Il report di Forrester Predictions 2016: Cybersecurity Swings To Prevention contiene, come suggerisce il titolo, una prima forte indicazione rispetto ai trend in atto in ambito It Security: considerando le tre azioni, e i rispettivi strumenti, che concretizzano le strategie di sicurezza delle aziende, Prevention, Detection, Response, ovvero “prevenzione” (delle minacce prima che possano entrare nella rete), “rilevamento” (di attacchi già in atto, che hanno già superato i confini aziendali) e “risposta” (agli incidenti, attraverso azioni riparative), la prima si mantiene un elemento chiave nell’approccio delle imprese, che continuano a investire in soluzioni con questa funzione: un’alta percentuale dei technology decision-makers pianificano di accrescere le spese in security, nel 2016 rispetto all’anno scorso, dal 5 al 10% (dati da Forrester Global Business Technographics Security Survey); la società di ricerca scommette sul fatto che gli investimenti in strumenti e azioni di prevenzione saranno assolutamente allineati a queste percentuali.
Una così forte fiducia delle aziende nella Prevention, sottolinea Forrester, è tutt’altro che scontata se si considera come l’anno scorso la crescente popolarità delle soluzioni di “rilevamento” e “risposta” agli attacchi (l’It, come dice Forrester, è stato “bombardato” da messaggi sulla necessità di aumentare le spese in quest’area) abbia a tratti generato la sensazione di un suo progressivo superamento. Al contrario, la prevenzione è ben lontana dal declino: “Semplicemente si è evoluta, proprio come si sono evoluti gli strumenti di Detection e Response”, scrivono gli analisti di Forrester, che invitano le aziende ad andare oltre il “tradizionale” antivirus e considerare nuove tipologie di soluzioni per la protezione degli endpoint che utilizzano tecniche di exploit prevention (per esempio Palo Alto Networks Traps Advanced Endpoint Protection, Microsoft’s Enhanced Mitigation Experience Toolkit e CylanceProtect) e analytics predittivi per la protezione della rete che mirano a individuare e bloccare gli hacker prima che possano effettuare attacchi (per esempio OpenDns).
Perché si è generato l’anno scorso questo “fraintendimento” e perché, sebbene molti vendor ed esperti del settore si siano mantenuti equilibrati, varie voci hanno invece associato l’ascesa della Detection a una perdita di terreno della Prevention? Forrester punta il dito su alcune “intramontabili” dinamiche commerciali e invita gli esperti di security a mantenersi autonomi nei propri ragionamenti. Il report della società di analisi lancia dunque un avvertimento che riguarda non, in generale, i vendor, ma alcune categorie di fornitori che spinti da un portfolio di soluzioni molto verticale, potrebbero operare forzature nel proprio approccio al mercato, allontanandosi dal modello del “partner di business”, alleato dell’It, a cui dovrebbero tendere.
Sì ai partner d’esperienza, no alla compliance come guida del percorso
Un secondo campanello d’allarme, secondo la società di ricerca, riguarda alcune realtà appartenenti a quella categoria di security technology provider che, abituati a servire il settore militare e governativo, si sono aperti, attraverso una serie di rapide acquisizioni, a quello commerciale, senza tuttavia aver adattato adeguatamente le soluzioni né essersi strutturati per gestire le diverse esigenze del mondo privato rispetto a quello pubblico: Forrester prevede che questi progetti di investimento “improvvisati” saranno perlopiù destinati a fallire. Le soluzioni che propongono possono dunque essere valutate e sfruttate a proprio vantaggio, ma il consiglio è di mantenersi prudenti nell’impostare collaborazioni a lungo termine. L’esperienza di un partner commerciale all’interno dello specifico settore di appartenenza è di contro un valore a cui va data la giusta attenzione.
