Le tecnologie digitali sono ormai parte integrante delle attività quotidiane di tutte le aziende e questo le rende più vulnerabili alle minacce informatiche. A complicare le cose si aggiunge, poi, il fatto che gli attacchi ai sistemi di sicurezza – che prendono di mira sia i dati sia le infrastrutture critiche – sono sempre più sofisticati.
Questa situazione obbliga le organizzazioni ad allestire sistemi di cybersecurity in grado di contrastare le nuove minacce. Ma tra le molteplici proposte, come si devono orientare le imprese? Gartner ha la sua “ricetta” sulle security operation. Ce la illustra Riccardo Leonardi, Head of Service Design di Cyberoo, che con gli analisti di Gartner ha un dialogo continuo.
Si estende l’attack surface
“Dai molteplici articoli che pubblica Gartner, il messaggio chiave che emerge è un preoccupante ampliamento dell’attack surface” afferma Leonardi. “In pratica, aumenta sempre di più il perimetro che le aziende devono difendere per evitare di essere attaccate”.
Gartner evidenzia che la superficie di attacco sta aumentando essenzialmente per tre motivi.
- Smart working. Il lavoro da remoto è ormai una prassi consolidata per molte aziende. Per abilitarlo, hanno dovuto ampliare la connettività verso il proprio personale adottando VPN, soluzioni di desktop as a service e virtualizzazione del workspace. Tutte soluzioni che aumentano la superficie di attacco e, quindi, il rischio di subire un attacco.
- Cloud. Le aziende stanno migrando molte applicazioni dall’on-premise verso il cloud, come nel caso di Office 365 e G Suite, o lo storage su Azure o AWS. Questo aumenta l’esposizione dell’azienda su Internet e, di conseguenza, i potenziali rischi.
- IoT e OT. Le organizzazioni, soprattutto quelle manifatturiere, stanno inserendo diverse componenti connesse e intelligenti nella loro parte produttiva e in tutto ciò che fa capo all’industria 4.0. In pratica, stanno allestendo una serie di endpoint che potrebbero essere sfruttati dagli attaccanti e che, quindi, vanno adeguatamente monitorati e protetti.
La soluzione di Gartner
La risposta di Gartner all’aumento del rischio di attacchi si chiama Cybersecurity Mesh. Come si intuisce dal nome, oggi per attuare un’efficace difesa non basta più installare un firewall, un antivirus o un sistema di protezione degli endpoint che operano autonomamente per tenere sotto controllo alcuni elementi della rete. “Oggi serve un ecosistema di security in cui i vari componenti siano interconnessi tra loro” precisa Leonardi. “Per creare un’efficace linea di difesa, si devono poter collegare tutte le informazioni raccolte e monitorarle attraverso un unico centro di controllo”.
Il rischio dello skill gap
Un altro aspetto che, secondo Gartner, è alla base dell’aumento dei rischi di sicurezza è lo skill gap. Oggi, la carenza di personale specializzato è un problema molto importante per le aziende e il mondo della cybersecurity ne risente in particolar modo. La soluzione sempre più spesso adottata dalle organizzazioni per fronteggiare la situazione è chiedere aiuto a un partner esterno, in grado di farsi carico della gestione della sicurezza analizzando tutto il traffico dati all’interno dell’infrastruttura IT.
Secondo Leonardi, “le aziende con 1.000-2.000 postazioni di lavoro sono quelle che mostrano la maggiore consapevolezza nei confronti del rischio e quindi quelle che più cercano di adottare efficaci sistemi di sicurezza ricorrendo a un partner. Però sono ancora molte le imprese che non attivano un’adeguata protezione, soprattutto tra le più piccole”.
Attenzione a cosa si espone
Data la sempre maggiore eterogeneità delle soluzioni IT usate in azienda e la velocità con cui evolve la tecnologia, Gartner ritiene che prenderà sempre più piede l’exposure management. Si tratta delle tecniche per monitorare in maniera continuativa, h24 e in near real time, se i dispositivi IT usati in azienda sono soggetti alle ultime vulnerabilità individuate o a eventuali errori di configurazione. Quello delle minacce zero day è un problema che mantiene una grande rilevanza, perché è una via sempre più sfruttata dai criminali informatici.
“Bisogna poter conoscere le vulnerabilità non appena sono rese pubbliche dai vendor per non esserne vittima” sottolinea Leonardi. “Il provider deve essere rapido ad acquisire tutte le informazioni disponibili e, attraverso il servizio fornito, SOC o MDR, deve trovare immediatamente una soluzione. Deve poter installare le patch, se disponibili dal vendor, oppure creare workaround per bloccare o mitigare le vulnerabilità. Grazie a una collaborazione con Gartner, in Cyberoo abbiamo messo a punto il continuous scanning, una funzione che scansiona quotidianamente tutte le apparecchiature, sia quelle esposte verso Internet sia quelle interne, per stabilire se sono soggette alle nuove vulnerabilità”.
Tenere la supply chain sotto controllo
Oggi, la cybersecurity non è però solo una questione di sistemi di sicurezza aziendali. Gartner suggerisce, infatti, di attuare il supply chain risk management, ovvero il monitoraggio del rischio che potrebbe venire dalle controparti di business. In pratica, si tratta di capire come è configurata la sicurezza di tutta la supply chain, dai fornitori ai clienti fino a qualsiasi azienda con la quale si collabora. Una vulnerabilità presente nella rete, anche del più piccolo e lontano partner, può essere individuata dai cybercriminali ed essere usata come via di accesso all’organizzazione.
“Esistono metodi totalmente passivi che raccolgono dall’esterno informazioni sull’infrastruttura IT dei partner e che, quindi, consentono di avere un’indicazione del livello di rischio a cui si può andare incontro” aggiunge Leonardi. “In Cyberoo, abbiamo sviluppato il servizio supply scanner per fornire alle aziende informazioni sui dispositivi IT dei loro partner commerciali e capire quanto può essere rischiosa o meno l’interazione. Possiamo raccogliere dati sui sistemi che sono esposti verso Internet e operare un’analisi agnostica delle vulnerabilità che potrebbero presentare, sia conosciute, sia zero day”.
Porre rimedio ai danni con l’incident response
Gartner afferma che “nessuna organizzazione è sicura al 100%. Le aziende non possono controllare le minacce o i cyber criminali. Possono solo controllare le priorità e gli investimenti nella preparazione alla sicurezza”. Quindi, può accadere che, anche se si sono allestiti i migliori sistemi di sicurezza, si sia lo stesso vittima di un attacco. E questo può arrivare a bloccare l’operatività quotidiana, la produzione, i macchinari o anche una rete IoT.
A fronte di questo, un altro servizio che sempre più spesso viene richiesto ai provider di sicurezza è l’incident response. “In pratica – precisa Leonardi – si tratta di un team di specialisti che interviene presso le aziende che hanno subito un attacco per cercare di ristabilire la situazione. Un sistema core di monitoraggio, come è il nostro, agisce in maniera preventiva, nel tentativo di anticipare e bloccare qualsiasi tipo di minaccia. Tuttavia, sono così tante le richieste di aiuto per ripristinare l’operatività e riprendere il business dopo che un’azienda ha subito un attacco, per esempio un ransomware che ha criptato i dati o un’esfiltrazione delle informazioni, che abbiamo allestito un team specializzato per questo tipo di interventi”.
