12 minute read
EXECUTIVE ANALYSIS
PREVENZIONE E REAZIONE CONTRO GLI ATTACCHI SOFISTICATI
Lo scenario della cybersecurity è in costante evoluzione e le aziende si trovano ad affrontare minacce tanto pericolose quanto difficili da individuare. Le modalità di risposta mescolano in modo variabile competenze interne e appoggio a servizi esterni specializzati, per accrescere la rapidità di rilevazione e intervento.
Molti fattori contribuiscono a rendere complesso lo scenario della cybersecurity: nuove vulnerabilità vengono scoperte di continuo in sistemi hardware e software, mentre si sta affermando una nuova era di employee mobility, in cui l’aumento degli accessi remoti e delle applicazioni cloud-based fanno crescere il numero di dispositivi, dati e flussi di lavoro da proteggere. Di per sé, un ideale approccio olistico alla sicurezza aziendale presenterebbe una struttura semplice, che parte dalla valutazione dei rischi, passa per la capacità di rilevare rapidamente le minacce e approda all’ottimizzazione del tempo di risposta. Nella realtà, tuttavia, la maggior parte delle aziende strutturate e con una certa storia alle spalle deve fare i conti con un’infrastruttura stratificatasi nel tempo, una componente legacy più o meno ingombrante, una consapevolezza dei dipendenti e collaboratori ancora troppo debole, una superficie di esposizione sempre più articolata e i consueti problemi di limitazione dei budget. Come intuibile, la presenza di un’infrastruttura IT ramificata e stratificata porta con sé il rischio di subire attacchi più insidiosi, per la loro capacità di individuare il punto debole di una catena articolata e poi muoversi in modo spesso elusivo all’interno dei sistemi informativi. Se la complessità resta un elemento critico, in gran parte le tattiche di accesso iniziale all’interno del framework enterprise sono ancora relativamente tradizionali e fanno leva soprattutto sull’elemento umano. Molti attacchi si potrebbero prevenire automatizzando le attività di cybersicurezza di routine, concentrando l’attenzione dei team interni sull’analisi orientata alla prevenzione di ciò che potrebbe rendere complesso un incidente.
Il panorama di riferimento delle aziende italiane
Quali misure sono state messe in campo per contrastare questo stato delle cose? Qual è la reale percezione dei pericoli, quali il livello di consapevolezza e l’insieme delle azioni adottate per proteggere il patrimonio di dati e applicazioni? A queste domande ha provato a rispondere un’indagine qualitativa realizzata da Technopolis su un campione di realtà di dimensioni medio-grandi. La selezione di imprese perlopiù storicamente radicate nei rispettivi settori di appartenenza (finance, costruzioni, manufacturing, retail, telco e servizi) ha confermato, innanzitutto, la presenza di un’infrastruttura di cybersecurity complessa, costruita nel tempo con soluzioni destinate spesso a risolvere problematiche puntuali. Nel 2020 si è registrata una certa amplificazione dovuta agli effetti provocati dalla pandemia e alle lacune connesse alla particolare congiuntura, con scelte effettuate in tempi rapidi per adeguare Vpn e sistemi di protezione degli endpoint, per arrivare nei casi più evoluti alla multifactor authentication (l’autenticazione multi-fattore) e alla cyber threat intelligence. Sono relativamente rari i casi di realtà che abbiano proceduto a un’opera di consolidamento dell’insieme di soluzioni adottate, mentre nessun componente del panel si è spinto verso una logica full cloud o mostly cloud. L’adozione abbastanza generalizzata (ancorché recente in diversi casi) di soluzioni Edr (Endpoint Detection & Response) da un lato e del Siem (Security Information and Event Management) dall’altro sono misure che intendono automatizzare alcuni processi basici di rilevazione di anomalie. Allo stesso modo, è ormai
consolidata la scelta di avvalersi di un Soc, un Security Operations Center, in linea di massima in forma ibrida, con la componente di livello 1 e 2 quasi sempre affidata all’esterno. Qui non parliamo tanto di automazione in senso stretto, ma dell’esternalizzazione in forma di servizio di un’attività di prima rilevazione e scrematura che serve a eliminare a monte la necessità di verificare ogni di tipo di alert di sicurezza intercettato dai vari sistemi in uso. Sono diverse le categorie di attacco che preoccupano le figure IT e quelle preposte al presidio della sicurezza informatica. Anche se phishing e malware classici vengono reputati pericolosi solo in parte limitata rispetto alla quantità di tentativi rilevati, l’impossibilità di regimentare oltre una certa soglia il comportamento umano non consente di abbassare l’attenzione. Il timore che, per tale via, possa penetrare in azienda soprattutto un ransomware resta molto alto ed è per questo che si preferisce dover analizzare qualche falso positivo in più pur di non attivare meccanismi che potrebbero avere effetti devastanti sull’operatività e sul business. Molti dei soggetti interpellati hanno indicato come elementi di massima preoccupazione anche le minacce Apt (Advanced Persistent Threat), gli attacchi fileless e gli zero-day exploit. I primi sono particolarmente temuti per la loro capacità di insinuarsi nei sistemi e restare inattivi anche per lunghi periodi di tempo senza essere rilevati, mentre gli ultimi vengono reputati pericolosi di default poiché sfruttano vulnerabilità fino a quel momento ignote anche agli sviluppatori dei programmi presi di mira.