La lista degli errori e delle “influenze” da soppesare con attenzione prosegue quindi, nel report, toccando il tema della compliance: troppo spesso le aziende la rendono guida assoluta del proprio percorso rinunciando ad approcci più lungimiranti e completi: “Focalizzatevi sui vostri obiettivi per sviluppare un programma di Grc [governance, risk, compliance – ndr] e non fatevi guidare dalla prospettiva limitata dei regolamenti normativi”; un monito diretto in particolare alle agenzie governative americane (per quanto la questione sia tutt’altro che limitata a questa categoria): secondo la società di ricerca la gravissima violazione dell’Office of Personnel Management avvenuta la scorsa estate, che ha causato la sottrazione dei dati personali di milioni di cittadini americani, ha portato solo a normative più stringenti e non allo sviluppo di strategie più evolute, basate sul calcolo del rischio. Da cui un’altra previsione di Forrester per il 2016: il Governo americano, obiettivo troppo interessante per i cybercriminali per poter essere ignorato, subirà inevitabilmente una nuova significativa violazione.
Sicurezza integrata: le chiavi di miglioramento tecnologiche
Oltre a quelli descritti, la società di ricerca dà altri consigli alle aziende e individua alcune tendenze di carattere tecnologico:
- Iot e network segmentation – Il settore medicale vedrà crescere nel 2016 il numero di informazioni sensibili legate ai pazienti presenti nei data center, dati che aumenteranno anche per il progressivo diffondersi dell’Iot (si pensi alle wearable technologies per il monitoraggio delle funzioni vitali); il rischio che i sempre più numerosi attacchi vadano a buon fine aumenta col crescere degli smart objects: ogni oggetto collegato è un potenziale veicolo per entrare nel network, arrivare al datacenter e sottrarre o estorcere informazioni preziose (una cartella clinica elettronica sul mercato nero vale circa 50 dollari e le credenziali sanitarie circa 10, molto più di un numero di carta di credito). Tra le risposte tecnologiche particolarmente preziosa – non solo per il settore medico, ma fondamentalmente per qualunque azienda abbia visto negli ultimi anni ampliarsi i propri perimetri – può essere la network segmentation, che, suddividendo la rete in sotto-aree, contrasta la libera circolazione delle minacce all’interno della stessa.
- Sicurezza dato-centrica – Da un approccio perimetrale è necessario passare a una sicurezza dato-centrica che, sfruttando la segmentazione sopra descritta, aumenti il grado di sicurezza in base alla tipologia dei dati da proteggere e utilizzi massicciamente soluzioni di Detection per intercettare eventuali attacchi già in atto (senza che ciò significhi privarsi, ovviamente, di strumenti di prevenzione e risposta agli incidenti). Le aziende sembrano aver recepito questa urgenza: un altro report della stessa Forrester, Cybersecurity Budgets Remain Strong, Skills Lag in 2016, oltre a segnalare che i budget dedicati alla sicurezza nel 2015 sono rimasti sostanzialmente stabili in tutti i settori attestandosi attorno al 21% di quelli a disposizione dell’It, rileva che i rappresentanti della sicurezza si stanno di fatto orientando proprio verso la network security e i modelli dato-centrici (figura 1).
- L’on-premise “non cede il passo” – Nel report appena citato si legge anche come, a dispetto delle previsioni rispetto alla diffusione di soluzioni cloud e servizi di outsourcing, le imprese ancora intendano investire in strumenti di sicurezza in-house e in aggiornamenti per soluzioni di questo tipo già in uso: l’on-premise continuerà nel 2016 a essere l’opzione prediletta dagli esperti di sicurezza, seppure si registreranno investimenti crescenti sia nel campo dei managed services che in quello delle soluzioni cloud (figura 2)
Lavorare con gli utenti… e le risorse umane
C’è un’ultima “Predictions 2016” da ricordare: le ripetute violazioni ai danni degli utenti e i sempre maggiori ricatti che questi subiscono – che spesso si traducono in riscatti pagati, e dunque in un effettivo impatto economico – hanno, secondo Forrester, attratto l’attenzione anche delle risorse umane: sicurezza, tutela e risoluzione degli incidenti informatici diventeranno per l’Hr un benefit che utenti sempre più sensibili al tema potranno apprezzare. Da cui il consiglio della società di ricerca all’It: “Costruite una relazione più stretta con le risorse umane […] l’Hr può essere d’aiuto nel promuovere policy comportamentali in campo privacy e sicurezza utili a modificare positivamente le abitudini degli utenti”; utenti che, presi di mira attraverso azioni di fishing sempre più mirate ed efficaci, rimangono l’elemento di vulnerabilità più difficile da combattere.