Ospitiamo un intervento di Massimiliano Brugnoli, Cyberdefense & Hybrid Networks Specialist di Orange Business Services sul tema della sicurezza
Nell’ultimo anno segnato in tutto il mondo dalla pandemia di coronavirus, anche la nostra vita digitale – così fondamentale – ha visto aumentare rischi e insicurezza. Le minacce informatiche sono infatti cresciute in modo significativo.
Questa non è una specificità solo della pandemia: siamo ormai abituati alla correlazione tra picchi nelle minacce e i momenti di discontinuità dalla routine usuale – che includono anche ricorrenze liete, festività come Natale o il Black Friday. Tutti questi eventi costituiscono un terreno particolarmente fertile per le minacce informatiche e vengono sfruttati dai malintenzionati al fine di trarne profitto.
Approfondiamo le minacce principali che abbiamo riscontrato di recente, per poi discutere più ampiamente di sicurezza e ragionare sull’approccio più efficace alla difesa dalle minacce informatiche.
Rischi e minacce in crescita
I dati raccolti a livello globale dai 17 SOC di Orange Cyberdefense mostrano un aumento delle minacce che sfruttano il social engineering come vettore di attacco principale: in particolare, crescono tipologie di attacchi come phishing e il download di malicious apps, con contenuti che facevano leva sul tema del Covid-19; affiancati da un aumento di fake news e campagne di disinformazione.
Ad aggravare la situazione, nella prima fase di lockdown le aziende hanno spesso fatto compromessi sul fronte della sicurezza: nella urgenza di tutelare la continuità del business, hanno perso parzialmente controllo e visibilità dei loro sistemi IT.
Chi aveva già adottato strategie di sicurezza direttamente sui device (endpoint security), che uscivano dal perimetro aziendale, ha sicuramente beneficiato di un maggiore controllo e minore impatto. Non a caso le tecnologie EDR (endpoint detection and response) hanno visto un’impennata di vendite nell’ultimo anno.
I rischi durante il lockdown non sono stati solo tecnologici, ma anche di data governance e compliance, come nel caso di dati sensibili aziendali condivisi tramite cloud storage pubblici non necessariamente approvati dalla policy aziendale, o di video riunioni ospitate su sistemi cloud non aziendali, che talvolta hanno consentito l’accesso a persone non autorizzate.
Tutte queste osservazioni mettono in luce un elemento cruciale della cyber defense: molto spesso, è il fattore umano a essere l’anello debole della catena, in particolare quando prevalgono ansia e fretta.
La sicurezza informatica: un cambio di mentalità
La sicurezza va considerata in un’ottica il più possibile ampia: è un aspetto di tutto ciò che fa parte del nostro ambiente, sia in ambito professionale sia nella vita personale, e non è un concetto che possa essere relegato a circostanze specifiche.
È una mentalità orientata alla valutazione del rischio da applicare in ogni situazione: dall’attraversamento di una strada fino alla pubblicazione di un sito web. Fermarsi alla mera valutazione di costi/benefici non è sufficiente per individuare le contromisure adeguate: la sicurezza deve essere una pre-condizione ai principi di data protection.
Nell’era digitale e iperconnessa che stiamo vivendo, il dato è uno degli asset più importanti e la sicurezza non dovrebbe essere relegata al solo ruolo difensivo (cioè a prevenire perdite in seguito ad attacchi), ma diventare un elemento funzionale nella catena del valore.
Anche in ambito aziendale, affrontare il tema della sicurezza non dev’essere concepito come una questione di soli processi o tecnologie, né come uno sforzo isolato nel tempo. È, invece, un cambio culturale che coinvolge tutta l’azienda, che può incontrare resistenze e che non va dato per scontato. Inoltre, costruire una sicurezza adeguata richiede una conoscenza specialistica che va mantenuta e aggiornata continuamente.
Molte aziende si affidano a service provider esterni perché non hanno il budget o le competenze per costruire “dalle fondamenta” questi elementi, direttamente all’interno della loro struttura.
I service provider, invece, investono risorse proprie nella creazione di processi e team di specialisti, con volumi nettamente superiori a quelle di un’azienda media. Inoltre, l’esperienza costruita su diversi clienti crea un valore aggiunto aggregato e una “immunità di gregge”, di cui le altre aziende parte del network potranno immediatamente beneficiare.
L’intelligence delle minacce (threat intelligence)
Il punto di partenza per costruire una linea efficace di difesa è capire quali siano le minacce, ossia la mentalità degli avversari, i loro obiettivi potenziali, gli strumenti che hanno a disposizione. La sicurezza non può essere un retropensiero, ma deve essere integrata nella strategia.
È cruciale tenere a mente la prospettiva dell’avversario: per un attaccante, un tasso di successo dell’1% è un ottimo risultato, mentre chi si difende dovrà resistere efficacemente ogni volta – il 100%.
Questa asimmetria spiega perché sia così importante dotarsi di un’intelligence delle minacce.
La threat intelligence si basa su tre concetti fondamentali: tattiche, tecniche e procedure (tactics, techniques, procedures o TTP), e permette di formalizzare gli obiettivi e il modus operandi dei potenziali attaccanti, così da rilevare e possibilmente anticipare le loro azioni.
