Ogni anno, ila società di consulenza americana Scale Venture Partners intervista centinaia di leader della sicurezza con sede negli Stati Uniti che sono responsabili delle decisioni di acquisto, del successo delle implementazioni di sicurezza o della sicurezza complessiva dell’azienda.
I partecipanti al sondaggio includono CISO, VP e professionisti di livello direttivo presso aziende con più di 500 dipendenti.
Indice degli argomenti
Scale Security Report 2023
Il sondaggio, giunto al suo decimo anno, offre una visione a lungo termine sull’evoluzione del panorama della sicurezza e sulle mutevoli priorità degli acquirenti di soluzioni di sicurezza, considerando i cambiamenti nelle tattiche di attacco e nelle architetture in continua evoluzione di infrastrutture e applicazioni.
Di seguito i risultati del sondaggio.
Scenario
Dal sondaggio si evince che gli attacchi ai servizi cloud e di terze parti rimangono gli incidenti di sicurezza più comuni che i leader della cyber security devono gestire. E precisamente:
- Il 50% delle organizzazioni ha segnalato almeno un attacco al cloud nell’ultimo anno.
- Il 43% delle organizzazioni (vs. 37% del 2022) ha subito la compromissione di più servizi cloud a causa di un attacco a una terza parte
- Un aumento del 58% del numero di organizzazioni compromesse da attacchi di phishing che hanno portato al furto delle credenziali dei dipendenti.
È interessante evidenziare che il sondaggio del 2023 include due nuovi tipi di incidenti, e precisamente:
- la compromissione attraverso una vulnerabilità nella catena di approvvigionamento del software
- l’attacco/la compromissione di un modello di intelligenza artificiale (AI).
Le compromissioni della catena di approvvigionamento del si sono posizionate come la quarta tipologia di attacco più frequente per il 34% delle organizzazioni. Nel corso dell’ultimo anno, il 20% delle organizzazioni ha affrontato un incidente legato ad attacchi o compromissioni di modelli di AI.
Fonte immagine: Scale Security Report 2023.
Gli attacchi ransomware e le violazioni dei dati sono entrambi diminuiti durante gli ultimi 12 mesi, passando dal 37% ciascuno nel 2022 al 25% e al 22%, rispettivamente.
Il sondaggio rivela che, nonostante la diminuzione segnalata, entrambi i tipi di minacce sono in cima alla lista delle tendenze che guideranno la strategia di cyber security nei prossimi 12 mesi, secondo quanto sostiene IBM Security, poiché gli attacchi ransomware stanno aumentando nuovamente.
Come stanno rispondendo le organizzazioni
La sicurezza delle reti, dell’infrastruttura cloud e dell’Identity Access Management (IAM) rimangono le tre principali priorità di spesa per i leader della sicurezza aziendale. Quest’anno, l’IAM è salito dal 8º al 2º posto, evidenziando le crescenti preoccupazioni legate alla sicurezza delle identità in un ambiente sempre più multi-cloud.
La gestione della superficie di attacco esterna ha guadagnato una posizione, mentre l’automazione della sicurezza è tornata nella lista delle 10 principali priorità dopo essere stata esclusa l’anno scorso. Nessuna tecnologia emergente rientra nella lista di quest’anno.
Fonte immagine: Scale Security Report 2023.
Strategie di sicurezza influenzate dal ransomware e da altri fattori
Nonostante una segnalata diminuzione del 30% a livello di settore, l’84% dei leader della sicurezza ha riportato che gli attacchi ransomware avrebbero il più grande impatto sulla loro strategia complessiva di sicurezza informatica nei prossimi 12 mesi.
Le aziende risultano essere preoccupate anche per:
- Le violazioni dei dati di terze parti (69%)
- La carenza di competenze in materia di sicurezza informatica (69%)
- L’aumento dei costi delle assicurazioni per la sicurezza informatica (67%)
- La weaponization dell’IA e del Machine Learning (ML) utilizzati per sferrare cyberattacchi (65%).
I leader della sicurezza stanno attribuendo alta priorità all’applicazione più rigorosa delle politiche esistenti
L’83% delle aziende intervistate ha espresso l’intenzione di applicare in modo più rigoroso le politiche di sicurezza esistenti per affrontare le sfide nel campo della sicurezza. Inoltre, il 63% delle organizzazioni sta cercando una maggiore visibilità e trasparenza sullo stato della sicurezza.
Migliorare la comprensione della catena di approvvigionamento del software è una priorità elevata per il 60% dei leader della sicurezza, così come la protezione dei modelli di IA/ML e delle pipeline dei dati (57%).
