Prevedere è uno sport molto difficile soprattutto quando ad influire sulle previsioni sono eventi poco controllabili e difficilmente programmabili. Proviamo a farlo, dal punto di vista della cyber security, osservando quanto è successo nel 2020, anno in cui la pandemia ha attivato una serie di reazioni a catena che vanno dall’accelerazione della digitalizzazione all’aumento di attacchi e incidenti, passando per lo spostamento di parecchi workload nel cloud e per l’incremento di dispositivi IPv4 esposti in rete.
Indice degli argomenti
Consapevolezza e sicurezza by design
La domanda che corre il rischio di restare senza risposta è se l’aumento di attacchi e incidenti è strettamente legato all’accelerazione dei processi di digitalizzazione o dovuto semplicemente all’ampliamento delle aree di rischio.
La percezione è che la velocità con cui è avvenuta la trasformazione digitale ha giocato la sua parte nella manifestazione degli eventi criminali. Non penso, infatti, che l’aspetto della sicurezza in tale trasformazione sia stato tralasciato, ma le priorità sono state dettate dall’impellenza delle necessità. Inoltre, aver dovuto accelerare i progetti ha portato forse a non rilevare elementi decisivi, con la conseguenza di esporre agli attacchi vulnerabilità banali.
Senza dimenticare che la vulnerabilità maggiormente sfruttata dagli attaccanti è stata il fattore umano: l’essere umano, infatti, non è riuscito velocemente ad adattarsi alle minacce collegate alla digitalizzazione.
Altro fattore umano da prendere in considerazione è la motivazione degli attaccanti: quanto più siamo vincolati all’utilizzo dei servizi digitali, più questi sono esposti alle vulnerabilità perché diventano appetibili per i criminali informatici che li prendono maggiormente di mira. Pensiamo, ad esempio, a quanto sia imprescindibile il buon funzionamento della rete nel lavoro a distanza o al pagamento digitale di alcuni servizi essenziali per cui al momento non possiamo utilizzare il contante.
Maggiore appetibilità, mancanza di consapevolezza, aumento del perimetro, velocità nella trasformazione e focalizzazione sulla fornitura del servizio, non potevano che portare a un aumento di incidenti e attacchi nel 2020.
Nel 2021 sarebbe un grave errore tornare indietro, ignorando i vantaggi derivanti dall’adozione di servizi digitali; vantaggi da conservare anche quando, e tutti speriamo presto, l’umanità uscirà dalla pandemia.
Per esempio, la didattica a distanza riduce la socializzazione e magari rende meno efficace un insegnamento, ma può essere usata quando uno studente è malato.
Allo stesso tempo, da privati, aziende e pubblica amministrazione, mi aspetto investimenti nel campo della consapevolezza, della conoscenza dei fenomeni e dei rischi, così come lo sviluppo del paradigma di security by design.
Si tratta di un approccio in cui la sicurezza viene affrontata sin dalle prime fasi di un progetto, permettendo di adottare le giuste strategie e identificare le soluzioni migliori, adattando lo sviluppo del servizio alle strategie di sicurezza identificate e non viceversa.
La sicurezza by design nelle migrazioni verso il cloud
Lo spostamento di workload nel cloud è invece un processo irreversibile, iniziato tempo fa, sicuramente accelerato dalla pandemia.
Senza entrare in questioni di carattere filosofico, sul fatto che il cloud sia più o meno sicuro, è evidente che la migrazione verso “la nuvola” debba portarsi dietro anche le policies di sicurezza, soprattutto quando si è adottato il principio di zero-trust.
La migrazione delle policies di sicurezza, che spesso sono costruite coinvolgendo elementi fisici (indirizzi IP, MAC Address ecc.), rappresenta uno dei problemi principali da affrontare quando si sposta il workload verso il cloud.
La micro-segmentazione, disaccoppiando le policies dagli elementi fisici, permette di implementare strategie zero-trust e allo stesso modo consente una più semplice migrazione.
