesso sia convalidato e autenticato. Ciò richiede una visione molto più dettagliata dell’ambiente IT di quanto molte aziende dispongano al momento».
MINACCE SEMPRE PIÙ INTELLIGENTI
Attacchi sempre più veloci e subdoli. Quali sono le nuove minacce e i nuovi metodi di attacco che sfruttano l’intelligenza artificiale per minare la sicurezza delle reti aziendali? L’hacker stereotipato che lavora da solo non è più la minaccia principale, secondo Fernando De Vivo, cybersecurity SOC team manager Cybersec Competence Center di Axians Italia. «Oggi, il cyberhacking è un’impresa multimiliardaria completa di gerarchie e budget di ricerca e sviluppo. Gli aggressori utilizzano strumenti avanzati come l’intelligenza artificiale, l’apprendimento automatico e l’automazione. Nel corso dei prossimi anni, saranno in grado di accelerare, da settimane a giorni o ore, il ciclo di vita dell’attacco end-to-end, dalla ricognizione allo sfruttamento. Per esempio, Emotet è una forma avanzata di malware che prende di mira in particolare le banche, sfruttando tecniche avanzate di intelligenza artificiale e apprendimento automatico. Nel 2020, Emotet ha utilizzato un processo automatizzato per inviare e-mail di phishing contestualizzate e alcune legate alle comunicazioni relative al COVID-19». Per Maurizio Erbani di Bludis, il fine ultimo dell’utilizzo dell’intelligenza artificiale negli attacchi informatici è quello di emulare quanto più fedelmente possibile il comportamento umano. «Questo avviene perché è più semplice rispondere a qualcosa di schematico e conosciuto, rispetto a qualcosa che si adatta e cambia come il cervello umano». Un esempio lampante sono i deepfake, manipolazioni di video per diffondere fake news. «Ma ne esistono di molto più subdoli che i tradizionali sistemi di difesa non riescono ad arginare» – continua Erbani. «E che hanno tutti lo stesso concetto alla base: imparare ad aggirare le difese approcciandosi ad esse in maniera sempre diversa. Ancora una volta, forse l’unica via per proteggere la propria impresa è quella di verificare costantemente chi sta dietro a un’azione che coinvolge la rete aziendale. Qui la filosofia Zero Trust – che si basa sul non fidarsi solo delle apparenze – è la risposta più competitiva e completa per controllare tutto ciò che ci circonda, che siano hacker tradizionali o attacchi basati sull’AI».
Uno dei vettori di attacco più utilizzati è il protocollo DNS sia perché aperto sia perché pervasivo nella rete. «Recenti studi di analisti parlano di percettuali intorno al 90% dell’utilizzo del DNS almeno in una delle fasi dell’attacco» – spiega Fabrizio Tosi di EfficientIP / Westcon Italia. «Quindi occorre fare attenzione a questo canale di comunicazione e farlo in maniera completa, utilizzando soluzioni che conoscono il protocollo e che quindi possano intercettare anche azioni malevole ancora sconosciute attraverso l’analisi comportamentale». Con i progressi fatti dall’intelligenza artificiale, era solo questione di tempo prima che gli hacker adottassero questa tecnologia per sviluppare attacchi più efficaci e difficili da individuare. «Prendiamo per esempio gli antivirus» – sottolinea Lorenzo Colombo, technical manager di GCI System Integrator. «Grazie all’intelligenza artificiale riescono ad andare oltre la semplice verifica della signature di un file e analizzano comportamenti sospetti. D’altro canto, virus potenziati con l’intelligenza artificiale possono eludere questi check, cambiando le caratteristiche dell’attacco. Un secondo esempio lo troviamo nei malware che effettuano connessioni command-and-control. Disconnettendo da Internet la rete sotto attacco, andremo a impedire al malware di ricevere istruzioni. Tuttavia, in caso di malware potenziati con l’intelligenza artificiale, potrebbero riuscire a raggiungere lo scopo senza ricevere un controllo diretto da remoto». Per Marc Lueck di Zscaler, più che l’intelligenza artificiale, i criminali informatici utilizzano l’automazione per operare con estrema rapidità e per passare inosservati. «Potrebbero avere un backend di intelligenza artificiale per determinare il percorso migliore per arrivare alla monetizzazione, ma nella fase iniziale di ricognizione, l’automazione aiuta i criminali informatici a valutare le diverse opportunità per violare un’azienda. Pertanto, stanno “pacchettizzando” il malware in un’unica minaccia in grado di decidere e stabilire la strada migliore per raggiungere l’obiettivo».
