12 minute read
EXECUTIVE ANALYSIS
AZIENDE E WEB: SICUREZZA DA MIGLIORARE
Il blocco del traffico e l’oscuramento della visibilità possono causare danni molto rilevanti alle imprese. Ma il problema è spesso sottovalutato.
Oggi la cybersecurity ha acquisito un peso maggiore fra le priorità di business, laddove in passato era spesso considerata come una semplice spesa necessaria. È successo a causa della dilagante digitalizzazione dei processi, dell’esplosione del remote working nel 2020 e anche dell’eco mediatica dei danni subìti dalle aziende colpite da attacchi o incidenti. Senza dimenticare le esigenze di allineamento alle normative entrate in vigore, a cominciare dal Gdpr. Gli studi più recenti sul mercato italiano confermano come phishing, malware di vario genere e botnet siano le tipologie di attacco più osservate dalle aziende. Nel corso dell’ultimo anno, i cybercriminali hanno spostato la loro attenzione verso gli endpoint, individuandoli come anello più debole della catena di protezione, ma anche verso attacchi ritenuti più efficaci, come quelli DDoS (Distributed Denial of Service). Su quest’ultimo fronte, dal “Rapporto Clusit” si evince come nel 2020 sia stato toccato un volume fino a 7 terabit per secondo, in fortissima crescita rispetto al picco massimo di 1,8 Tbps dell’anno precedente. La preoccupazione è rafforzata dall’ultimo “Threat Intelligence Report” di Corero, dove si nota che nel 2020 l’86% degli attacchi DDoS ha avuto una durata inferiore ai dieci minuti: un tempo utile ai malintenzionati per testare i punti deboli di una rete, ma difficile da sfruttare per i tradizionali sistemi di sicurezza.
Quanto è critica l’infrastruttura La superficie di esposizione per dati e sistemi appare la principale fonte di preoccupazione per chi deve giostrarsi fra scelte tecnologiche interne (fatte magari in epoche storiche diverse e da integrare tra loro), diffusione di una maggior cultura e consapevolezza interna sui rischi. Questi ultimi derivano dai comportamenti dei dipendenti ma anche dalle relazioni con i fornitori esterni, ai quali sono state affidate componenti più o meno estese dell’infrastruttura
o delle applicazioni. Technopolis ha realizzato una ricerca qualitativa che ha coinvolto una quindicina di aziende italiane, per analizzare come si stiano occupando della sicurezza collegata alla loro presenza e visibilità su Internet. Il panel degli intervistati è stato costruito puntando su realtà molto differenziate fra loro in termini di settore industriale di appartenenza, ma accomunate da una dimensione indicativa medio-grande e da una consistente presenza sul mondo Web (in qualche caso limitata alla visibilità istituzionale, in altri più estesa ad aspetti che coinvolgono direttamente il business). Appare intuibile come le realtà che generano business diretto via Internet vedano nella componente infrastrutturale un elemento critico nel più generale contesto delle proprie strategie di cybersecurity. Non è detto che questo coincida con la presenza di un classico sito di e-commerce oppure con servizi di interazione diretta con la clientela finale. Per diverse aziende pesa in modo talvolta significativo anche il fattore B2B, nel quale rientrano i rapporti commerciali con partner e fornitori, con tutti i flussi e la movimentazione di dati sensibili collegati. Laddove ci sia una pronunciata percezione di criticità, anche le misure di protezione riservano un ruolo specifico a soluzioni dedicate, anche se spesso demandate ai provider di connettività o di gestione dei servizi. Sul fronte opposto si trovano le aziende che su Internet espongono solo una presenza istituzionale o poco più. In questi casi, prevale la percezione che i danni da eventuali attacchi o blackout di visibilità non siano particolarmente rilevanti e la ridondanza dei siti sia sufficiente per rimediare nel brevissimo termine. Anche queste organizzazioni, tuttavia, hanno perlopiù fatto scelte di migrazione di processi ritenuti non centrali, per esempio la posta elettronica o la produttività individuale, ma la strategia di protezione rientra in quella più complessiva di cybersecurity. Le risorse economiche dedicate alla protezione dell’esposizione sul Web sono allineate alla tendenza generale che si è registrata nel 2020 per tutta l’area della cybersecurity. Sulla spesa IT complessiva la sicurezza ha ancora un peso relativamente limitato, perlopiù inferiore al 10%, ma in molti casi sta crescendo rispetto agli anni precedenti.