Il sondaggio evidenzia un aumento del 20% anno su anno delle aziende che hanno scelto di consolidare i fornitori di sicurezza. Tuttavia, l’importanza di estendere la responsabilità per la sicurezza in tutta l’azienda è diminuita dal 64% nel 2021 al 54% quest’anno, seguita dalla riorganizzazione dei team di sicurezza (53%).
Fonte immagine: Scale Security Report 2023.
Affrontare le carenze di risorse in diversi ambiti: una sfida prioritaria per i leader della sicurezza
Il report evidenzia che le organizzazioni si trovano a colmare carenze in vari ambiti, quali:
- Personale – I leader della sicurezza aziendale stanno ancora lottando per attirare, assumere e trattenere professionisti esperti in cyber security per rispondere ai cyberattacchi in corso e alle minacce recenti. Il 57% delle organizzazioni ha indicato che la mancanza di personale è il più grande ostacolo per raggiungere i loro obiettivi in materia di cyber security, con un aumento del 42% rispetto all’anno precedente.
Inoltre, i team di sicurezza si trovano a gestire un numero eccessivo di allarmi, falsi positivi e strumenti, rendendo difficile raggiungere i risultati desiderati. Il 60% dei leader della scurezza segnala difficoltà nel coprire sia i ruoli di sicurezza del cloud e della sicurezza della rete (56%) sia i ruoli della sicurezza delle applicazioni (55%).
La carenza di personale per questi ruoli chiave è una fonte di preoccupazione per i leader della sicurezza, che hanno valutato la sicurezza della rete (71%) e la sicurezza dell’infrastruttura cloud (70,6%) come le loro due strategie di sicurezza più importanti.
E ancora. Il sondaggio rivela che, nei prossimi 12 mesi, i leader della sicurezza si impegneranno a implementare strategie per migliorare l’efficacia dei loro team di cybersecurity limitati.
Il 63% delle organizzazioni ha manifestato interesse nell’utilizzo di strumenti di sicurezza con capacità di intelligenza artificiale (IA) e machine learning (ML), mentre il 62% è interessato ad automatizzare i processi di sicurezza manuali al fine di identificare, contenere e risolvere le minacce informatiche più urgenti.
È interessante notare, altresì, che tra le 10 sfide non gestite in termini di sicurezza segnalate dagli intervistati, quattro riguardano questioni legate alle persone, tra cui la carenza di competenze in materia di sicurezza informatica, le minacce da parte dei dipendenti, il lavoro remoto e la formazione dei dipendenti.
Fonte immagini: Scale Security Report 2023.
- Tecnologia – L’efficacia delle protezioni di cyber security è diminuita rispetto all’anno scorso a causa dell’evoluzione delle minacce informatiche. I cyber criminali hanno sviluppato nuovi attacchi, compromesso i modelli di dati AI/ML e scoperto nuovi meccanismi di attacco. Solo il 48% dei leader della sicurezza ritiene che le loro difese di cyber security siano efficaci contro le minacce comuni.
In particolare, si è registrata una significativa riduzione nell’efficacia delle protezioni contro lo sfruttamento di vulnerabilità non patchate, che è sceso dal 53% dell’anno scorso al 44% di quest’anno.
Altre diminuzioni sono state riscontrate per quanto riguarda la protezione contro malware/minacce avanzate persistenti, ransomware, minacce alla catena di approvvigionamento e attacchi mirati di phishing.
Il sondaggio rivela, altresì, che il 79% delle organizzazioni ritiene che l’IA/ML sia importante per migliorare la loro posizione in materia di sicurezza entro il 2024. Tuttavia, il 63% degli intervistati è preoccupato che i dipendenti possano caricare documenti aziendali riservati su servizi come ChatGPT.
Inoltre, il 62% delle organizzazioni è preoccupato per la gestione dei modelli AI/ML e il 52% è preoccupato per l’osservazione e il monitoraggio dei cambiamenti nei modelli AI, sia malevoli che non malevoli. Sorprendentemente, solo il 50% delle organizzazioni ritiene pericoloso il rischio di poisoning dei modelli AI/ML, nonostante il potenziale danno maggiore per l’organizzazione.
Ancora, dal sondaggio report si evince che:
- L’88% dei leader della sicurezza ha l’intenzione di implementare più strumenti di sicurezza nei prossimi 12 mesi, rispetto al 64% del 2022. Questo indica una crescente consapevolezza dell’importanza di investire in soluzioni di sicurezza avanzate per far fronte alle minacce informatiche sempre più sofisticate.
