Gli attacchi informatici non danno tregua alle aziende. Il Rapporto Clusit 2022 sulla sicurezza informatica denuncia un aumento del 10% degli attacchi a livello mondiale rispetto all’anno precedente che sale al 16% in Italia secondo le rilevazioni FastWeb.
Malware e botnet restano tra le minacce più rilevanti rintracciate sul 58% dei server compromessi. Un regalo sgradito, collegato all’apparizione di piattaforme specifiche (come Andromeda e Downadup) per distribuire malware e prendere il controllo dei server.
Come se non bastasse, sono in crescita anche i cosiddetti attacchi 0-day che sfruttano vulnerabilità non ancora note pubblicamente, quindi non facili da rilevare con gli usuali sistemi analisi. Un contesto che comporta maggiori rischi per sistemi e reti aziendali e che necessita di un approccio olistico e strategico alla protezione degli asset digitali.
Indice degli argomenti
Problematiche di sicurezza delle reti aziendali a fronte delle aperture
Dati e credenziali utente sono messi in pericolo da e-mail fasulle, phishing e smishing (messaggi via SMS) contenenti link che rimandano a siti fittizi dove inserire i dati. Una modalità tradizionale che resta tra le più utilizzate per il furto dei dati personali, in crescita secondo le rilevazioni Clusit, con un peso che tocca il 60% del totale. Modalità che testimonia l’impreparazione delle persone ad essere parte attiva nella difesa degli asset critici aziendali.
Sul piano delle infrastrutture, l’esigenza di flessibilità, di riduzione dei costi e d’accesso a funzionalità più avanzate stanno spingendo le aziende all’adozione dei servizi in cloud – adozione in molti casi affrettata e non accompagnata dall’aggiornamento dei sistemi d’accesso e delle competenze dei team IT.
La necessità di far convivere servizi in cloud con altri on-premises (in cloud Ibrido) si traduce in ambienti complessi da sincronizzare e da gestire, con zone d’ombra di cui il cybercrime può approfittare.
Dal lato software, l’uso di servizi esterni per applicazioni di produttività e collaborazione, unitamente all’impiego di smart working e dispositivi mobili per consultazioni e notifiche urgenti, rendono inefficaci le tradizionali protezioni fondate sul perimetro.
Alla necessità di tutelare reti e sistemi aziendali dagli accessi di PC e smartphone in mano a collaboratori e business partner, si aggiunge oggi quella dei sistemi connessi IoT. Dispositivi difficili da proteggere e controllare perché basati su una pletora di sistemi embedded, non documentati nelle loro vulnerabilità e non sempre aggiornabili.
L’utilizzo delle applicazioni legacy nei moderni contesti d’accesso distribuito o con la pubblicazione dei servizi verso interfacce app o Web destinate a fornitori e clienti ha generato e continua a generare occasioni d’attacco e di sottrazione dei dati. Un rischio che si aggiunge all’impiego diffuso, spesso non documentato, delle componenti in open source all’interno del codice applicativo.
Questo rende difficile valutare l’esposizione al rischio quando sono pubblicati report di vulnerabilità delle librerie: una condizione che si somma alle difficoltà nel provvedere rapidamente ad aggiornamenti o patching.
Nelle moderne logiche di sviluppo applicativo e di rilascio continuo che accompagnano l’adozione del metodo agile nella gestione dei progetti, la sicurezza non viene spesso tenuta nella debita considerazione.
Nelle catene DevOps che molte aziende hanno implementato per rendere più rapidi i cicli di sviluppo e i deploy in produzione, non sempre vengono integrati ad ogni livello i controlli di sicurezza. Controlli effettuati in unica soluzione al termine dello sviluppo rendono più onerose le modifiche e subiscono la pressione del time-to-business.
Le risorse oggi disponibili per mitigare il rischio
La difesa dagli attacchi cyber ruota attorno al tema della threat detection, ossia delle capacità che servono per capire ciò che accade su reti e sistemi, per cogliere le anomalie rivelatrici dei tentativi d’effrazione digitali o degli attacchi in corso.
Un compito che richiede l’analisi congiunta di dati e allarmi provenienti da tutti i componenti di sicurezza fisica e logica impiegati in azienda.
Gli strumenti tradizionali di protezione, come antivirus, antimalware e i firewall per la difesa del perimetro LAN aziendale, sono oggi affiancati dagli intrusion detection system (IDS) progettati per riconoscere le violazioni fin dagli stadi iniziali d’intrusione illegale.
La protezione dei sistemi fissi e mobili, utilizzati sia all’interno sia dall’esterno della rete aziendale, è appannaggio delle piattaforme di protezione degli endpoint (EPP, da Endpoint Protection Platform).