Preoccupazioni e contromisure Solo una quota minoritaria del campione d’indagine ha dedicato specifiche risorse interne alla protezione delle minacce che più tipicamente sono riconducibili al mondo del Web. In questi casi, prevale la presenza di soluzioni Waf (Web Application Firewall) per il filtraggio delle applicazioni Web e il monitoraggio del traffico http, così come di intelligent routing o ridondanza di collegamenti. Solo nei casi di maggior sensibilizzazione verso la criticità della presenza sul Web, tuttavia, sono state adottate soluzioni ad hoc. Di contro, laddove ci sia un sito di e-commerce sia affidato a un fornitore terzo o una buona parte dell’infrastruttura poggi su cloud provider, vengono demandati ai soggetti esterni anche la protezione da potenziali attacchi e l’eventuale ripristino della situazione preesistente (in un tempo massimo di qualche ora). Guardando ai principali ambiti di preoccupazione, prevalgono temi legati alle classiche aree di rischio più comunemente registrate negli ultimi anni. Un attacco di phishing, la compromissione del servizio email o il successo di un ransomware sono fattori di massima attenzione per le aziende, per cui lì si concentrano anche le misure di prevenzione, con un mix di tecnologie più o meno tradizionali, servizi (e sempre più spesso servizi gestiti), formazione al personale, analisi comportamentali sui sistemi e strumenti di rilevazione e rimedio anche avanzati.
Il pericolo DDoS Come abbiamo già visto, gli attacchi di tipo DDoS sono quelli che più comunemente possono essere associati alla presenza su Internet. Difficile, in modo particolare, appare la capacità di mitigazione in breve tempo, se non sfruttando servizi sottoscritti appositamente. Nel “Rapporto Clusit” si legge che nel 2020 circa 15mila anomalie di aziende clienti di Fastweb sono potenzialmente attribuibili ad attacchi DDoS, con un andamento giudicato stabile rispetto all’anno precedente. Le aziende del panel selezionato da Technopolis non sembrano però coinvolte in questo genere di situazioni: nessuna di loro ha indicato di aver subìto in tempi recenti un attacco di questo tipo e solo alcune hanno detto di essere state bersagliate in un passato più o meno lontano. Per questi e altri motivi, nella stragrande maggioranza dei casi non è stato adottato uno piano specifico di protezione o mitigazione da attacchi DDoS. Piuttosto frequente è l’affidamento completo a specialisti esterni di questo genere di attività. Operatori di telecomunicazioni, cloud provider o fornitori specializzati sono i principali soggetti coinvolti, nella consapevolezza che questi abbiano capacità di assorbimento e pulizia assai di cui difficilmente le singole aziende sono dotate. I previsti investimenti a breve e medio termine appaiono più tesi a migliorare aspetti di sicurezza giudicati critici. La protezione dei dati da possibili esfiltrazioni, il rafforzamento di attività di penetration test e vulnerability assessment o la prevenzione da rischi generati all’interno delle aziende appaiono le priorità più rilevanti per i responsabili della cybersecurity. Solo in alcuni casi sono previsti investimenti più direttamente collegabili alla componente Web o al rafforzamento della migrazione al cloud, con interventi specifici di DDoS mitigation o introduzione di Web application firewall.
