La consapevolezza dell’importanza della cyber security sta crescendo tra le aziende italiane: lo dimostra l’ultimo report Assintel che evidenzia come la sicurezza sia messa tra le priorità di innovazione su cui concentrarsi nei prossimi 12 mesi. Questo significa che gli imprenditori capiscono che dotarsi di strumenti che proteggano da potenziali minacce informatiche non è un mero costo ma un investimento il cui valore è maggiore rispetto ai danni, sia economici che reputazionali, che potrebbero derivare dagli attacchi dei cyber criminali.
Dall’altra parte, ci sono dei dati un po’ meno confortanti che parlano di una grande parte di dipendenti che sovrastimano i loro skill in termini di cyber security ed espongono le aziende a rischi di carattere cyber: lo dimostrano i dati del Kaspersky Gamified Assessment Tool che dicono che il 90% sopravvaluta le proprie capacità in materia di cyber security. Ricordiamoci che ancora oggi la maggior parte degli attacchi vanno a segno per errori umani, quindi, non ci stancheremo mai abbastanza di dire che la formazione e la sensibilizzazione di tutti i dipendenti sono una chiave importante nella difesa delle aziende dagli attacchi.
Indice degli argomenti
Serve un approccio olistico alla sicurezza
L’urgenza a investire in sicurezza è data dall’aumento e dall’aggravarsi del panorama degli attacchi: ogni 11 secondi va a segno un attacco ransomware a elevato impatto e a preoccupare molte aziende sono anche le minacce APT (Advanced Persistent Threat), gli attacchi fileless e gli zero-day exploit. I primi sono particolarmente temuti per la loro capacità di insinuarsi nei sistemi e restare inattivi anche per lunghi periodi di tempo senza essere rilevati, mentre gli ultimi vengono reputati pericolosi di default, poiché sfruttano vulnerabilità fino a quel momento ignote anche agli sviluppatori dei programmi presi di mira.
Per contrastare questi attacchi serve un approccio olistico alla sicurezza ma spesso la complessità delle infrastrutture aziendali rende più difficile rilevare in modo tempestivo gli attacchi.
Con la crescente digitalizzazione, il lavoro a distanza e un maggior utilizzo dei cloud, gli ambienti IT sono diventati sempre più complessi e questa complessità può avere un impatto sulla visibilità delle minacce che prendono di mira le organizzazioni e sulla risposta agli incidenti.
Questa situazione si riscontra anche nel panorama italiano, in base infatti ad una recente indagine qualitativa commissionata da Kaspersky su aziende medio grandi appartenenti a diversi settori, è stata confermata la presenza di un’infrastruttura di cybersecurity complessa, costruita nel tempo con soluzioni destinate spesso a risolvere problematiche specifiche. Complice la pandemia e la corsa alla digitalizzazione, nel 2020 sono state effettuate scelte in tempi rapidi per adeguare VPN e sistemi di protezione degli endpoint per arrivare nei casi più evoluti all’autenticazione multi-fattore.
La Threat Intelligence per avere visibilità sulle minacce
Uno strumento fondamentale per aumentare la visibilità complessiva sulle cyber minacce e rispondere in tempi utili evitando danni irreparabili sono i servizi di Threat Intelligence, un insieme di dati sulle minacce che include anche un contesto più ampio per supportare i processi decisionali. I vantaggi concreti dell’utilizzo di questi servizi si possono riassumere nel fornire supporto concreto agli esperti aziendali e mettere a loro disposizione un contesto ricco e significativo durante l’intero ciclo di gestione degli incidenti.
Inoltre, per poter riuscire a contrastare minacce sempre più avanzare è opportuno prepararsi prima dell’incidente stesso, avendo quindi definito piani e processi di Incident Response. Quello che noi suggeriamo alle aziende è, a prescindere dalle dimensioni, di organizzarsi al proprio interno con delle figure chiave che sappiano cosa fare al momento di un attacco. A valle dell’eventuale attacco, che può succedere anche con delle soluzioni di cybersecurity attive, è opportuno rivolgersi a degli specialisti che appunto attraverso servizi di Incident Response, diano le indicazioni corrette all’azienda per, prima di tutto, andare a capire quale sia stata la causa dell’attacco, da dove è “entrato” l’attaccante e se sia ancora all’interno dell’infrastruttura aziendale, in modo da poter rimuovere tutte le cause dell’attacco stesso prima di far ripartire i servizi.
Fretta e panico peggiori nemici della sicurezza
Ci siamo resi conto in tanti casi che la fretta e il panico in quei momenti sono il peggior nemico. Senza aver rimosso l’attaccante dell’infrastruttura informatica, far ripartire i servizi spesso porta a delle conseguenze ben più dannose del primo attacco. Quindi un piano di Incident Response e dei processi organizzativi pronti per affrontare questi momenti sono cose su cui le aziende possono lavorare a priori. Una volta riscontrato l’attacco, infatti, l’azienda deve sapere come muoversi e affidarsi a dei professionisti proprio per non incorrere in ulteriori rischi di secondi attacchi che spesso sono più cruenti dei primi.
Visto che diventa sempre più difficile impedire gli incidenti di sicurezza è possibile limitare il danno e prevenire la diffusione dell’attacco unendo questi 3 servizi: percorsi di awareness per formare il personale a tutti i liveli, Threat Intelligence per capire cosa fanno i cybercriminali, se stanno preparando ulteriori azioni ai danni dell’azienda e indagare se quell’attacco è stato coordinato da determinati gruppi criminali a noi noti e Incident Response per indirizzare le operazioni di igienizzazione dell’infrastruttura e di ripristino. In questo modo quindi è possibile aiutare i clienti se non a debellare del tutto la minaccia di un attacco, quanto meno a ridurre gli impatti e a velocizzare la ripresa dei servizi.
Contributo editoriale sviluppato in collaborazione con Kaspersky