- Il 37% delle organizzazioni ha dichiarato di non essere riuscito a trovare le soluzioni di sicurezza adatte sul mercato per soddisfare le proprie esigenze. Nonostante il desiderio di avere più strumenti, il 62% dei leader della sicurezza ha indicato di essere interessato a consolidare i fornitori di sicurezza. Questo suggerisce un interesse verso l’implementazione di piattaforme software integrate che possano offrire una protezione completa.
- Il 15% delle organizzazioni ha affermato di voler ridurre il numero di strumenti di sicurezza nei prossimi 12 mesi, rispetto al 29% dell’anno scorso. Questo potrebbe indicare un desiderio di semplificare e razionalizzare le soluzioni di sicurezza, magari attraverso l’adozione di piattaforme più complete e integrate.
- Budget a disposizione – Nonostante le preoccupazioni legate all’inflazione e alla recessione, i budget destinati alla cybersecurity nelle grandi organizzazioni (con più di 1.000 dipendenti) sono rimasti resilienti all’inizio del 2023, registrando un aumento del 22% rispetto al 2022. Tuttavia, le aziende di medie dimensioni (con un numero di dipendenti compreso tra 500 e 999) hanno visto solo un modesto aumento del 5%, in netto calo rispetto alla crescita del 51% registrata l’anno scorso.
Secondo un recente articolo del Wall Street Journal, alcuni CISO stanno adottando misure di restrizione dei costi, prestando maggiore attenzione alle decisioni di spesa e allungando i tempi decisionali. Questo indica una maggiore cautela e una valutazione più approfondita delle spese in ambito di cybersecurity.
Nel 2023, le categorie di spesa principali sono state la sicurezza dei dati, delle applicazioni, del cloud e degli endpoint, ciascuna rappresentante il 10% dei budget per la sicurezza.
È interessante notare che i budget per la formazione in termini di security awareness, endpoint security e IAM sono aumentati in modo significativo tra il 2022 e il 2023, a riconoscimento dell’importanza di investire nella formazione dei dipendenti, nella protezione degli endpoint e nel controllo degli accessi per garantire una migliore sicurezza complessiva.
Inoltre, la sicurezza AI/ML e la sicurezza della catena di approvvigionamento del software sono state introdotte nel sondaggio di quest’anno, rappresentando rispettivamente il 6% e il 5% dei budget per la sicurezza, a fronte dell’evoluzione delle minacce informatiche e la necessità di adottare soluzioni avanzate per proteggere le risorse digitali.
Un dato interessante è che i budget per la sicurezza per dipendente hanno raggiunto mediamente i $3.653 quest’anno, registrando un aumento del 20% rispetto ai $3.033 per dipendente del 2022, indicando un maggiore impegno finanziario delle organizzazioni nella protezione dei propri dipendenti e delle risorse aziendali.
Fonte immagine: Scale Security Report 2023.
Inoltre, dal sondaggio emergono alcune tendenze interessanti riguardo alle richieste di budget per la sicurezza nelle organizzazioni. In particolare:
- C’è una crescente richiesta di budget per la formazione in termini di security awareness, sicurezza delle infrastrutture e del cloud, ad indicare un riconoscimento dell’importanza di investire nella formazione dei dipendenti per sensibilizzarli sulle best practice di sicurezza e di proteggere le infrastrutture e i dati aziendali nel cloud.
- Le organizzazioni sembrano richiedere un budget inferiore per il Disaster Recovery, la sicurezza di rete e la sicurezza di AI/ML che potrebbe riflettere una percezione di minor rischio o una priorità diversa nella distribuzione delle risorse finanziarie.
Fonte immagine: Scale Security Report 2023.
- Market gap – I leader della sicurezza hanno evidenziato delle discrepanze tra l'”importanza” e la “soddisfazione” riguardo alle soluzioni di cybersecurity disponibili sul mercato. La sicurezza di rete (75%), la gestione delle identità e degli accessi (73%) e la sicurezza dell’infrastruttura cloud (69%) sono state considerate gli strumenti di sicurezza più importanti. Tuttavia, i leader della sicurezza hanno mostrato un livello di soddisfazione inferiore per gli strumenti di sicurezza dei modelli AI/ML (34%), della sicurezza CI/CD (35%) e della sicurezza delle applicazioni cloud (36%).
