Digitalizzazione, cloud computing e lavoro ibrido offrono diversi vantaggi alle realtà aziendali ma, al tempo stesso, le rendono anche più vulnerabili agli attacchi informatici. Occorre, quindi, attivare una strategia di difesa efficace per ambienti informatici aziendali sempre più distribuiti.
I principali rischi per le aziende
In cima ai rischi per le aziende ci sono gli attacchi ransomware con cui i cyber criminali chiedono un riscatto per ripristinare l’accesso ai dati, per non divulgarli, per non bloccare i servizi aziendali e per non comunicare l’avvenuta violazione a clienti, fornitori e media. Si tratta di attacchi informatici mirati, costruiti sullo specifico profilo aziendale.
Tra i cyber attack ad alto rischio vi è poi la tecnica del business e-mail compromise, dove l’attacco viene inserito nelle comunicazioni aziendali amministrative e chiede di effettuare pagamenti verso un nuovo iban o destinatario. Sono attacchi che richiedono tempo sia per essere preparati – poiché si studiano i profili delle vittime – sia per essere individuati.
Per compiere questo tipo di attacchi vengono sfruttare in via principale: le diverse vulnerabilità zero-day, ossia qualunque debolezza di un software non nota ai suoi sviluppatori (ovvero da essi conosciuta ma non gestita) e lo spear-phishing, falsificando il mittente e sfruttando infrastrutture di fiducia – come i grandi colossi IT – per inviare e-mail malevole o per ospitare pagine di phishing e malware.
Occorre una strategia efficace
Per contrastare questo tipo di attacchi è necessaria una strategia capace di adattarsi continuamente all’evoluzione delle minacce e alle nuove esigenze organizzative ma, soprattutto, una strategia che venga recepita ad ogni livello aziendale al fine di diffondere maggiore consapevolezza. Quindi non solo i reparti IT e/o sicurezza.
L’idea sbagliata alla base di questa strategia che circoscrive solo a determinati reparti aziendali il rischio è che la diffusione dell’informazione rappresenti un costo. In realtà si tratta di un investimento per la sopravvivenza dell’azienda e non di una semplice spesa. Secondo alcuni studi, investire sulla sicurezza informatica ha un ritorno superiore al 90%, poiché si prevengono danni economici e reputazionali di un potenziale attacco. Tuttavia, la più grande incognita verso un cyber attack è il fattore umano. Per questo è utile e necessario formare utenti ad essere efficaci, riducendo la superficie di attacco, e che si sappiano muovere su automazione e competenze.
In altri termini, per gli attacchi mirati occorre l’intervento di un professionista analista della sicurezza che contrasti l’hacker e i suoi attacchi, specie quelli non convenzionali e complessi; mentre per gli attacchi automatizzati servono tecnologie analoghe, in grado di codificare le competenze umane e ridurre in maniera drastica i tempi di risposta della maggior parte delle minacce.
Le aziende devono acquisire la consapevolezza che non sono invulnerabili e che la compromissione dei sistemi è inevitabile. Inoltre, devono pianificare una strategia di backup per garantire la continuità operativa.
L’approccio zero-trust
La security strategy deve adottare un approccio zero-trust basato su tre principi:
- verificare sempre esplicitamente l’identità, anche dei sistemi o degli applicativi;
- ridurre i privilegi in modalità just in time e just enough, garantendo l’accesso alle risorse con le autorizzazioni minime e per il tempo necessario a eseguire le operazioni;
- implementare la micro-segmentazione per identificare e contrastare i movimenti laterali, organizzando la rete, i sistemi, le applicazioni a compartimenti stagni.
Questo approccio, affiancato dalle moderne tecnologie di monitoraggio che sfruttano AI e machine learning, permette di riconoscere, correlare e correggere pattern di attacco anche molto complessi.
Il paradigma zero-trust diventa fondamentale per minimizzare l’eventualità di compromissione, unita alla scansione delle vulnerabilità periodica.
Inoltre, tra gli strumenti di sicurezza oggi indispensabili, vi sono:
- l’autenticazione multi-fattore;
- le soluzioni EDR e XDR, in grado di monitorare in tempo reale gli eventi all’interno dei dispositivi, delle reti, degli utenti e dei cloud;
- la cifratura del dato, per una protezione indipendente dal sistema in cui è collocato;
- i sistemi SOAR, che permettono il riconoscimento dei pattern di attacco, avviando una serie di azioni di risposta e messaggi di allert agli specialisti.
Conclusioni
Il tema della sicurezza oggi va affrontato a 360 gradi, in modo particolare alla luce dei cambiamenti organizzativi lungo la supply chain.