Roberto Bonino
DIVERSI APPROCCI ALLA PROTEZIONE ONLINE
Almaviva è una realtà che eroga servizi digitali e su questo fronte propone una doppia anima, dovendo proteggere da un lato la propria superficie digitale e dall’altro quella dei clienti gestiti. Per tutti e due gli aspetti, da poco abbiamo attivato una nuova policy che si basa sulla tipologia di dato gestito e che su esso costruisce le contromisure, sia di tipo preventivo sia attivo. Roger Cataldi, responsabile cybersecurity practice di Almaviva Italia
La protezione del dato per noi è cruciale. Esistono un budget e delle persone che si occupano solo di questo, e sta crescendo in maniera molto forte la maturità aziendale su questo fronte. Negli ultimi tempi si è rafforzata l’esplorazione dell’universo digitale in direzione di una maggiore interazione con i clienti e questo sta facendo crescere l’attenzione verso la prevenzione dei furti e la gestione delle identità. Riccardo Tinnirello, global IT operations & enterprise architecture director di Amplifon
Per una società di logistica a 360° come la nostra, la business continuity è fondamentale, per cui dallo scorso anno disponiamo di una replica in near real time di tutti i nostri sistemi in cloud. La componente Web rientra in questo contesto e rivestono una particolare importanza soprattutto l’interazione con i nostri clienti, la gestione di molti processi amministrativi e la comunicazione con le sedi nel mondo. Roberto Mondonico, Cio di Arcese Da quest’anno abbiamo iniziato ad adottare un approccio più strategico sul fronte della sicurezza, che parte da una visione olistica di tutto il patrimonio informativo aziendale. Con un mix di tecnologia e servizi, vogliamo creare una soluzione integrata che massimizzi il livello di protezione su tutti i nostri processi, siano essi on-premise o già portati in cloud. Paolo Cozzi, Ict manager di Caffè Borbone
Per noi tutto ciò che è on-premise, offpremise o che viaggia sul Web deve avere lo stesso livello di attenzione, le stesse politiche di sicurezza e user experience. Nell’affrontare scelte in una direzione o nell’altra ci basiamo sempre sulla nostra strategia IT complessiva, che interpreta anche il cloud come una delle possibili opportunità, nel momento in cui occorre ragionare su evoluzioni di infrastrutture e applicazioni. Massimiliano Cappa, executive vice president Ict di Danieli & C.
Il nostro modello di business si fonda su una digitalizzazione molto spinta, che ci porta anche a essere molto esposti verso l’esterno. Anche il lavoro dei consulenti finanziari, più diretto in passato, si è dovuto riadattare alle nuove modalità di interazione imposte dalla pandemia. Alla luce di queste considerazioni, abbiamo attivato una strategia di difesa inevitabilmente strutturata su diversi livelli, per creare meccanismi di difesa capaci di intercettare le minacce nelle loro diverse concretizzazioni. Gianluca Martinuz, Cio di Fineco Bank Siamo una multiutility che, in funzione del business, si appoggia a un utilizzo diversificato della componente Internet. La parte preponderante viene svolta dal mondo B2C, coperto dalle aree di vendita per quanto riguarda energia elettrica, gas e calore per teleriscaldamento. Come principali misure, alla segregazione della rete dati OT e alla protezione del perimetro del data center si aggiungono tecnologie per la gestione di accessi e privilegi e strumenti più evoluti di threat intelligence. Alessandro Cattelino, responsabile sicurezza Ict di Gruppo Iren
Siamo un Internet Service Provider, quindi per noi è estremamente critica l’esposizione verso il Web. Di conseguenza, negli anni abbiamo costruito un’architettura di rete, processi e best practice che ci consentissero in prima battuta di tutelare la customer base. La DDoS mitigation fa parte di questa strategia e serve anche per le nostre attività interne, a loro volta molto basate su Internet. Fabrizio Lo Buono, head of security & telco cloud di Linkem
Gli aspetti di protezione del Web per noi fanno parte di un approccio più integrato al tema della sicurezza. Siamo un’azienda di produzione, esiste però per noi una componente di e-commerce, di peso economico relativo, ma importante nell’ambito delle relazioni e delle interazioni con la nostra clientela per ottenere dati sicuri e precisione negli ordini, ormai del tutto dematerializzati. Stefano Tironi, IT manager di Lonati
PROACTIVE DDOS MITIGATION PER UNA INTERNET PIÙ SICURA
