La sicurezza di sistemi e reti continua ad essere una fonte di preoccupazione per le imprese e non solo a causa delle crescenti tensioni internazionali e degli allarmi per l’avvio di possibili cyberwar.
Negli ultimi 12 mesi molte aziende hanno subito violazioni di reti e sistemi, incorrendo in blocchi operativi o in sequestri di dati attraverso i famigerati ransomware, subendo pesanti richieste di riscatto. In molti casi si è trattato di violazioni che non sono tate rilevate dai sistemi di sicurezza e dagli amministratori e che hanno lasciato i sistemi alla mercé dei criminali per scopi di diffusione del malware, di attacchi di Distributed Denial of Service (DDOS) o di sottrazione dei dati. I casi di sottrazione spesso scoperti quando le informazioni diventano di dominio pubblico o merce in vendita nel Dark Web per altre azioni criminali, con esiti deleteri per l’immagine aziendale e possibili danni per partner commerciali e clienti.
Perché accade tutto questo? Perché, malgrado la modernizzazione e gli investimenti infrastrutturali nel campo della security molti attacchi riescono comunque ad attraversare le difese? Vediamo quali sono i punti più critici con l’aiuto dell’esperto Marco Bavazzano, CEO di Axitea, azienda che opera in Italia come partner di sicurezza e servizi gestiti per grandi imprese e PMI.
Indice degli argomenti
I rischi che derivano dal falso senso di sicurezza
Uno dei principali motivi d’esposizione agli attacchi cyber è la sottovalutazione del rischio. Specie nelle piccole e medie imprese che operano negli ambiti di produzione, in settori diversi da finanza e servizi critici, domina la falsa convinzione di non aver bisogno di protezioni, di non avere dati d’interesse per eventuali cybercriminali e, in caso di attacco, di potersi difendere con semplici backup.
Al contrario, sono queste realtà a finire nel mirino dei cybercriminali, sia per il fatto d’essere bersagli facili sia perché sono gli anelli deboli di grandi supply chain dove condurre attacchi redditizi per le azioni criminali.
Dati in apparenza senza valore possono diventare armi pericolose nelle mani dei criminali, per esempio, per individuare le vulnerabilità dei processi interaziendali, portare a termine azioni di social engineering o altre che possano portare un vantaggio illegale.
Un ulteriore senso di sicurezza fasullo può derivare dall’essersi già preoccupati di proteggere reti e sistemi, per esempio, per la difesa del perimetro LAN o per il controllo antivirus e antimalware. “Purtroppo l’investimento sulle tecnologie del singolo vendor non è sufficiente per garantire sicurezza – spiega Bavazzano -. La tecnologia dev’essere accompagnata da processi e procedure operative capaci di rendere l’insieme dei sistemi resiliente agli attacchi”.
Aver comprato singole componenti senza un progetto e una strategia tagliata in base agli specifici rischi infrastrutturali, di processi e persone dell’azienda non è una condizione per potersi sentire al sicuro.
Perché la cyber security non può fare a meno della threat detection
Se da una parte serve irrobustire sistemi e reti prevenire gli attacchi, dall’altra è vitale avere gli strumenti e capacità per rilevare tempestivamente quando si è sotto attacco. Un’evenienza più comune di quanto non si creda, che rende importante avere le capacità per capire le reti coinvolte, quali sistemi sono stati compromessi per bloccare sul nascere l’attacco attraverso le contromisure più rapide e opportune.
Informazioni utili, in un tempo successivo, per eliminare le fragilità che hanno consentito l’ingresso degli attaccanti.
Hacker e cybercriminali hanno bisogno di tempo per compiere le prospezioni che servono per penetrare nel cuore dei sistemi. Ebbene uno dei problemi è accorgersi delle violazioni iniziali, prima che seguano effetti macroscopici, quali blocchi funzionali o altri danni creati intenzionalmente.
Nella maggior parte dei casi, specie quando lo scopo è la sottrazione di dati, gli attaccanti prendono le misure per nascondere la loro presenza, per esempio, cancellando le tracce lasciate sui log che ne registrano gli accessi. Cosa serve fare per difendersi? “Serve porre l’attenzione sulle capacità di monitoraggio e di rilevazione – spiega Bavazzano -.
Le intrusioni avvengono settimane o anche mesi prima di quando si manifestano gli effetti di un attacco; per questo è importante avere i mezzi e i processi che servono per rilevare e reagire prontamente ai tentativi che preparano gli attacchi”.
Come affrontare le complessità della security con i servizi gestiti
Fondamentale per la resilienza del moderno business digitale, la sicurezza sta diventando sempre più complessa, anche per le aziende che più investono sulla propria infrastruttura IT e hanno al proprio interno team preparati, dedicati alla gestione.
Difendere sistemi e reti richiede specializzazione e aggiornamento continuo, non solo per la migliore conoscenza delle tecnologie di difesa e dei metodi sofisticati con cui i cybercriminali portano a segno gli attacchi.
Il dinamismo che permette alle aziende di sfruttare le occasioni di mercato con nuove app, collaborazioni commerciali, persone e innovazioni dei processi, si accompagna inevitabilmente con un aumento dei rischi di security da identificare e mitigare senza soluzione di continuità. Se malgrado l’impegno l’azienda finisce ugualmente sotto attacco cyber, allora servono processi e risorse da dedicare nella gestione dell’incidente.
Servono piani d’azione sempre pronti, testati e aggiornati nel tempo con le azioni utili per mitigare i danni su fronti diversi: IT, amministrativo, operativo e relazionale. Nel caso di violazioni che abbiano causato esposizione di dati sensibili per la privacy, vanno rispettate le prescrizioni previste dal GDPR e normative collegate, pena l’esposizione a pesanti multe applicate in percentuale sul fatturato.
Un approccio utile per affrontare la complessità della gestione della sicurezza è quello dei servizi gestiti. “Un approccio che viene scelto dalle realtà che non hanno la dimensione economica e organizzativa per gestire in proprio i diversi aspetti della sicurezza o che preferiscono focalizzarsi sul core business – spiega Bavazzano -. Queste realtà hanno convenienza a scegliere sul mercato un security provider in grado di offrire servizi di security su misura. Questo creando procedure sulla base del modello di business aziendale e delle esigenze operative del cliente, mettendo a frutto gli investimenti tecnologici già in essere in modo da evitare che la cattiva gestione vanifichi capacità e livelli di protezione”.
Contributo editoriale sviluppato in collaborazione con Axitea
