La guida Defenders’ Guide 2025: Fortify the Future of Your Defense (qui il link) curata da Akamai Technologies ha diversi pregi. Il primo è il pubblico a cui si rivolge, una platea di professionisti della cyber security.
A seguire, si basa su ricerche specifiche e non su ipotesi e, aspetto ancora più importante, indica come prepararsi al futuro della cyber security e ciò esige che le organizzazioni abbiano un assetto di difesa organizzato, solido e rodato.
Gli spunti di riflessione offerti dal rapporto sono diversi, esaminiamo i principali anche attraverso la voce dell’ICT security manager Enrico Morisi.
La guida di Akamai parte dalla gestione del rischio perché è un esercizio fondamentale di organizzazione e aiuta le imprese a fissare priorità e obiettivi specifici. Per prepararsi al futuro, le organizzazioni devono pianificare e, per farlo, devono avere contezza dei rischi a cui sono esposti.
La gestione del rischio aiuta i professionisti a prendere misure reali e contestualizzate che dettano l’agenda delle strategie utili alla protezione dei dati e delle infrastrutture IT.
Indice degli argomenti
Cosa c’è nella Defenders’ Guide 2025 di Akamai
Come detto, l’accento cade sulla gestione dei rischi proprio perché è un modello di valutazione dell’incidenza delle vulnerabilità. Conoscere in quale misura sono esposte le superfici attaccabili è il risultato di una ricerca certosina e financo maniacale.
Il vantaggio immediatamente spendibile è la capacità di scegliere le tecnologie e le procedure di cyber security più adatte, ottimizzando costi, investimenti e risorse.
La gestione del rischio
Akamai ha approfondito le difficoltà che si riscontrano nella creazione di un registro dei rischi proponendo una procedura generale che ogni organizzazione deve declinare secondo le proprie necessità specifiche. Nel dettaglio, si tratta di:
- Definire i rischi: vanno formulate domande utili all’identificazione del rischio in quanto tale. Per esempio, occorre chiedersi se i sistemi sono visibili su internet, quali regole di firewalling sono attive, quali dispositivi possono accedervi e, ancora, se il loro patch level è attuale.
- Prioritizzazione: le applicazioni in uso all’organizzazione vanno protette a seconda di diversi parametri tra i quali la loro criticità e il modo in cui gli utenti vi si collegano (in locale, da remoto, da dispositivi aziendali o privati, …) al fine di comprendere a quali rischi queste sono naturalmente esposte
- Misure di mitigazione: occorre comprendere quali misure sono necessarie per mitigare i rischi e quali di queste sono già in uso o sono perfettibili
Tutto ciò conduce a una reale valutazione delle complessità tipiche dei flussi e dei processi aziendali.
L’evoluzione delle minacce
La Defenders’ Guide 2025 invoca i malware per sottolineare la crescente sofisticatezza delle minacce, le quali necessitano di politiche di cybersecurity sempre più performanti.
Le minacce digitali diventano più smaliziate anche grazie al supporto delle IA (un’arma che si presta tanto a chi attacca quanto a chi difende) e ciò impone che le organizzazioni abbiano una corretta interpretazione del fenomeno nella sua globalità: le IA consentono attacchi massicci e vieppiù complessi ma, nel medesimo tempo, conferiscono anche a chi non è esperto la capacità di vestire i panni dei criminal hacker.
Riformare la governance diventa quindi una priorità per qualsiasi organizzazione.
L’architettura di rete e la sicurezza degli host
Akamai ha dichiarato il 2024 un anno particolarmente complicato per la sicurezza delle Virtual Private Network (VPN), le cui vulnerabilità allettano il cyber crimine.
Le soluzioni esigono protocolli LDAP e crittografia personalizzata. A ciò si aggiunge che le ricerche fatte da Akamai sul Cross-Site Scripting testimoniano la necessità di adottare sistemi di difesa multilivello.
Sul fronte degli host, Akamai si focalizza sulle vulnerabilità Kubernetes osservate nel biennio 2023 – 2024 e sottolinea il rischio di attacchi Command injection, il che si traduce nella necessita di usare le patch in modo attivo e consapevole.
Considerazioni e consigli per le organizzazioni
Con il supporto di Enrico Morisi ci immergiamo tra le pieghe del lavoro svolto da Akamai con il duplice obiettivo di comprendere quanto le imprese italiane sono orientate all’analisi del rischio e, in seconda battuta, con l’intento di chiarire cosa si intende per vulnerabilità delle VPN, affinché non passi il messaggio sbagliato.