L’AI COME ARMA DI DIFESA
Come e con quali tecniche, l’intelligenza artificiale può venirci in aiuto proprio come arma di rilevamento e risposta prima e dopo un attacco? Per Daniela Rao di IDC Italia, il prerequisito fondamentale affinché le organizzazioni sviluppino, distribuiscano e utilizzino i sistemi di intelligenza artificiale è l’affidabilità. «L’attenzione maggiore è concentrata sulla privacy, sulle preoccupazioni etiche e di equità, sull’impatto sulla società e sulla misura in cui l’AI dovrebbe essere regolamentata, mentre si presta poca attenzione alla sicurezza dei sistemi di AI. Questi sistemi presentano lo stesso rischio di vulnerabilità e di configurazioni errate dei tradizionali sistemi IT basati sui dati. Gli approcci tradizionali alla sicurezza sono essenziali, ma da soli non forniscono una copertura sufficiente nel panorama delle minacce dell’AI. Pertanto, le pratiche di sicurezza devono adattarsi per garantire che l’infrastruttura dell’AI sia sufficientemente robusta per essere resilienti e conformi alle normative». Le tecniche di intelligenza artificiale possono aiutare a prevenire e a rispondere con successo gli attacchi informatici. «I SOC possono automatizzare i carichi di lavoro ripetitivi come i controlli sulle identità e sugli accessi ai sistemi automatizzando anche tutta la reportistica relativa all’attività di monitoraggio» – spiega Fernando De Vivo di Axians Italia. «E l’automazione deve avere un approccio basato sul rischio. Le decisioni di automazione dovrebbero essere basate su valutazione del rischio e segmentazione per garantire che ulteriori vulnerabilità non vengano create inavvertitamente. Il binomio AI e machine learning offre una soluzione a cui non si può rinunciare per contenere gli attacchi. Le tecniche di AI sono di valido aiuto al contrasto dei ransomware supportando l’automazione nella gestione degli incidenti e il machine learning permette di analizzare grandi quantità di dati soprattutto nell’attività di intelligence».
Un altro fattore importante per le soluzioni di sicurezza è la velocità di azione e la successiva capacità di condivisione e correlazione dell’attività in una logica di ecosistema. «Intercettare e mitigare un attacco informatico è fondamentale, ma altrettanto importante sono le fasi successive di remediation e risoluzione del problema» – osserva Fabrizio Tosi di EfficientIP / Westcon Italia. «La soluzione EfficientIP DNS Guardian riesce a intercettare comportamenti anomali nel traffico DNS a livello di rete, per essere una delle prime barriera di difesa e poi condividere il tutto via connettori API con l’ecosistema in rete». Uno dei principali cyber-risk di un’organizzazione è pensare che essi non esistano. «L’altro – spiega Fabio Luciani, R&D manager di S3K – è convincersi di non essere vulnerabili per la quantità di azioni e tecnologie difensive e preventive introdotte. «Il primo contributo che cerchiamo di offrire ai nostri clienti come S3K – continua Luciani – è sicuramente migliorare la loro visione e cyber-security posture. Le superfici di attacco odierno di un’azienda sono enormi: crescono i dispositivi connessi e i vettori di attacco sono nell’ordine delle centinaia. Ne consegue, che la quantità di dati da analizzare con finalità di sicurezza informatica non si configura più come un human-scale problem. Per questo, risulta decisivo disporre di sistemi di intelligenza artificiale perfettamente integrati nei propri SOC e negli strumenti SOAR. Sono disponibili e ingegnerizzabili in produzione sempre più modelli AI, che se correttamente allenati, sono in grado di identificare in near real-time correlazioni e nuovi pattern, analizzando milioni