“La fortuna non è una misura di sicurezza”, esordisce con questa massima diffusa tra chi si occupa di security Marco Zanovello, Program Manager di Yarix, Cyber Division di Var Group SpA, nel riflettere sull’atteggiamento ancora molto diffuso delle aziende nei confronti dei rischi che una digitalizzazione pervasiva, non accompagnata da un’adeguata strategia di security, può comportare al proprio business.
Il cybercrime non fa differenze di settore o dimensione aziendale
“Ormai non ci sono differenze né dimensionali né di settore: la progressiva trasformazione digitale ha reso le informazioni più fruibili, ma anche più aggredibili”, ricorda Zanovello. Nonostante i titoli dei giornali che riportano sempre più spesso notizie di data breach devastanti, con perdite economiche di miliardi di euro e danni all’immagine ancora più difficili da risanare, l’atteggiamento di molte aziende, soprattutto di medie e piccole dimensioni, è ancora di differire gli investimenti in security perché “in fin dei conti finora non mi è mai successo niente”.
“Il problema è che quando succede, poi è troppo tardi. E di segnali ben chiari che dovrebbero indurre ad alzare l’asticella dell’attenzione ce ne sono parecchi: uno per tutti è il trend evidenziato da tutti i report di settore, che segnala come le organizzazioni criminali vadano continuamente ampliando i possibili target.
Il problema non è più essere, per esempio, una istituzione finanziaria o una grande azienda dal brand conosciuto per entrare nelle mire di un attacco, il problema è solo del ‘quando’ questo avverrà”, afferma il manager della security division del system integrator italiano VAR Group.
Così come dice John Chambers, Presidente ed ex CEO di Cisco: “Ci sono due tipi di aziende: quelle che sono state hackerate e quelle che non sanno ancora di essere state attaccate”
Affermazione confermata dagli ultimi dati presentati dal Clusit che nel 2014 ha coniato una nuova “categoria vittima” chiamata Multiple Targets, colpita da attacchi che non si rivolgono solo a uno specifico settore, ma a più comparti contemporaneamente, per condurre i quali i cybercriminali utilizzano tecniche d’attacco altamente industrializzate, concepite per poter raggiungere il maggiore successo possibile in differenti situazioni. Ebbene, nel 2018, questa categoria risulta in testa alla classifica delle più colpite con 304 attacchi (+36,9% rispetto all’anno precedente).
Anche dall’ultimo Report Annuale di Cisco sulla Cybersecurity risulta che i criminali informatici stanno portando il malware a livelli di sofisticatezza e impatto senza precedenti. Il crescente numero e la varietà di tipi e famiglie di malware perpetuano il caos nel panorama degli attacchi, minando le azioni che i responsabili della sicurezza mettono in atto per guadagnare terreno e mantenere la propria posizione in relazione alle minacce.
Nel 2017 uno degli sviluppi più importanti nel panorama degli attacchi è stata l’evoluzione del ransomware. L’avvento di worm ransomware basati sulle reti rende superflua la presenza dell’elemento umano per lanciare le campagne. Inoltre, alcuni criminali informatici non ambiscono al riscatto, ma puntano alla distruzione di dati e sistemi. Questa attività è destinata ad aumentare nel prossimo anno
SOC: come estendere la security enterprise alle PMI
Ma se il cybercrime è “democratico”, nel senso che può colpire tutte le tipologie di imprese, le risorse a disposizione per combatterlo non sono le stesse: “Certo, un servizio SOC – Security Operation Center, per esempio, è un servizio molto impegnativo perché ha senso se è attivo h24x7x365: i criminali non dormono la notte e non fanno ferie! Monitorare le attività della rete attraverso un servizio di questo tipo è per un’impresa molto oneroso ed era nel passato prerogativa di grandi organizzazioni”, ricorda Zanovello, per poi precisare: “Ma oggi non è più così. Ci sono operatori, come Var Group che con Yarix, che hanno un proprio SOC e offrono il servizio di monitoraggio della rete ad aziende di tipologia, dimensionale e settoriale, estremamente differente”.
Il SOC Yarix è una control room specializzata nell’erogazione di servizi gestiti e professionali di sicurezza informatica, presidiata senza soluzione di continuità da un security team composto da analisti, sistemisti e tester, specializzati rispettivamente in attività di monitoraggio real-time, gestione degli apparati di sicurezza, security assessment, digital forensic investigation: “Attraverso l’utilizzo delle più recenti e innovative soluzioni tecnologiche nel campo della security, il servizio permette di individuare in tempo reale e bloccare o mitigare una vasta gamma di attacchi informatici e di contribuire a mantenere l’integrità e della disponibilità delle informazioni e dei sistemi attaccati. Monitorando le reti dei nostri clienti gestiamo ed elaboriamo miliardi di log alla settimana, siamo nell’ordine dei 20 miliardi di log, che ci consentono di individuare le anomalie che potrebbero generare incidenti”, spiega il manager.
Un SOC dove le tecnologie adottate devono essere sempre all’avanguardia: “Certo, per questo ci avvaliamo di partner tecnologici di primaria importanza, come Cisco che con Talos, divisione di Threat Intelligence, vengono messe a fattore comune le minacce rilevate a livello globale (Talos analizza ogni giorno a livello worldwide 600 miliardi di email e 1,5 milioni di malware), per poi bloccare ovunque a livello locale. Un approccio globale e locale insieme.
Ma la tecnologia non basta! Per riuscire a essere efficaci in un contesto così complesso bisogna avere una metodologia, dei processi codificati e skill di altissima qualità”.
Il supporto dell’azienda ai propri clienti è quindi, prima di tutto, un supporto consulenziale: “Il primo passo è comprendere insieme al cliente qual è il perimetro da proteggere; bisogna capire quali sono gli asset strategici da proteggere e quali sono i possibili scenari di rischio. Solo a questo punto si può studiare un servizio adatto alle esigenze del cliente, un servizio che non può essere standard, perché ogni azienda è diversa e ha necessità differenti, e che quindi viene tagliato su misura”.
I rischi derivanti dalla convergenza IT/OT
Infine, tra i rischi che iniziano a essere percepiti, anche se non ancora sufficientemente, avanza prepotentemente quello legato alla convergenza IT/OT. L’Industrial cybersecurity è un tema di grande attualità, ma non sempre le aziende hanno una reale percezione dei rischi che corrono: “La rete OT è sempre stata slegata dalla rete IT e dal mondo Internet, ma oggi non è più così perché anche quando non vi è una connessione diretta, questi dispositivi non sono mai completamente isolati (basta un’attività di manutenzione perché il dispositivo si trovi esposto su Internet). E la criticità è ancora maggiore perché questi oggetti non sono stati pensati per essere messi in rete, il software non viene aggiornato per timore che poi non funzioni qualcosa. Nel momento in cui un attacco penetra nella linea di produzione, in un magazzino o nell’impianto di una infrastruttura critica, il danno può essere devastante. Ecco quindi che far gestire la propria sicurezza di rete da un SOC esterno supporta l’azienda anche nell’implementazione di progetti Industria 4.0 o IoT”, conclude Zanovello.