Riguardo al grado di consapevolezza delle organizzazioni nostrane, Enrico Morisi spiega che: “Molte organizzazioni, soprattutto quelle meno strutturate, sembrano non aver ancora compreso chiaramente la differenza che esiste tra Information Technology e Information Security: un obiettivo comune, sviluppare le condizioni ottimali per supportare il cosiddetto business, nel rispetto dei requisiti definiti dal management, ma un approccio molto diverso.
L’IT tende, infatti, a implementare ed erogare un dato servizio nel più breve tempo possibile, garantendo le funzionalità previste, mentre, dal punto di vista della sicurezza, è fondamentale che il servizio rispetti determinati requisiti di mitigazione del rischio, frutto di un’accurata attività di Risk Analysis e di conseguenti opportune scelte del management.
L’approccio dell’Information Technology, inoltre, è spesso molto orientato all’adozione di soluzioni tecnologiche, nella bizzarra convinzione che rappresentino il presupposto necessario e sufficiente per la gestione della sicurezza delle informazioni, trascurando quindi le persone e i processi, gli altri due pilastri che completano le fondamenta di una adeguata strategia preventiva di Information Security.
Strategia che, mai come oggi, come del resto esplicitamente richiesto anche da alcune normative europee, Direttiva NIS2 in primis, non può che essere finalizzata al superamento di sfide in scenari multirischio, che contemplino quindi, per esempio, anche i rischi operativi, di conformità, legali, reputazionali, geopolitici, ambientali, sociali, di governance ed economico-finanziari, con un approccio olistico, senza silos, basato su interoperabilità, automazione e orchestrazione, coinvolgendo tutti i portatori di interesse, interni ed esterni all’organizzazione”.
Quindi, laddove non c’è una attenta valutazione del rischio, le organizzazioni tendono ad affidarsi a soluzioni cyber che potrebbero non essere le più adatte. In parole più spicce: al posto della consapevolezza impera l’impreparazione. Un’organizzazione impreparata è quanto di più ghiotto un criminal hacker possa desiderare.
La fragilità delle VPN
Nel 2024, sostiene Akamai, le VPN sono state messe a dura prova dai criminal hacker che hanno cercato di sfruttarne le vulnerabilità per violare le reti target.
Ciò non significa che le Virtual Private Network sono meno sicure di quanto si pensi. Le vulnerabilità di cui soffrono, però, potrebbero spingere le organizzazioni ad adottare altre soluzioni.
Infatti, come illustra Enrico Morisi: “Come correttamente osservato nel report di Akamai, ‘ogni soluzione tecnologica comporta dei rischi’, rischi che vanno quindi opportunamente gestiti, tenendo conto del contesto e dell’evoluzione temporale: una soluzione di cui sia stata fatta un’accurata Risk Analysis, ben configurata, monitorata ed adattata nel tempo, offre certamente garanzie di sicurezza accettabili, nel senso che sono state adottate tutte le misure di mitigazione necessarie a ridurre il rischio sotto a una soglia considerata accettabile dagli stakeholder.
Quindi, la domanda interessante è se la VPN rappresenti o meno, tra le varie soluzioni disponibili, quella più opportuna, sia per il soddisfacimento dei requisiti di business sia in termini di effort necessario per la gestione dei rischi ad essa associati.
Il progressivo diffondersi della strategia Zero Trust ha contribuito all’emergere di altri paradigmi tra cui, per esempio, le soluzioni SASE (Secure Access Service Edge) che, in particolare con la loro componente ZTNA (Zero Trust Network Access) potrebbero costituire una valida alternativa alla VPN.
Mentre il modello di sicurezza di una VPN è, tradizionalmente perimeter-based, estendendo il perimetro di rete al fine di includere l’host che, appunto, si è collegato da remoto, ed esponendo l’intero perimetro alle eventuali minacce associate con il nuovo ‘inquilino’ una volta che sia riuscito ad autenticarsi, il framework SASE implementa un modello identity-centric e cloud-native, integrando una vasta gamma di funzioni di sicurezza direttamente nel network fabric, adottando logiche context-aware e Zero Trust, al fine di garantire un approccio cosiddetto granulare agli accessi, con verifiche basate sulla continua ispezione e validazione delle richieste.
Ciononostante, la VPN mantiene un ruolo rilevante nel panorama della network security, in particolare laddove il numero di connessioni sia contenuto, i dati da proteggere non siano particolarmente sensibili, si intenda perseguire obiettivi di semplicità e contenimento dei costi, e non siano necessarie altre funzioni di sicurezza per mitigare adeguatamente il rischio: il trade-off è tra performance, sicurezza e costi”, conclude Morisi.
