“I principi tradizionali della cybersecurity non funzionano più. Oggi serve un nuovo playbook per ridisegnare la sicurezza ai tempi del cloud”. L’appello viene da Antti Koskela, Chief Product Officer di WithSecure, che ha affrontato il tema nel corso di una visita al quartier generale della società finlandese dedicato alla stampa.
L’azienda è un attore noto nel mondo della cybersecurity, conosciuta precedentemente sotto il marchio F-Secure. Nel marzo 2022, è avvenuta la ristrutturazione organizzativa: la società ha cambiato denominazione, specializzandosi sulla componente corporate. Per la parte consumer, invece, è stata creata una seconda entità, completamente autonoma, che ha ereditato il brand originario F-Secure.
Nella nuova veste, WithSecure si sta proponendo al mercato delle aziende, portando una visione della sicurezza basata su tecnologie cloud, expertise umana e risultati di business.
Rottamare i modelli di cybersecurity tradizionali
Si parte da una considerazione: le aziende stanno progressivamente migrando i carichi di lavoro sulla nuvola, molte sono digital native; ciò significa portare le risorse online e aumentare drasticamente l’esposizione alle minacce. Come sostiene Koskela, la sicurezza perimetrale è inefficace, va bene concentrarsi sulla protezione delle identità, ma i nuovi modelli Zero Trust non sono infallibili. “Non è possibile automatizzare tutto – afferma Koskela – e gli esseri umani continueranno a commettere errori”.
Nello scenario attuale, le aziende affrontano nuovi dilemmi. Innanzitutto, la carenza di talenti, ma anche un gap di competenze dovuto al fatto che molti professionisti della sicurezza sono ancorati ai vecchi schemi. Inoltre, impatta la velocità dell’innovazione, che non permette alla cybersecurity di tenere il passo. Come dichiara Koskela, ”con il cloud non esiste un numero di versione”; l’innovazione dei prodotti è continua (nessuna possibilità di test come avveniva per le soluzioni on-premise) quindi bisogna correre per cercare di ridurre rischi. Infine, tra le criticità con cui fare i conti ci sono gli obblighi di compliance alle normative (GDPR, DORA, NIS2, Cyber Resilience Act e così via), che collidono con le esigenze di velocità e agilità delle imprese.
“Il problema – sostiene Koskela – è che il business model del cloud è monopolista. Ci sono dei super-aggregatori (i grandi provider, ndr) che diventano obiettivi chiave per gli aggressori”. Affidarsi a un unico fornitore diventa una scommessa rischiosa per le aziende: da qui l’importanza di differenziare e segregare i compiti, costruendo una strategia di sicurezza allineata agli obiettivi aziendali.
“Non si può fare tutto da soli” dichiara Koskela. “Avvalersi di un partner invece permette di ottenere i ritorni di business auspicati a un costo conveniente, sopperendo alla mancanza di talenti interni”. Nella visione di WithSecure, insomma, l’offerta di tecnologie, consulenza e servizi gestiti permetterebbe alle imprese di costruire un modello di sicurezza calibrato sui risultati e in grado di soddisfare le necessità aziendali, anche in termini di compliance normativa.
Chiunque può diventare un pirata informatico
Ripensare le strategie di cybersecurity diventa necessario anche a fronte di un quadro sulle minacce a tinte fosche. Come racconta Neeraj Singh, Senior Researcher di WithSecure, lo scenario è dominato da una complessità crescente e dal modello cybercrime-as-a-service.
“Oggi – spiega – gli aggressori possono acquistare i malware come servizio in qualsiasi forum clandestino, senza la necessità di svilupparli in autonomia”. La filiera del cybercrime diventa di conseguenza indecifrabile: uno stesso attacco può essere condotto utilizzando script diversi, sviluppati da gruppi criminali differenti. Risalire al responsabile finale dell’attacco diventa estremamente complicato, soprattutto perché oggi in realtà “chiunque può diventare un pirata informatico”, come sottolinea Singh.
Chiaramente, la rivendita di malware permette ai gruppi criminali di aumentare velocemente il proprio fatturato, favorendo la crescente popolarità del modello as-a-service. In un panorama così frammentato, “bisogna avere una visione di insieme, piuttosto che inseguire i singoli attaccanti” commenta Singh. Soprattutto perché gli aggressori durante un attacco differenziano le tecniche per fasi e sono pronti a cambiare rapidamente tattica, se vedono che la precedente fallisce.
Threat Intelligence per dipanare la complessità
Il team di Threat Intelligence di WithSecure lavora in risposta alle nuove sfide, mettendo allo stesso tavolo professionisti della cybersecurity e data scientist. L’obiettivo è ricostruire la catena degli attacchi, definire modelli ricorrenti, intercettare le correlazioni tra le diverse tattiche (ad esempio, un attacco finalizzato all’esfiltrazione dei dati e ad attività di Command & Control parte tipicamente da un tentativo di eludere le barriere difensive, cancellando cronologie, disattivando gli antivirus e così via). Il progetto BlackFin, finalizzato all’applicazione dell’intelligence collettiva nel dominio della cybersecurity, offre un’ulteriore spinta alle attività di analisi delle minacce, sfruttando tecniche di apprendimento automatico e LLM (Large Language Model).
“Abbiamo unito esperti della cybersecurity e della data science – racconta Paolo Palumbo, VP di WithSecure – così abbiamo utilizzato il machine learning spalmandolo in diversi ambiti e ottenendo evidenze che altrimenti l’uomo non sarebbe in grado di elaborare, fosse solo per la vastità delle informazioni da gestire”.
Per studiare il panorama delle minacce, WithSecure può contare sugli enormi volumi di dati provenienti dai sensori installati all’interno dei dispositivi. “Sui dati telemetrici – prosegue Palumbo – applichiamo meccanismi di detection oppure tecniche di apprendimento automatico per identificare le anomalie, risalire le diverse attività a ritroso, ricostruire la catena di attacco”.
Il lavoro di intelligence di WithSecure è coadiuvato dalla collaborazione bidirezionale con terze parti, in particolare con vendor specializzati e forze di polizia. “Il nostro obiettivo – dichiara Palumbo – è costruire una visione a 360 gradi sul panorama delle minacce e gli eventi di sicurezza. Il darkweb è una fonte di informazione, ma rappresenta solo la punta più evidente di quanto accade, da inserire in un contesto più ampio”.
La sicurezza insomma inizia dalla conoscenza e dalla prevenzione, trasformando l’approccio reattivo in proattivo, ma con la consapevolezza che qualcosa può sempre andare storto (come dimostrano le simulazioni e i test di awareness che WithSecure conduce all’interno delle aziende) e bisogna arrivare preparati, con un piano efficace di Incident & Response.