Che sia cloud o cloud ibrido, spostare i flussi di lavoro è inevitabile, così come è inevitabile affrontare i problemi che possono derivarne. Prevedo pertanto diversi progetti di micro-segmentazione nel 2021.
Incremento di dispositivi IPv4 esposti su internet
Anche l’aumento dei dispositivi IPv4 esposti su Internet è un processo irreversibile. L’Osservatorio Exprivia sulla cyber security ha osservato un aumento del 12% nell’ultimo trimestre del 2020. A fine dicembre contavamo in Italia 7,8 milioni di dispositivi IPv4: auto intelligenti, domotica, smart health, smart metering, ma anche dispostivi industriali. Tra chi usufruisce di questo variegato mondo, ci sono sicuramente i privati cittadini, ma anche e soprattutto diverse industrie, dalla sanità al manifatturiero.
Dobbiamo smettere di pensare all’Internet of Things come a quell’insieme di inutili dispositivi che collegati tra di loro non producono alcun valore; quanto piuttosto a una serie di dispositivi che collegati a servizi IT producono un valore imprescindibile.
Quindi nel 2021 nelle aziende va innanzitutto affrontato il tema della governance di questi dispositivi. È necessario identificare chi si deve preoccupare della sicurezza di questi dispositivi e integrare la sicurezza di sistemi industriali con la sicurezza dei dispositivi IT.
Ovviamente c’è una enorme differenza tra OT e dispositivi IoT, ma la facilità con cui gli attaccanti si spostano tramite movimenti laterali in questi ambienti è preoccupante. Sarà quindi necessario orientarsi sempre di più verso progetti zero-trust, analisi what-if e risk assessment, ma anche contribuire al miglioramento della visibilità su eventi che impattano processi OT.
Altro tema su cui prevedo grossi investimenti è la sicurezza e la certificazione di dispositivi IoT che vengono messi sul mercato. Anche in questo caso la collaborazione tra aziende, istituzioni ed associazioni (ad esempio IoXT) diventa indispensabile.
La privacy sempre al centro dell’attenzione
L’adozione del GDPR avrebbe dovuto trovare le aziende mature, eppure le numerose violazioni segnalate nel 2020 non penso possano essere collegate solo alla pandemia. Non drammatizzerei però. La salvaguardia di dati sensibili non si ottiene con la spunta di una check box; è un percorso faticoso, che richiede tempo, dalla discovery dei dati alla classificazione degli stessi e va integrato con altri controlli di sicurezza.
Da questo punto di vista una corrispondenza con la pandemia potrebbe essere rilevata, anche se le segnalazioni di violazioni l’anno scorso sono iniziate quando la pandemia non era ancora sui giornali.
Tanto si è fatto, tantissimo va ancora fatto nel campo della privacy.
Il successo di criptovalute e blockchain
Nel 2020 le criptovalute hanno avuto un definitivo successo con tantissime implicazioni a livello anche sociale ed economico.
Questo introduce due problematiche che nel 2021 andranno affrontate:
- nelle criptovalute, e nella blockchain più in generale, l’identità coincide con la password;
- la sicurezza della blockchain dipende dalla sicurezza dell’endpoint.
La identità coincide con la password
Comportamenti quali avere password semplici o appuntarsi le password su un foglietto cartaceo sono comportamenti che vanno censurati; ma cosa succede se le password vengono dimenticate? Difficile immaginare uno sviluppo della blockchain senza prevedere progetti di governance e gestione di identità e password.
Sicurezza dell’endpoint
La sicurezza della blockchain dipende dalla sicurezza dell’endpoint, cosa non trascurabile in un mondo in cui i malware sono estremamente sofisticati e per contrastarli necessitano di controlli di sicurezza sugli endpoint che generano eventi e log da analizzare senza ritardi sull’endpoint direttamente.
Analizzarli successivamente non sarebbe sufficiente. Questo è il motivo per cui sul mercato nel 2020 si sono affermate soluzioni di (Extreme) Endpoint Detection & Response (XDR/EDR): veri e proprio SOC sull’endpoint. Tecnologie che nel 2021 verranno definitivamente consacrate.