Le nuove frontiere
Una delle frontiere più recenti per potenziare la lotta alle minacce è l’adozione della cyber threat intelligence. Molte delle aziende coinvolte se ne stanno servendo, in larga parte come servizio affidato a specialisti esterni, di solito estremamente verticali (e non necessariamente facenti capo a società con base in Italia). Prevale la convinzione che questa opzione consenta di aumentare la visibilità complessiva sulle cyberminacce, anche grazie alla capacità di scandagliare fonti su deep Web e dark Web. Soprattutto di fronte alle minacce più complesse, appare estremamente critico il tempo di rilevazione e risposta. Molte misurazioni, proposte nel tempo e ricavate da casi reali, indicano spesso in mesi la capacità di individuare determinate tipologie di attacco, soprattutto quelli di tipo persistente (Apt). La velocità di reazione normalmente si misura nella capacità di esecuzione corretta dei processi essenziali di detection & response, includendo il threat hunting proattivo, l’analisi retrospettiva delle cause, la remediation e la mitigazione. Esistono realtà già evolute al punto di aver istituito uno Csirt (Computer Security Incident Response Team) o perlomeno un Cert (Computer Emergency Response Team), ovvero team operativi di sicurezza, che a monte garantiscono in una particolare vigilanza su aspetti come i nuovi attacchi e malware, le ultime vulnerabilità rilevate e così via, per conoscere lo stato della minaccia e valutare il grado di rischio della propria organizzazione. A valle, invece, essi analizzano e affrontano gli incidenti di sicurezza aiutando a risolverli. Numerosi sono i fronti di evoluzione sul breve e medio termine, poiché nel variegato scenario della cybersecurity ogni azienda ha la necessità di coprire qualche aspetto giocoforza lasciato indietro. In alcuni casi verranno privilegiati gli aspetti di automazione, anche con l’integrazione di tecnologie di intelligenza artificiale e machine learning, mentre in altri si andrà verso il potenziamento delle capacità di monitoraggio. Un altro tema forte, collegato al progressivo spostamento di applicazioni e carichi di lavoro verso il cloud, riguarda il concetto di Sase (Secure Access Service Edge), che prevede l’implementazione di un framework di sicurezza progettato per far convergere le tecnologie di sicurezza e connettività di rete in un’unica piattaforma, per una migrazione ritenuta più rapida e protetta.
