Che il Covid-19 abbia favorito l’aumento dei cyber attack è un dato ormai noto. Lo hanno evidenziato molti analisti con l’avallo di diversi studi. Tra questi, l’ultimo Global Security Insights di VMware ha intervistato 3.542 CISO (Chief Information Security Officer) di 14 Paesi del mondo. Nella parte dedicata all’Italia, il report ha coinvolto 251 professionisti della cyber security, il 71% dei quali ha affermato che gli attacchi sono cresciuti soprattutto a causa dell’incremento di lavoratori da remoto.
Lo conferma Sabino Trasente, Senior Business Solution Strategist di VMware: “Quasi l’80% degli intervistati a livello globale ha dichiarato di aver subito attacchi informatici durante il periodo della pandemia, che è coinciso con un maggior numero di dipendenti che hanno lavorato da casa e, quindi, con molti più device che si sono connessi alle reti aziendali. Questo fenomeno ha esteso le attack surface”. Secondo il NIST, si tratta dell’insieme dei punti sul confine di un sistema, un elemento del sistema o un ambiente in cui un aggressore può tentare di entrare, causare un effetto o estrarre dati. Per contrastare questa situazione “un altro dato interessante – aggiunge Trasente – è che più del 60% dei professionisti concorda sull’esigenza di avere maggiore visibilità dei dati e delle applicazioni. Se c’è meno controllo all’interno del proprio perimetro, occorre la visibilità su quello che le applicazioni fanno una volta che quel perimetro viene raggiunto”.
Perché il ransomware è il cyber attack più diffuso
Il genere di attacco prevalente che si è registrato dall’anno scorso a oggi è stato il ransomware. “La Threat Analysis Unit di VMware – sottolinea Trasente – ha verificato che soprattutto nella prima metà del 2020, che coincide con il picco della pandemia, c’è stato un aumento del 900% di questa tipologia di attacco”. Le ragioni della sua diffusione si fondano sull’estensione della superficie aggredibile, ma anche sul nuovo fenomeno del ransomware-as-a-service: attacchi preconfezionati ai quali gli hacker possono attingere con maggiore facilità.
Senza considerare che il riscatto successivo al trafugamento dei dati, che si minaccia di divulgare o di rivendere nel dark web, è uno dei cyber attack più redditizi per chi lo compie. “Più superfici e più possibilità di attacco, ma anche più persone che utilizzano questa tecnica. L’insieme di questi fattori – continua Trasente – stanno spingendo molte delle organizzazioni con le quali collaboriamo ad affrontare il tema della sicurezza in modo diverso rispetto al passato, a 360 gradi. Non soltanto perciò dal punto di vista perimetrale, ma anche delle persone e dei processi, fino a raggiungere le applicazioni, che ovviamente sono il cuore delle operazioni che vengono svolte tra il dipendente e l’azienda”.
Mitigare il rischio con le regole della cyber hygiene
Lo smart working o il remote working, tuttavia, non vanno considerati come la causa diretta delle violazioni, quanto piuttosto il nuovo contesto in cui è opportuno ribadire un concetto chiave che Sabino Trasente tiene a rimarcare senza giri di parole: “Gli attacchi informatici possono costituire un rischio sia per le grandi aziende, sia locali sia internazionali, sia piccole imprese”. E questo vale anche per i diversi ambienti IT e le differenti infrastrutture, siano esse on-premise oppure in cloud. “Nonostante sulla sicurezza siano stati fatti molti passi avanti, rimane una sfida raggiungere la sicurezza al 100%. Quello che si può fare è mettere in campo le azioni di mitigazione del rischio, quanto meno per ridurre la probabilità di essere attaccati. Esistono a tale scopo delle regole auree che vanno sotto il nome di cyber hygiene e che riescono a prevenire fino all’80-90% degli attacchi”. Fra queste regole rientra ad esempio la crittografia dei dati, l’aggiornamento costante dei sistemi, la multi factor authentication (MFA) tipica delle app bancarie, la segmentazione, che suddivide la rete in aree circoscritte onde evitare che l’attacco si diffonda lateralmente.
Zero trust architecture, endpoint e processi
Attenersi alle norme della cyber hygiene è un buon inizio, ma potrebbe non bastare. “Per VMware – chiarisce Trasente – l’architettura di riferimento è quella che viene chiamata zero trust architecture. Non solo non ci si fida delle persone che vengono dall’esterno, cioè gli hacker, ma nemmeno delle persone che sono già all’interno dell’azienda. L’errore umano, infatti, molto spesso genera diversi attacchi. Oltre al ransomware non bisogna dimenticare il social engineering: phishing, spamming, spoofing e così via. Ci sono una serie di fattori che vanno tenuti in considerazione e l’architettura zero trust cerca di abbracciarli tutti”. Uno fra i tanti è il fattore endpoint che, specialmente nella modalità sempre più diffusa del BYOD (bring on your device), rappresenta un punto di ingresso fondamentale dell’intera catena, molto appetibile per i malintenzionati in un’epoca dominata da una forza lavoro distribuita. Ai fini della sicurezza informatica, il trinomio “people, process and technology” è sempre valido, ma con una avvertenza che riguarda “l’estensione della tecnologia verso il processo. Il BOYD – esemplifica Trasente – è una scelta dell’azienda. Come renderlo sicuro, è una scelta tecnologica”.
La nuova sicurezza che occorre nel new normal
C’è da chiedersi se le aziende sono pronte ad affrontare questo cambiamento in cui la cyber security è chiamata a focalizzarsi sui processi, oltre che sugli strumenti e sulle soluzioni tecnologiche da mettere in campo. “Il lavoro da remoto è qui per restare – dice in conclusione Sabino Trasente -. A mio avviso, l’esperienza fatta verrà capitalizzata. Anzi, la stiamo già capitalizzando. Il new normal in cui viviamo è ormai un dato di fatto e bisogna far evolvere quello che facciamo sulla base delle conoscenze e delle esperienze. Offrire, quindi, la sicurezza come un servizio che guardi all’endpoint, che dia il massimo della visibilità estendendosi al lato applicativo e monitorando anche in maniera silenziosa. Va ricordato che l’attacco ransomware spesso rimane silente e talvolta è perfino recrudescente, se non lo si è estirpato del tutto all’inizio. Da qui una contromisura come il monitoraggio silenzioso”. Tutte indicazioni che presuppongono, ovviamente, “la scelta del partner giusto che possa, insieme all’azienda, portare avanti un progetto di security trasformativo che duri nel tempo”.
Questi argomenti verranno approfonditi nel Vmworld 2021 che si terrà online il 6 e 7 ottobre. Qui il link per registrarsi.