Gli exploit pubblici continuano a creare danno alle aziende: i motivi vanno dal mancato aggiornamento del software agli utenti che sono preda di tentativi di phishing ben architettati, all’infrastruttura di sicurezza che non è consapevole di particolari vulnerabilità dei prodotti.
Poiché le minacce si fanno sempre più frequenti e sofisticate è importante che ogni organizzazione per proteggersi adeguatamente sia in possesso di procedure di sicurezza regolarmente aggiornate.
Per gestire correttamente la sicurezza, secondo Damiano Colla, regional security systems engineer specialist di Juniper Networks, occorre partire dalle basi, concetti fondamentali che non dovrebbero mai essere dimenticati, come la segmentazione della rete, una gestione adeguata delle password, l’installazione delle patch.
Per quanto riguarda le patch delle applicazioni e dei sistemi operativi, in particolare, è fondamentale implementarle il più rapidamente possibile.
L’intervallo di tempo che trascorre da quando un vendor rilascia una patch a quando lo sviluppatore di exploit kit riesce a mettere a punto una minaccia che sfrutta la vulnerabilità ormai nota è di poche ore.
Non è così irragionevole ipotizzare che l’utente riceva un tentativo di phishing che invita a installare una patch lo stesso giorno in cui la patch stessa viene rilasciata.
Se da un lato, spiega Colla, cerchiamo di attuare solide pratiche di sicurezza, dall’altro gli attacchi sono sempre più legati alla mancanza di conoscenze delle basi di sicurezza informatica da parte degli utenti.
Avviare iniziative di formazione sulla sicurezza, o mettere in atto pratiche come quelle di phishing education, aiuterà a ridurre la probabilità che gli utenti cadano vittime di azioni malevole in modo sistematico.
Oggi attaccare gli utenti con campagne di phishing è uno dei modi più semplici per fare breccia all’interno della rete e dei dati aziendali che per altri aspetti sono magari ben difesi.
Un approccio personalizzato
In uno scenario come quello attuale, sostiene Colla le organizzazioni devono fare un passo avanti nel loro approccio alla sicurezza mediante la personalizzazione e il fine tuning.
È difficile stabilire a quali rischi dare la priorità a meno di conoscere perfettamente punti di forza e di debolezza dell’organizzazione. Rischi, potenziali minacce e tecniche di mitigazione possono essere determinate mediante l’analisi di crisi simulate e modellazioni delle vulnerabilità.
Lo spionaggio industriale, ad esempio, potrebbe essere un grosso fattore di rischio per un’organizzazione e trascurabile per un’altra.
Una volta che il rischio identificato sia stato adeguatamente affrontato è importante eseguire dei test per accertare che l’infrastruttura sia preparata a reggere un attacco.
È possibile effettuare simulazioni efficaci costruendo (o ingaggiando) un red team (POV dell’attaccante) che metta a prova le difese. Per un approccio più completo non è una cattiva idea ingaggiare anche un blue (POV del difensore) e un purple team (al fine di massimizzare il valore delle esperienze del red e del blue team).
Riassumendo, dice Colla, un’organizzazione può adottare tutti i prodotti di sicurezza disponibili ma fino a quando infrastruttura, strategie e risposte non sono state accuratamente testate, resta alta la possibilità che soccomba davanti a un avversario reale senza contrapporre le corrette competenze.
Gli ostacoli da superare
Buone pratiche di sicurezza sono fondamentali ma purtroppo spesso non sono considerate una priorità dall’organizzazione nel suo insieme. Se da un lato le aziende chiedono ai loro team di sicurezza di operare per prevenire gli attacchi, dall’altro le loro mani sono spesso legate da top manager che non intendono rischiare interruzioni di servizio per l’installazione delle patch.
Per aggirare questo problema ci sono diverse azioni che i professionisti della sicurezza e il management possono intraprendere ai fini di costruire un solido programma di sicurezza.
Cambiare mentalità. Ogni settimana si ha notizia di cyber attacchi di alto profilo ma ciononostante per molte aziende la sicurezza con è ancora una priorità. Il cybercrimine cresce e la domanda da porsi non è se saremo vittime di un attacco, ma quando. Tutta l’organizzazione, non solo i professionisti della sicurezza devono vedere la questione attraverso questa lente.
Investire in risorse. Nonostante il livello delle tecnologie disponibili, la carenza di personale specializzato ha un impatto sulla capacità delle imprese di costruire validi team di sicurezza e implementare non solo soluzioni personalizzate ma anche buone pratiche di base. E’ per questo che è importante che ogni azienda, dalla startup alla pubblica amministrazione, investa per assumere e trattenere le figure professionali più adeguate.
Spiegare i rischi reali al top management. Ogni volta che vengono rilasciati degli aggiornamenti, i responsabili della sicurezza devono avere la possibilità e l’autorizzazione a implementarli in un lasso di tempo ragionevole. Se i processi interni sono lenti, l’efficacia delle patch diminuisce. Inoltre, con l’avvento delle assicurazioni contro i cyberattacchi alcune aziende sono disposte a correre il rischio di non correggere le vulnerabilità se il costo di una violazione è minore del costo del disservizio previsto. Per cambiare questo atteggiamento è importante conoscere il costo reale di una violazione.
Gestione del cyber risk. Il rischio legato alla sicurezza informatica non deve più essere visto solamente come un problema del solo dipartimento IT. Al contrario, deve essere gestito esattamente come un qualsiasi altro fattore di rischio aziendale, analizzando i fattori che lo innalzano e quelli che lo possono mitigare, valutando anche il contributo che gli strumenti di automatizzazione possono dare per liberare risorse in altri settori.