Un altro aspetto importante della T.I. è la comprensione del contesto e dei trend che rimodellano il nostro tessuto socio-economico, a partire dall’evoluzione tecnologica.
Ad esempio: in passato, abbiamo visto forti resistenze da parte delle aziende nel migrare i propri dati verso il cloud, perché i dati venivano esportati fuori dal perimetro aziendale e quindi non protetti, ma oggi il cloud offre una tecnologia solida e vantaggiosa ed è un’evoluzione inevitabile.
Lo stesso concetto di “dentro” e “fuori” è ormai obsoleto: le tecnologie sono affidabili, e i data breach si verificano per lo più a causa di impostazioni errate nei sistemi, che gli attaccanti usano a loro vantaggio – indipendentemente dal fatto che il dato sia in cloud o meno. Allora perché non adottare una mentalità più “offensiva”, impostando i sistemi con consapevolezza di come potrebbero essere violati a priori?
Analogo discorso vale per le innovazioni più recenti, come il 5G, Internet of Things (IoT) e Intelligenza Artificiale (IA). I momenti di evoluzione costituiscono un’opportunità per gli attaccanti, e ogni volta che lo scenario muta i difensori devono rimodellare il loro approccio, riparametrando il rischio e rivalutando le contromisure. La velocità è un elemento chiave, e il cybercrime è un business snello, veloce e a elevato ritorno di investimento. Un’azienda che resta statica, senza evolvere i suoi meccanismi di difesa, diventa un target vulnerabile.
I mutamenti causati dal Covid-19 saranno durevoli
Alcune evoluzioni tecnologiche spinte dalle conseguenze del Covid-19 hanno segnato un trend che rimarrà anche a emergenza passata: tra queste l’incremento dei servizi cloud, e in generale le soluzioni che indirizzano resilienza e scalabilità.
È plausibile pensare che smart working e remote working non finiranno con la pandemia, e gli spazi degli uffici si riorganizzeranno da fissi a flessibili. Sarà sempre più necessaria una security policy che abbandoni il vecchio paradigma “dentro e fuori azienda” e che si adegui al roaming degli utenti nei loro diversi luoghi di lavoro, tra casa, flex-office e clienti.
Questo avrà ripercussioni sulla sicurezza e sull’infrastruttura, con un rafforzamento degli end-point, sicurezza in mobilità e software-defined LAN.
Cosa abbiamo imparato?
Come già sottolineato, non ci sono dubbi che nell’ultimo anno il livello di minaccia sia cresciuto: non si tratta necessariamente di armi cibernetiche nuove, ma di un aumento in frequenza dell’attività e della velocità d’azione.
Adattamento e velocità sono le parole chiave: le aziende dovranno aumentare la loro capacità di rilevamento e reazione, indirizzando le risorse aziendali nel rimodellare la postura, mirando agli aspetti che sono mutati.
Durante i momenti di crisi, come quello che stiamo ancora attraversando, è ideale economizzare l’uso di risorse verso ciò che è più importante, con azioni mirate. Un esempio può essere collaborare più a stretto giro con partner e fornitori: alcuni di loro possono avere già affrontato specifiche problematiche, e vedere come hanno risposto può aiutare – ma anche consentire di individuare un eventuale gap nella filiera. I malintenzionati infatti, spesso sfruttano le debolezze nella supply chain, attaccando le aziende tramite fornitori poco protetti e usandoli come veicolo nella catena di attacco.
Una buona notizia è la conferma della resilienza infrastrutturale di Internet, che ha retto molto bene il netto aumento di traffico. Ad esempio, nel caso dell’Internet exchange di Milano, si è passati all’incirca da 800 gigabit/sec a 1.1 Terabit/sec nel solo mese di Marzo 2020, incremento comunque assorbibile dalla capacità aggregata che era già di 6 Terabits/sec. I colli di bottiglia, infatti, sono stati causati dalle reti di raccoglimento dei provider, e non dal backbone internet stesso.
Il ruolo della “sicurezza offensiva”
La sicurezza totale non esiste, ma si può sicuramente innalzare quello che in crittografia viene definito come “work factor”, ossia rendere difficile il lavoro dell’attaccante per far sì che il risultato potenziale non valga più dello sforzo profuso.
Ad ogni modo gli incidenti sono inevitabili e quando accadono occorre essere già pronti.
L’atteggiamento mentale del difensore, per essere proattivo, deve orientarsi a una “sicurezza offensiva”: creare e allenare un piano di difesa e risposta che non abbracci ciecamente la fede nella tecnologia bensì si concentri sulla comprensione della parte offensiva (threat informed defense) e sul predisporre un piano di reazione. La simulazione di attacchi complessi – come Breach&Attack Simulation o Purple Teaming – è un ottimo strumento per creare una giusta postura di difesa.
Per riassumere in un motto il cambio di mentalità necessario, possiamo attingere dalla saggezza degli antichi romani: “Si vis pacem para bellum”, “Se vuoi la pace, prepara la guerra”: anche in ambito cybersecurity.
Per un ulteriore un approfondimento su questi temi