di segnali provenienti da qualsiasi fonte di vulnerabilità aziendale. Il risultato è un nuovo strato di cyber intelligence aziendale generato dalla collaborazione uomo-macchina, che supporta l’operatività dei team umani dedicati alla cyber security in molteplici aree. Nell’IT Asset Inventory, per esempio, l’intelligenza artificiale può aiutare l’automatizzazione congiunta del processo inventariale e della misurazione dinamica dei livelli di criticità per tutti i device, utenti e applicazioni aziendali». Secondo Marc Lueck di Zscaler – «il punto di forza dell’intelligenza artificiale è la capacità di prendere decisioni simili a quelle umane su dati che l’uomo normalmente non può vedere, a una velocità e su una scala molto più elevate di quelle di un uomo. L’intelligenza artificiale è davvero in grado di formulare ipotesi del tipo: sembra un malware, si comporta come un malware, quindi deve essere un malware».
COME PREVENIRE GLI ATTACCHI
Come strutturare operazioni di intelligence sulla base di un approccio proattivo? Per Lorenzo Colombo di GCI System Integrator, le piattaforme più evolute di intelligenza artificiale collezionano i dati presenti in una rete e, in genere, più questa azione è capillare, minori saranno le zone cieche della rete. Risulta fondamentale, quindi, capire in quali zone effettuare tale collezione. «Queste piattaforme, oltre a un periodo di autoapprendimento, necessitano di una revisione periodica da parte dell’uomo, per imparare a riconoscere comportamenti normali da comportamenti anomali. È importante l’analisi periodica di tali piattaforme, che possono dare informazioni fondamentali su attacchi non ancora conclusi, come per esempio un malware che ha collezionato i dati, ma non li ha ancora esportati sul server dell’hacker». Automazione, supervisione e revisione contribuiscono a rendere queste piattaforme affidabili. «EfficientIP SOLIDServer è la soluzione completa DDI, con i tre servizi critici di rete DNS, DHCP, IPAM integrati fra di loro e con il resto dell’infrastruttura, per permettere una completa automazione, e ridurre al minimo l’intervento manuale. Inoltre, il repository di informazioni di infrastruttura che si forma, grazie ai servizi erogati e ai tool di discovery, offre una visibilità unica ai servizi di gestione (NOC e SOC) e permette di velocizzare le operazioni di remediation» – ci dice Fabrizio Tosi di EfficientIP / Westcon Italia. Le aziende non devono aspettare che un attacco causi dei danni – come spiega Marc Lueck di Zscaler – ma devono individuare le minacce prima. «Le aziende dovrebbero implementare tecnologie di ricerca attiva delle minacce in grado di individuare anche le tracce più infinitesimali che i criminali informatici lasciano all’interno delle infrastrutture. E queste capacità investigative possono essere arricchite con l’aiuto dell’automazione per riconoscere quando un hacker ha preso piede e inizia a muoversi attraverso la rete. Per evitare questo tipo di movimento laterale all’interno dell’ambiente di un’azienda, i microtunnel, basati su un modello di accesso per utente e per applicazione della sicurezza Zero Trust, aiutano ad aumentare le difese proattive».
CONCLUSIONE
Qualche giorno fa, ho trovato in rete un pensiero di autore sconosciuto che a me è piaciuto molto: “Gli attacchi informatici sono come disastri naturali. Non c’è modo di impedire a un uragano di colpire la tua città, ma puoi sicuramente prepararti”. Credo che queste parole ben si adattino come sintesi conclusiva di questo servizio. Anche se so che non è affatto facile, non ci resta che rimboccarci le maniche e affrontare con determinazione questo infinito teatro di “guardie e ladri”.