Come si costruisce una strategia di cybersecurity efficace in ambienti It sempre più aperti e distribuiti, a fronte di attacchi in crescita per numero e varietà? Il webinar organizzato da Zerouno in collaborazione con CyberTech ha suggerito una linea di difesa che mette al centro il Security Operations Center (Soc) come approccio strutturato all’identificazione ed eradicazione delle minacce.
Le tecnologie da sole non bastono, ma piuttosto vanno inserite nel contesto di un piano olistico che comprende processi definiti, un team di esperti, capacità di analisi, strumenti di orchestrazione. Si tratta di progetti altamente complessi e l’alternativa di un Soc fruito in outsourcing permette di ovviare a molte problematiche di budget e organizzazione. I fornitori specializzati hanno infatti la potenza di fuoco per garantire il monitoraggio degli eventi in modalità 24/7 e soprattutto un modello di Incident Response basato su procedure ed expertise.
Lo scenario allarmante della cybersecurity
Le strategie di sicurezza informatica sono oggi tra le principali leve competitive. Come descrive Luca Bechelli, Practice Leader Information & Cyber Security Advisory Team di Partners 4 Innovation, lo scenario della cybersecurity è infatti particolarmente critico. Secondo il Clusit, in Italia, il numero di attacchi gravi andati a buon fine ha registrato un’impennata del 91,2% nel quinquennio 2014-2019.
“Dal report del World Economic Forum – sottolinea Bechelli -, emerge che i cyber attacks rappresentano la minaccia tecnologica più rilevante. Un’indagine condotta da Verizon rileva che il 71% degli attacchi informatici ha una motivazione di tipo finanziario, per creare un danno economico o a scopo di estorsione. Il quadro è allarmante e non esclude nessun settore, dalla Sanità al Finance all’industria manifatturiera; tuttavia, rappresenta soltanto la punta dell’iceberg: nei rapporti sono conteggiati soltanto gli incidenti conosciuti, che hanno avuto risonanza mediatica o sono comunque di dominio pubblico”.
Le statistiche 2019 del Clusit evidenziano che la principale minaccia è rappresentata dal malware (44%), in forte crescita rispetto all’anno precedente (+24%): “Sono attacchi relativamente semplici – dice Bechelli -, automatizzati e che esistono da diverso tempo. Eppure le aziende faticano ancora a proteggersi. Aumentano esponenzialmente anche i tentativi di phishing, che registrano un’impennata dell’81% e rappresentano il 17% delle minacce. Cala invece il ricorso tecniche più sofisticate e mirate, condotte manualmente: gli hacker sanno che possono comunque ottenere ritorni significativi utilizzando metodi tradizionali, con il minimo sforzo”.
Bechelli aggiunge qualche dato Clusit sul contesto nazionale: tra i settori più colpiti, il primo posto spetta al Gaming, seguito dagli istituti finanziari e assicurativi; gli enti della Pubblica Amministrazione sono settimi in classifica. In Italia la situazione non è rosea e le aziende faticano nella lotta al cyber crime, con ingenti perdite economiche. “Il nostro Paese – prosegue il Practice Leader – è ottavo nella lista Ponemon per il costo generato mediamente dai data breach”.
Le organizzazioni faticano a proteggersi
Bechelli evidenzia come le aziende siano soprattutto impegnate nel risolvere piccoli attacchi, con un livello di severità medio nel 46% dei casi, quindi facilmente prevedibili ed evitabili. “Gli attaccanti cercano di perpetrare azioni più semplici ma su larga scala, con ritorni inferiori dalla singola vittima ma che premiano per il numero di organizzazioni colpite. Il ramsonware è un esempio tipico e tra le tecniche più remunerative; NotPetya costituisce ancora il più grave attacco della storia, con un danno causato di dieci miliardi di dollari”.
Nonostante la relativa semplicità delle tecniche di cyber attack, Bechelli fa notare che i tempi di incident management si stanno comunque dilatando. Secondo il Ponemon Institute, nel 2019 la finestra media per identificare un attacco in corso equivale a 206 giorni, contro i 197 nel 2018 e i 191 del 2017. Il periodo per il contenimento è stato valutato pari a 73 giorni nel 2019, 69 nel 2018 e 66 nel 2017.