Oggi molto è cambiato rispetto a dieci anni fa, soprattutto grazie al fatto che Internet è entrata in quasi ogni aspetto della nostra vita e che la tecnologia consente un sempre maggior numero di esperienze in tempo reale. Esse vengono facilitate dalle varie aziende che premono per accelerare l’adozione delle loro tecnologie, portando a modificare i comportamenti delle persone verso la modalità “sempre connessi”. È essenziale quindi imparare a proteggere la tecnologia che permette di essere “sempre connessi in tempo reale”. Gli attacchi Distributed Denial of Service (DDoS) stanno aumentando in modo significativo ogni anno, costando alle aziende milioni di dollari di entrate perse, diminuzione della reputazione del marchio e abbandono dei clienti. L’approccio standard ai rischi sembra essere quello difensivo o reattivo, che prevede un intervento solo dopo che è avvenuto l’attacco. Il risultato è che in questo modo, a causa degli effetti potenzialmente devastanti del rischio informatico, vengono messi inutilmente in pericolo il business, i dipendenti e i clienti. Il servizio di DDoS Mitigation di Gtt è un’offerta proattiva che rileva e rimuove immediatamente il traffico pericoloso, garantendo la business continuity anche in caso di attacco DDoS su larga scala. Il servizio sfrutta la massima tecnologia di nuova generazione della piattaforma DDoS, che fornisce rilevamento immediato delle minacce, analisi approfondite dei pacchetti e filtraggio del traffico compromesso presso gli scrubbing center Gtt. Il servizio è fornito in modalità “always-on” e “ondemand” per soddisfare un’ampia gamma di esigenze dei clienti. Stare al passo con le minacce alla sicurezza in rapida evoluzione è una delle maggiori sfide affrontate oggi dalle aziende. Gtt offre protezione tramite sicurezza a più livelli e pacchetti di conformità completi, tutti completamente gestiti, monitorati e supportati.
Matteo Biancani, vice president sales di Gtt
Pur avendo una presenza online centrata essenzialmente sull’e-commerce e sulla visibilità istituzionale, ci preoccupano gli attacchi di tipo DDoS e per questo lavoriamo con IP diversi. Per cui, in caso di minaccia su una specifica connettività, possiamo attivarne una di riserva automaticamente e in tempi ristretti. Simone Santini, IT infrastructure manager di Lucart
Rientriamo nella categoria degli operatori di servizi essenziali, per cui la protezione del dato e la sicurezza in generale sono aree sulle quali investiamo più che in altri ambiti. Via Internet viaggiano informazioni in tempo reale e anche attività che generano business diretto per noi. Tutti gli aspetti di protezione, però, vengono visti come componente essenziale dell’evoluzione architetturale complessiva. Sul tema della cybersecurity abbiamo definito un framework di riferimento a livello nazionale con l’associazione di tutti gli aeroporti italiani e quello è il nostro punto di riferimento. Fabio Degli Esposti, Cio di Sea-Aeroporti di Milano
Pur essendo una realtà che gestisce magazzini e organizza spedizioni per le aziende della moda, una parte rilevante delle nostre attività è indirizzata all’ecommerce per conto dei nostri clienti, tant’è vero che nel 2020 abbiamo effettuato oltre due milioni di spedizioni. Conta per noi soprattutto la business continuity e per questo abbiamo definito policy specifiche, che comprendono misure come la ridondanza dei collegamenti e la presenza di Web application firewall. Sandro Bolognesi, IT director di Snatt
I cambiamenti legati alla pandemia, in chiave di evoluzione delle abitudini di lavoro, per noi si sono assommati a quelli di tipo societario, generando una spinta verso l’innovazione che tocca anche gli aspetti di sicurezza. Stiamo rivedendo tutta la strategia su questo fronte, con l’obiettivo di una maggior centralizzazione operativa, a cominciare dalle componenti di telecomunicazioni e presidio perimetrale. Barbara Brunetti, IT manager corporate di Targetti-3F Filippi
Per noi è vitale soprattutto il tema della business continuity, perché siamo anche una università online e gli studenti devono poter accedere in qualsiasi momento della giornata. Sul Web gira la nostra piattaforma di formazione, con il contorno di vari siti dedicati ai corsi o di tipo istituzionale. Abbiamo tecnologie che ci consentono di rilevare anomalie di traffico e stiamo valutando l’adozione di uno strumento che fornisca in tempo reale alert intelligenti per prevenire possibili attacchi, anche di tipo DDoS. Marco De Nicola, responsabile area IT di Università degli Studi “Guglielmo Marconi”