Le lacune di mercato più significative sono state riscontrate nella sicurezza delle applicazioni cloud e nella sicurezza CI/CD, con un divario di oltre il 45% tra l’importanza e la soddisfazione. Solo un terzo dei leader della sicurezza si è dichiarato soddisfatto di queste due soluzioni disponibili sul mercato, suggerendo che ci potrebbe essere spazio per lo sviluppo di strumenti migliori.
Tra le organizzazioni che intendono sviluppare internamente le soluzioni, il 34% ha dichiarato che costruirebbe soluzioni di sicurezza delle applicazioni cloud, mentre solo il 2% opterebbe per la costruzione di soluzioni di sicurezza CI/CD.
Fonte immagine: Scale Security Report 2023.
Inoltre, nel sondaggio è emerso che il 43% delle organizzazioni ha l’intenzione di sviluppare internamente soluzioni di sicurezza quest’anno, rispetto al 39% dell’anno precedente. Tra queste organizzazioni, le grandi imprese con più di 1.000 dipendenti sembrano essere più propense a sviluppare internamente le soluzioni di sicurezza (83% nel 2023 vs. 57% nel 2022), mentre le aziende di medie dimensioni con 500-999 dipendenti hanno una percentuale più bassa (17% nel 2023 vs. 43% nel 2022).
La threat intelligence (36%) e la sicurezza di rete (35%) rimangono tra le prime tre aree di focus nel 2023 per lo sviluppo interno delle soluzioni di sicurezza. Tuttavia, la sicurezza degli endpoint (38%) ha sostituito la sicurezza dell’infrastruttura cloud come massima priorità di sviluppo interno, molto probabilmente a fronte dell’aumento delle minacce agli endpoint e della necessità di proteggere i dispositivi utilizzati dai dipendenti in ambienti di lavoro sempre più distribuiti.
. 
Fonte immagine: Scale Security Report 2023.
È interessante notare che l’82% dei leader della sicurezza è alla ricerca di strumenti di automazione della sicurezza per aiutare a contenere e mitigare il malware, nonché per identificare configurazioni errate nei servizi cloud, evidenziando un riconoscimento dell’importanza di utilizzare l’automazione per migliorare l’efficacia e l’efficienza delle operazioni di sicurezza.
Inoltre, il 76% delle organizzazioni ha espresso la necessità di gestire l’esfiltrazione di dati, assegnare identità e diritti di accesso per i nuovi dipendenti e configurare nuovi servizi cloud in modo sicuro. Ciò evidenzia la crescente complessità delle sfide di sicurezza che le organizzazioni devono affrontare nel contesto dei servizi cloud e la necessità di strumenti di automazione per semplificare e migliorare tali processi.
È importante sottolineare che gli sforzi di automazione della sicurezza sono stati motivati anche da fattori come gli attacchi cloud continui, la difficoltà nel trovare professionisti della sicurezza cloud qualificati e il desiderio di una maggiore protezione per la sicurezza cloud.
Conclusioni
La cyber security richiede un approccio completo e continuo, con l’innovazione nell’ecosistema per affrontare i rischi in rapida evoluzione. È essenziale investire in soluzioni avanzate e formare i dipendenti per garantire una protezione efficace delle risorse digitali.
Pertanto, le organizzazioni devono migliorare costantemente le proprie difese, adottando soluzioni di sicurezza avanzate e sensibilizzando i dipendenti sui rischi. Inoltre, i leader della sicurezza devono mantenersi informati sulle tendenze e le tecniche utilizzate dai cyber criminali.
Ovvero, è fondamentale adottare un approccio completo e continuo alla cyber security, cercando soluzioni integrate che riducano la complessità e i costi associati alla gestione di strumenti separati. È importante, altresì, valutare attentamente le esigenze di sicurezza e pianificare il budget di conseguenza.
In definitiva, la cyber security rimane una priorità per molte organizzazioni e solo attraverso un approccio olistico sarà possibile proteggere adeguatamente le risorse digitali e mitigare i rischi associati alle minacce informatiche.
È doveroso ricordare che la cyber security è il fondamento della cyber resilience, che mira a proteggere le risorse digitali e a prevenire, rilevare e rispondere alle minacce informatiche.
Concludendo, grazie ad una solida postura di cyber security, le organizzazioni possono ridurre la probabilità di successo degli attacchi informatici e migliorare la loro resilienza complessiva, integrando risk management, business continuity e cyber security.
Questo approccio completo e proattivo consente alle organizzazioni di affrontare le minacce informatiche, proteggere le operazioni aziendali critiche e rispondere e riprendersi efficacemente dagli incidenti informatici.