Roberto Bonino
LE PAROLE CHIAVE CONTRO LA COMPLESSITÀ
Stiamo concentrando la nostra attenzione sulle capacità di intelligence per migliorare la prevenzione degli attacchi informatici e la nostra postura generale di sicurezza. Vogliamo investire su servizi e tecnologie che garantiscano un monitoraggio continuo, migliorando la nostra capacità di avere visibilità sull’intera infrastruttura, che si tratti del mondo enterprise IT oppure della rete distribuita su tutto il percorso autostradale. Simone Pezzoli, group Ciso di Autostrade per l’Italia
Per evitare dispersioni e ridondanze o, ancora peggio, gap nell’infrastruttura di sicurezza, occorre come nel nostro caso aver creato a monte una governance robusta che presiede il disegno delle soluzioni. Ci siamo orientati verso un approccio di security by design, per cui ogni nuovo progetto implica in modo mandatorio già nella fase di demand l’analisi di tutti i rischi di sicurezza collegati. Alessio Pomasan, Cio di Banca Mediolanum
L’evoluzione della complessità della cybersecurity ci ha portato ad avviare un percorso articolato di protezione ottimizzata degli asset. Se la tecnologia Siem e l’internalizzazione del Security Operations Center sono serviti per minimizzare il rumore di fondo e concentrare l’attenzione sulle minacce più pericolose, ora vogliamo monitorare con attenzione il lavoro da remoto e le terze parti. Sase e zero-trust saranno le parole chiave dei prossimi sviluppi. Alessandro Bulgarelli, Ciso di Bper Ritengo che accrescere il livello di automatizzazione possa portarci a un miglioramento della reattività nella risposta, e potenzialmente a lavorare anche in tempo “quasi-reale”. In questa direzione abbiamo già fatto dei passi, come l’adozione della tecnologia Edr per gli endpoint, e vorremmo proseguire in abbinamento agli strumenti di intelligence. L’intervento umano, però, continuerà a essere necessario come cuscinetto fra il monitoraggio e la reazione a possibili incidenti. Stefano Venturini, responsabile Ict security di Cattolica Assicurazioni
Abbiamo identificato cinque pillar sui quali focalizziamo progetti e roadmap di sicurezza informatica. Ogni iniziativa si mappa su persone, applicazioni, dati, infrastruttura e prodotti, in quest’ultimo caso per noi i veicoli connessi. Diversi sono gli ambiti che stiamo studiando per rafforzare la protezione su tutti questi fronti e tra questi ci attraggono le soluzioni Sase/Ztna, per garantire un’adeguata protezione degli utenti dentro e fuori dall’azienda, e poi il concetto di passwordless. Stefano Firenze, Cio, e Guido Barbero, Ciso & Cto di Cnh Industrial
Non è facile spiegare all’interno della propria azienda il senso del valore aggiunto di determinati investimenti in cybersecurity. Nell’ambito delle tecnologie di intelligence noi abbiamo agito sulla brand protection, sull’antifrode e sul monitoraggio della supply chain per restituire un Rosi (il Roi applicato alla sicurezza) percepibile e consentirci di pensare anche a nuovi servizi per verso la clientela, grazie alla capacità di individuare utenze e-commerce compromesse. Alessio Setaro, cyber security keader di Leroy Merlin
I dati sulle nuove tipologie di attacchi quali Apt e zero-day exploit hanno dimostrato quanto possano essere distruttivi soprattutto sfruttando l’anello debole rappresentato dall’elemento umano. A tal file abbiamo adottato e integrato sistemi di gestione delle vulnerabilità ed Edr basati su intelligenza artificiale, che ci consentono di rilevare tempestivamente le minacce e intervenire in tempo reale prevenendo così lo sfruttamento di possibili esposizioni. Vittorio Momento, cyber security manager di Maire Tecnimont
Il macchinoso coinvolgimento di diverse figure nei vari passaggi di identificazione e rimedio alle minacce rende importante poter automatizzare elementi di rilevazione e reazione. Per questo ci siamo recentemente mossi verso l’adozione di una soluzione Xdr (Extended Detection and Response) e l’allestimento di un Soc affidato a un partner di fiducia. Formazione interna e gestione delle identità sono ambiti complementari ai quali stiamo dedicando particolare attenzione. Francesco Cavarero, Cio di Miroglio
Il monitoraggio degli eventi di sicurezza più rilevanti avviene sempre in tempo reale e Banca Mps si è attrezzata per avere tempi di individuazione e risposta adeguati alla severità degli attacchi. Ab-
biamo poi lavorato molto sul processo di incident management & response, ottimizzando i processi interni per l’attivazione tempestiva delle funzioni aziendali coinvolte, al fine di garantire il veloce ripristino dell’operatività, contenere gli impatti e rispettare le tempistiche previste dai regolatori nazionali in questi ambiti. Antonella Caproni, cyber security governance team leader di Monte dei Paschi di Siena