Gli EPP usano componenti server e agenti software sui client per riconoscere dispositivi e configurazioni, ripristinando quelle certificate prima di permettere l’accesso alle risorse aziendali protette. Hanno oggi un ruolo rilevante per la security aziendale i security information ed event management (SIEM), strumenti capaci di riconoscere i pattern caratteristici del traffico generato dai malware in esecuzione e di gestire gli eventi significativi per la sicurezza.
L’applicazione delle capacità analitiche ai dati e agli eventi di sicurezza, unitamente alla disponibilità delle informazioni d’intelligence sugli attacchi che sono in corso a livello globale, consente ai team di security di agire in modo più preciso sia nella prevenzione sia nella difesa. Laddove la velocità risulta essenziale per limitare danni operativi e perdite di dati, l’automazione permette di isolare prontamente sistemi o segmenti di rete che sono in stato critico, in attesa dell’intervento degli amministratori.
Mediante l’impiego di sofisticati algoritmi di machine learning e d’intelligenza artificiale (ML/AI) diventa possibile rilevare i comportamenti insoliti (per quantità di traffico, IP di provenienza, orario, accesso a servizi) che possono essere sintomo di utilizzo di credenziali rubate oppure in mano a dipendenti infedeli.
Le tecnologie di ML/AI hanno acquisito un ruolo importante per identificare dalla grande mole di log di monitoraggio e dati di sicurezza i pattern meritevoli di segnalazione agli amministratori o per l’avvio di difese in tempo reale nei sistemi non presidiati o critici.
L’automazione può comprendere le azioni di ripristino di configurazioni e dati (disaster recovery), molto importanti se l’attacco ha preso di mira software di directory e ID management.
Al di là delle misure tecniche di rimedio, è fondamentale per l’azienda disporre di piani d’incident management sempre aggiornati, con le azioni da compiere per mitigare i danni di un attacco cyber anche dal lato business, con le opportune comunicazioni a reparti, stakeholder, clienti e all’Autorità Garante, nel caso di perdite di dati rilevanti per la privacy delle persone.
Il dinamismo del moderno business digitale richiede sempre maggiore velocità nello sviluppo di applicazioni, aspetto che confligge con le esigenze di qualità e resilienza del codice. Diventa quindi importante l’adozione delle più moderne pratiche d’ingegneria del software che permettono di sviluppare e rilasciare con continuità aggiornamenti funzionali e di sicurezza.
Tra queste, è significativa la metodologia DevSecOps con cui si mettono su un’unica catena di montaggio le fasi dello sviluppo software, di test e di deploy in produzione. La distribuzione dei controlli in tutte le fasi, fin da quelle iniziali di sviluppo del codice, fa della sicurezza una componente by design dei servizi e un patrimonio di conoscenza comune nel team.
Le soluzioni di intelligent security
Metodo e strategia sono le componenti di maggior valore in ogni approccio che mira al consolidamento della security in reti e sistemi aziendali. Per la gestione di questa tipologia di progetti, 4wardPRO ha messo a punto il metodo S.A.F.E. (acronimo di Scan, Enhance, Acknowledge e Fix) frutto della ricerca e dell’esperienza sviluppata sul campo dalla società.
Con S.A.F.E. la sicurezza è ottenuta mediante un percorso e un processo ad anello che parte da una prima fase (Scan) in cui viene analizzata la situazione attuale dei sistemi e vengono prioritizzate le attività da svolgere in base alla loro gravità e urgenza. Nella fase di Acknowledge, invece, viene condivisa con tutti i livelli aziendali la strategia e la roadmap delineata sulla base dei risultati della fase precedente. Con Fix s’indirizza il tema del contenimento dell’impatto, sviluppando e implementando le protezioni necessarie per limitare e mitigare gli effetti di un possibile attacco informatico. Con Enhance, infine, si va a indirizzare il tema chiave del miglioramento costante del livello di sicurezza che, da una parte, deve considerare l’evolversi continuo delle minacce che circolano in rete, dall’altro, le esigenze dell’azienda che variano in base alle criticità del business.
Una chiave di successo dei progetti è per 4wardPRO l’approccio olistico alla sicurezza, che comprende sia la componente tecnologica, che quella umana. Infatti, questo processo mira ad affiancare alla gestione di identità, endpoint, infrastruttura e dati, la formazione delle risorse in materia di security awareness.
Gold Partner Microsoft di lunga data, 4wardPRO si è aggiudicata per due anni consecutivi (2020 e 2021) il premio “Security & Cloud Protection Gold Award” proprio per aver realizzato progetti di successo in grado di garantire ambienti affidabili e sicuri a 360 gradi sia su Microsoft 365 che su Azure.
Contributo editoriale sviluppato in collaborazione con 4WardPro
