Anche se al momento è difficile ipotizzare quando il vero impatto della Covid-19 si esaurirà, i mesi trascorsi in quarantena hanno avuto un effetto già molto significativo sul mondo del cyber security, effetto che si vedrà appieno proprio in questo post quarantena.
Non è poi così complesso, quindi, cominciare ad analizzare cosa è cambiato e cosa rimarrà di questo periodo.
Indice degli argomenti
Lo smart working è qui per restare
Questa è un’ipotesi abbastanza scontata e – lasciando da parte i dibattiti dell’arena politica – supportata da sondaggi e dati oggettivi. Nel comune di Milano, per esempio, quasi 8 dipendenti su 10 hanno giudicato in maniera positiva l’esperienza, con il 66% di loro che ha confermato di aver mantenuto lo stesso livello di produttività e un ulteriore 30% che lo ha addirittura incrementato.
Insomma, lo smart working è il vero vincitore e qualcosa con cui, da qui in avanti, dovremo fare i conti nella nostra realtà di tutti i giorni. Questo richiederà un ripensamento delle policy aziendali e un reindirizzamento delle nostre priorità e investimenti in tema di cyber security.
Il cloud è il nuovo “re”
La migrazione del carico di lavoro in cloud ha subìto, senza dubbio, un’accelerazione grazie alla Covid-19, in quanto è stato più facile amministrare questo tipo di infrastruttura rispetto ai server tradizionali, alle reti e ai dispositivi di storage on-premise.
È anche chiaro, ora che il cloud pubblico è diventato l’infrastruttura di riferimento per i controlli di sicurezza della rete, consolidando SD-WAN e servizi di sicurezza.
La superfice di attacco dovrà essere sempre più monitorata
Il livello di complessità raggiunto da reti ed endpoint è tale che provare a monitorare la propria superfice d’attacco richiederà sempre più automazione e controlli specifici. Soprattutto, man mano che gli utenti e le risorse diventano più distribuite e remote.
Questo deve accadere rapidamente, poiché la maggior parte delle organizzazioni non ha ancora chiara la propria “mappa degli asset” e non è raro che venga a scoprire cose come dispositivi precedentemente non rilevati, server mal configurati, password di default, connessioni con i partner e via dicendo.
In questo caso, le attività di security testing (Penetration Test, Vulnerability Assessment e Network scan), non dovranno essere qualcosa che viene svolto una tantum o in maniera irregolare, ma devono diventare parte fondante e di ogni nuovo cyber security framework con il criterio irrinunciabile della periodicità.
Le policy dovranno essere sempre più al centro
Con lo smart working diffuso, anche le policy di sicurezza dovranno cambiare. Tutti i CISO e gli IT Manager dovranno lavorare con i manager aziendali per determinare chi può fare cosa e da dove e dovranno rafforzare davvero le loro politiche di sicurezza con set di regole granulari e dinamiche.
Una volta determinate le policy, avranno anche bisogno dell’aiuto dei CIO per costruire un’infrastruttura per l’applicazione e il monitoraggio di queste.
La Cyber Threat Intelligence sarà la chiave di svolta
La pandemia di Covid-19 è stata un’opportunità globale e mai vista per il cyber crime e questo ha portato a un’ondata di nuove truffe e attacchi.
Per contrastare questa tendenza, le organizzazioni devono essere in grado di operare, analizzare e dare la caccia a rischi e minacce cyber su una scala senza precedenti: non c’è più spazio per agire di “reazione”, proattività diventa la parola chiave. Raccogliere informazioni diventa importante al pari di ogni altro pilastro della cyber security.
Queste informazioni vengono utilizzate per preparare, prevenire e identificare possibili cyber attacchi che cercano di fare breccia e acquisire dati sensibili e riservati della nostra organizzazione (o in alternativa, semplicemente essere disruptive).
L’utilità della Cyber Threat Intelligence è evidente: aiuta le organizzazioni ad acquisire conoscenze preziose sulle minacce direttamente più incombenti, a costruire meccanismi di difesa efficaci (Cyber Resiliency) e a mitigare i rischi che potrebbero danneggiare i loro profitti e la loro reputazione.
Dopo tutto, gli attacchi mirati richiedono una difesa mirata e la Cyber Threat Intelligence offre la capacità di difendersi in modo più proattivo.
L’attività di Cyber Threat Intelligence viene effettuata attraverso un processo di ricerca, individuazione e selezione delle informazioni disponibili pubblicamente con OSINT/CLOSINT a livello di:
- target
- asset digitali
- IP
- e-mail e informazioni relative ai dipendenti di una azienda
Lo scopo? L’obiettivo è quello di fornire una actionable intelligence, ovvero un’informazione analizzata, contestualizzata, tempestiva, accurata, rilevante e predittiva al fine di determinare l’eventuale esposizione ai rischi della cyber security.
Ma ci sono anche altre lacune che possono costare caro. Anche lo stesso dominio della nostra organizzazione potrebbe essere un coacervo di vulnerabilità. Per fortuna servizi come la Domain Threat Intelligence sono in grado di dare forma a dati non strutturati per connetterli attraverso indicatori concreti come livello e numero di vulnerabilità e le possibili vie attraverso le quali i criminal hacker potrebbero trarne vantaggio.
L’attività di intelligence gathering viene effettuata attraverso un processo di ricerca, individuazione e selezione delle informazioni disponibili pubblicamente relative al dominio di interesse, restituendo i giusti indicatori.
Formazione adeguata e tecnica prima di tutto
Attacchi e truffe che hanno approfittato dello smart working o semplicemente della paura causata dalla pandemia sono un segnale evidente che sono finiti i giorni dedicati alla formazione e all’awareness sulle minacce interpretati come semplice spunta nella lunga lista degli obblighi di un datore di lavoro.
Da ora in avanti la giusta attitudine e il corretto livello di consapevolezza nei confronti della sicurezza informatica dovranno essere pilastri chiave nella vita lavorativa di ogni dipendente/lavoratore all’interno di un’organizzazione.
Per combattere fenomeni come il phishing, le soluzioni di Phishing Attack Simulation diventeranno fondamentali, permettendo alle aziende di contrastare questo fenomeno attraverso un test dello human factor e garantendo anche un’efficace attività di training e awareness.
Rafforzare la sicurezza e la cooperazione nelle operazioni IT
Ovviamente questo nuovo influsso di tecnologie richiede una certa opera di bilanciamento, ripensando il concetto di sicurezza come “incastrata” – come un puzzle – piuttosto che “imbullonata” e difficile da alterare.
Inoltre, l’applicazione delle nuove policy di sicurezza e il monitoraggio dovranno essere coordinati ovunque. In passato, i team di sicurezza e il dipartimento IT avevano obiettivi, metriche e strutture di compensazione diversi.
Considerando tutto il lavoro che ci attende, è probabile che le organizzazioni misureranno questi team sulla base di progetti comuni piuttosto che di obiettivi disparati.
Insomma, il futuro che ci aspetta è tutto fuorché privo di cambiamenti e cose a cui pensare.