Nel corso dell’ultimo triennio il Cert di Poste Italiane si è evoluto verso un modello di nuova generazione, orientato alla gestione dei Big Data e all’uso di moderni strumenti di data analysis e di Business Intelligence, così come all’utilizzo sempre più frequente di algoritmi e tecniche di machine learning e data mining. Tutto questo supporta le attività di anomaly detection e pattern recognition, riducendo il numero di falsi positivi e identificando minacce nascoste, per consentire agli analisti della cybersecurity di poter focalizzare i propri sforzi solo sulle analisi realmente importanti. Alfredo Terrone, head of security incident management di Poste Italiane
Il lavoro in tempo reale passa per un controllo eseguito sulla base di ruoli definiti e mansioni specifiche da assegnare e valutare periodicamente. Proprio in questo periodo stiamo rafforzando questi aspetti per ottenere un monitoraggio attivo sempre più granulare e arrivare a poter preventivamente capire se una minaccia, ancora non attiva, sia entrata in azienda. Raimondo Noviello, responsabile del Security Coordination Center di Rai
ATTENZIONE ALLO SKILL SHORTAGE
Alcune conferme importanti si ricavano dall’indagine di Technopolis. Innanzitutto, le aziende si trascinano una complessità infrastrutturale di fondo, che non accenna più di tanto a calare. Le strutture di sicurezza presenti in azienda sono ancora alle prese con la gestione di uno stack stratificato, fatto di soluzioni aggiunte nel tempo per risolvere problematiche specifiche o prevenirne altre. L’automazione di alcune componenti di “primo livello” può sollevare gli addetti interni da attività manuali onerose e poco produttive, ma non evita di dover verificare ancora troppo spesso quelli che poi si rivelano falsi positivi. In chiave positiva vanno lette le integrazioni, fatte negli ultimi tempi, di soluzioni Edr per la gestione dei device aziendali e, in casi più limitati, della threat intelligence come strumento di analisi a monte delle fonti di possibili attacchi. Tali tecnologie, affiancate dalla presenza di sistemi Siem e Soc frequentemente affidati all’esterno, aiutano a focalizzare meglio il lavoro delle figure aziendali dedicate alla cybersecurity. Qui però si pone il problema del partner a cui affidarsi. Le scelte appaiono diversificate, con prevalenza di specialisti di questo o quel tema, utili per l’efficacia dell’operato di primo livello ma non necessariamente come soluzione per la complessità. E la difficoltà a reperire risorse qualificate non fa che acuire il problema, a cui le aziende, giocoforza, rispondono ampliando la formazione interna. Dunque, affidarsi a un partner esterno in grado di fornire strumenti, informazioni sempre aggiornate e competenze di alto livello è la soluzione più naturale per consentire a ogni realtà di contrastare in modo efficace gli attacchi più complessi, da tutti ritenuti anche i più pericolosi.
Cesare D’Angelo, general manager di Kaspersky Italia
Adottiamo un approccio risk-based fondato su Iso 27001 e Nist 800 per essere in grado di intervenire sulle componenti più esposte a rischi. Non parliamo solo di aspetti tecnologici, ma anche della definizione di policy, standard e procedure che ci hanno impegnato molto in questi ultimi anni. Abbiamo introdotto anche un nuovo processo di analisi dei rischi informatici, che ci porta a evidenziare i punti più critici sui quali intervenire e indirizzare i piani di mitigazione. Claudia Napoli, responsabile della protezione dei dati, e Alfredo Robusto, information security manager di Real Mutua Assicurazioni
Un’efficace strategia di cybersecurity parte, a monte, da una conoscenza precisa dei propri asset e una corretta categorizzazione in base al rischio. Sempre in ottica preventiva, l’introduzione dell’autenticazione multi-fattore e dei privilegi di accesso da remoto possono completare il disegno infrastrutturale. Importante anche garantire la sicurezza degli endpoint e la gestione proattiva degli allarmi di sicurezza attraverso un Cyber Security Operations Center. Corradino Corradi, head of Ict security, privacy & fraud management di Vodafone
Lavoriamo in una logica di managed detection & response, avendo constatato che fin qui i tempi di risposta sono stati rapidi ed efficaci. Uno dei motivi di questa scelta è proprio cercare di non essere più semplicemente reattivi ma quantomeno proattivi. Ma i passi evolutivi necessari per contrastare al meglio gli attacchi complessi passano anche e soprattutto da un miglioramento dell’awareness delle persone e dall’introduzione di un global Soc per governare tutto ciò che ha a che fare con la sicurezza sia a livello corporate sia nei nostri cantieri. Gian Fabio Palmerini, information & cyber security manager di Webuild