Come sostiene Bechelli, difendersi dagli attacchi è una questione di cultura e formazione delle persone verso i temi della cybersecurity (basti pensare alla diffusione del phishing che fa leva proprio sulla distrazione umana), ma anche di tecnologia. “La velocità – afferma il Practice Leader – con cui vengono perpetrati e si propagano gli attacchi richiede una prontezza di risposta che l’uomo non può garantire. L’attività malevola si gioca nell’ordine di minuti, se non addirittura secondi. Servono tecnologie in costante aggiornamento, con persone dedicate e competenti”.
Diventa necessario quindi un cambiamento nelle strategie di gestione degli incidenti che consenta di mitigare i rischi attraverso la formazione dell’Incidente Response team, l’esecuzione di test per verificare la bontà del piano di risposta, la condivisione della conoscenza sulle minacce, il coinvolgimento del board aziendale sulle problematiche di sicurezza, l’impegno verso la difesa integrata di tutta la filiera (secondo Ponemon, la voce di costo più gravosa deriva dagli attacchi perpetrati a danno di aziende terze, come partner e fornitori).
Bechelli conclude con alcune considerazioni da tenere a mente quando si disegnano le strategie di Incidente Response: “Il 52% degli incidenti – sintetizza – sono dovuti a errori umani. Il 99% delle falle di sicurezza nel cloud è imputabile al cliente e non al provider (anche utilizzando i servizi sulla nuvola, bisogna sempre fare attenzione alle questioni di security perché parte della responsabilità ricade sull’azienda). L’emergenza Covid-19 ci ha insegnato che attualmente non ci sono alternative all’uso di strumenti tecnologici per garantire la resilienza e la continuità operativa del business. Bisogna pertanto essere preparati, a maggiore regione visto il rischio di possibili ricadute”.
Il Soc al cuore delle strategie di sicurezza
La parola passa a Riccardo Morsicani, Principal Security Architect di CyberTech, che apre con una breve presentazione aziendale: “Siamo il centro di eccellenza per la sicurezza informatica del Gruppo Engineering, con oltre 300 specialisti e dieci anni di esperienza nel settore, operante in una ventina di Paesi nell’area Emea”. In particolare, la società mette a disposizione delle aziende clienti un Security Operations Center, con professionisti qualificati e tecnologie all’avanguardia sul fronte della detection e dell’Incident Response.
“Gli attaccanti – prosegue Morsicani – con il minimo sforzo fanno leva sulle piccole vulnerabilità, dalla distrazione umana alla patch non applicata al mancato aggiornamento delle tecnologie. Chi difende invece deve assicurare la protezione su ogni componente (dalle infrastrutture aziendali alla rete domestica dell’utente in smartworking al dispositivo mobile), con una strategia complessa e articolata”.
Il punto di partenza per definire un piano di sicurezza efficace e olistico parte dall’analisi delle modalità di attacco per sviluppare una duplice linea di difesa, in funzione preventiva e in risposta all’incidente.
“I punti di ingresso di un attaccante – racconta il Principal Security Architect – possono essere tecnologie o persone. In entrambi i casi bastano pochi minuti per fare breccia e iniziare a muoversi “silenziosamente” all’interno dei sistemi Ict, esplorando gli asset e arrivando all’obiettivo della data exfiltration. Le tecnologie difensive, per bloccare le minacce all’entrata, non sono infallibili e serve quindi un piano strutturato di threath detection e Incident Response. Il cuore della strategia è il Security Operations Center che deve includere necessariamente persone, processi e tecnologie per proteggere un ambiente It complesso, distribuito su più siti e con risorse eterogenee”.
Come è strutturato il Security Operations Center
Il primo componente tecnologico del Soc è il Siem (Security Information and Event Management), che permette di monitorare in tempo reale e correlare gli eventi di sicurezza sui sistemi Ict aziendali, automatizzando la raccolta e la gestione dei log. Dall’analisi delle informazioni disponibili, è possibile identificare eventuali attacchi, quindi inviare notifiche di alert e innescare azioni di risposta. Nelle strutture evolute – interne all’azienda o gestite da fornitore specializzato – si aggiunge anche l’attività di threath intelligence condotta dai professionisti dei Csirt (Computer Security Incident Response Team), che conducono analisi più approfondite per il rilevamento delle minacce.
“La situazione – ribadisce Morsicani – è comunque molto complessa e richiede personale altamente preparato. Bisogna infatti prioritizzare gli interventi in base alla gravità del caso, gestire adeguatamente gli incidenti, riutilizzare il knowledge acquisito per applicarlo in futuro, creare report e metriche per misurare l’efficacia degli interventi, automatizzare il processo di risposta”.
A valle del processo, secondo Morsicani, la componente Soar (Security Orchestration, Automation and Response) sta dimostrando un altissimo livello di efficacia. “Con questo approccio – prosegue – le procedure di sicurezza vengono censite e richiamate in funzione dell’incidente. Gli analisti ricevono una scheda dettagliata dell’evento in corso, arricchita con tutte le informazioni di contesto necessarie per supportare il triage e quindi attivare le risposte corrette. Sintetizzando, il Soar permette di amministrare centralmente gli strumenti di sicurezza, accelerarando la raccolta e l’analisi dei dati relativi agli attacchi. È l’elemento che consente di effettuare il salto di qualità nelle strategie di sicurezza”.
In chiusura di presentazione, Morsicani cita l’approccio IBM Security Immune System, adottato da CyberTech e in perfetta sintonia con la fislosofia aziendale, che mette al cuore le soluzioni di orchestrazione e analisi delle minacce, garantendo la gestione da un unico punto di tutti gli strumenti e gli ambiti di sicurezza.
Le criticità delle aziende italiane
Gli argomenti condivisi dai relatori durante il webinar hanno suscitato diversi punti di discussione.
Dalle domande pervenute dagli utenti emerge innanzitutto la difficoltà dei responsabili It nel sensibilizzare la dirigenza rispetto ai temi della sicurezza. Come convincere a investire in piani di prevenzione e risposta agli incidenti? Un punto di persuasione, come suggerisce Bechelli potrebbe essere il paragone con la concorrenza: “i competitor si stanno muovendo e corriamo il rischio di rimanere indietro”. Morsicani suggerisce un assessment che mostri al management le effettive vulnerabilità dell’azienda agli attacchi, offrendo evidenza dei rischi e delle possibili soluzioni. Le attività di formazione, condotte anche con modalità alternative, ad esempio ricorrendo alla gamification, sono invece fondamentali per aumentare la consapevolezza dei dipendenti e mitigare i pericoli.
Il dibattito prosegue sul tema del Soc: come costruire un centro operativo per la sicurezza in modo che sia conveniente anche per le aziende medio-piccole? Il consiglio di Morsicani è appoggiarsi a player esterni, che abbiamo conoscenze comprovate su tecnologie diverse (per coprire le esigenze dei clienti a 360 gradi), un numero di addetti sufficiente a gestire le turnazioni 24×7, le competenze sulle differenti tecnologie di attacco. “Il Soc come servizio – puntualizza il Principal Security Architect – può essere utilizzato anche in caso di soluzioni cloud, rivelandosi altrettanto efficace e conveniente”.
Tra gli highlights che emergono dal webinar, la necessità di evolvere le competenze e dedicare tempo sui temi della sicurezza torna con insistenza: “La tecnologia non è sufficiente – riassume Morsicani -. In molti casi, gli hacker sferrano l’attacco alla ricerca dell’anello debole: colpiscono insomma dove trovano la vulnerabilità ed è più facile entrare. Basta anche l’errore umano e la sola difesa non è abbastanza efficace”. “La questione è complessa – conclude Bechelli – e il giusto bilanciamento tra tecnologie e persone è l’unica soluzione possibile. Le competenze, interne o esterne all’azienda, vanno comunque dispiegate. Serve un punto di atterraggio a lungo termine, soprattutto considerando che il quadro della cybersecurity andrà peggiorando e che la protezione degli asset informativi non deve distogliere dalle priorità: ovvero fare business”.