Gli attacchi informatici oggi rappresentano la maggior preoccupazione per le aziende: la violazione della sicurezza rappresenta, infatti, un fermo delle funzionalità operative, la perdita di dati e la sottrazione delle credenziali più critiche. Un rischio per le aziende costrette ad affrontare nuove sfide della cybersecurity ricorrendo alle più evolute soluzioni di sicurezza informatica. Ma questo non basta, occorre urgentemente un’inversione di rotta in termini di consapevolezza verso questo tema, è necessario oggi un nuovo approccio alla sicurezza a tutto tondo.
Ne abbiamo parlato con Alberto Brera, Country Manager di Stormshield per l’Italia, per comprendere le evoluzioni delle minacce e i rischi per le aziende
BizzIT: Come stanno cambiando le minacce e quali sono i nuovi rischi per le aziende?
Alberto Brera: I cybercriminali hanno rapidamente adattato il loro modus operandi ai nuovi modelli lavorativi che prevedono una fruizione sempre più fluida delle risorse aziendali “from anywhere”. Questo processo di estrema estensione del perimetro aziendale ad ambienti e strumenti mal protetti (pc personali, infrastrutture IT ombra per far fronte ad emergenze e simili) ha favorito l’affinamento e l’industrializzazione degli strumenti impiegati per carpire con successo credenziali di accesso alle reti, di cui gli attaccanti abusano sia per lanciare attacchi di massa, sia per infiltrare malware che colpiscono le risorse di interesse attraverso movimenti laterali. Inoltre, gli aggressori si stanno strutturando in vere e proprie organizzazioni che commercializzano in maniera estremamente professionale l’accesso a reti compromesse (IAB – Initial Access Brokers), malware preconfezionato “as a service”, strumento prezioso per cybercriminali privi di particolari competenze tecniche, e/o i dati esfiltrati nel corso di un attacco ransomware di successo. Questo sviluppo ha consolidato il primato del ransomware sulle altre minacce, seguito a ruota da attacchi mirati e sofisticati ai danni di industria, infrastrutture critiche e aziende di rilievo.
BizzIT: Le minacce dall’interno hanno un peso crescente o in diminuzione
Alberto Brera: In termini di cybersecurity il fattore umano è da sempre una vulnerabilità, un dato di fatto ben noto ai cybercriminali, che nel frattempo offrono via dark web laute ricompense agli addetti che forniscono il proprio accesso alle reti o dati aziendali riservati. Per non parlare di situazioni all’ordine del giorno, come i casi di leakage da parte di personale che lascia l’azienda o la perdita dei dati per furto o smarrimento dei terminali. Un quadro aggravato anche dall’irrisoria attività di sensibilizzazione di dipendenti, manutentori e collaboratori esterni verso l’igiene digitale, nonostante sia noto che un utente consapevole può evitare autonomamente molti rischi. L’impiego di strumenti di lavoro non propriamente professionali in ambienti domestici o pubblici mal protetti, pur di garantire la continuità operativa, si è rivelato un formidabile vettore accidentale di attacco, poiché ha spesso luogo al di fuori delle policy di sicurezza aziendali.Tra le misure prese invece per ovviare alle minacce più grossolane abbiamo, da un lato, un notevole incremento del contingente di connessioni VPN attivabili (attraverso cui – ed è bene specificarlo – è comunque possibile infiltrare accidentalmente malware nella rete aziendale) e, dall’altro, un irrigidimento dei modelli Zero-Trust a discapito delle esigenze di flessibilità di postazioni di lavoro sempre più fluide.
Alla luce di un crescente peso delle minacce dall’interno, non meraviglia che si parli sempre più spesso di assegnare ai dipendenti in “smart working” computer e smartphone aziendali in linea con le policy di sicurezza e i modelli Zero-Trust, dotati di un buon livello di protezione (idealmente tramite soluzioni EDR o HIPS) e di una soluzione di cifratura dei dati (non del sistema) agnostica al tipo di piattaforma di archiviazione impiegata, come arma risolutiva. Purtroppo, però, spesso nelle PMI come nelle grandi aziende manca la comprensione della necessità di investimenti di questa portata e di conseguenza il budget corrispondente.
BizzIT: Spostare dati e applicazioni in cloud aumenta o diminuisce il rischio?
Alberto Brera: Il cloud ha rappresentato “la salvezza” per i più negli scorsi due anni e mezzo, a tal punto che ha originato vere e proprie infrastrutture IT ombra (shadow IT) con cui molti IT manager fanno i conti ancora oggi. Spostare dati e applicazioni nel cloud non è un elemento di rischio in sé, bensì a fronte delle condizioni d’utilizzo. Dove sono archiviati i dati? Fino a che punto terzi (sia anche il fornitore del servizio di hosting o della piattaforma cloud) possono accedere ai dati? Quali le misure di sicurezza IT e di disaster recovery implementate? Prima di affidare i propri asset digitali e anche parzialmente la propria infrastruttura IT/TLC a operatori cloud, occorre avere risposte certe e SLA che evidenzino chiaramente le responsabilità dell’operatore, e non solo dell’utente, in caso di incidente informatico.
BizzIT: Come devono cambiare i paradigmi di protezione a livello tecnologico per fronteggiare i nuovi rischi?
Alberto Brera: Più che una variazione del paradigma di protezione a livello tecnologico occorre urgentemente un cambio di passo in termini di sensibilità alla tematica e di approccio alla sicurezza a tutto tondo, comprendendo che la cybersecurity non è un prodotto che si compra da uno scaffale per poi installarlo e dimenticarsene, ma un percorso indissolubilmente legato al fattore umano, ai processi, alle esigenze e alle modalità operative aziendali che va ben al di là di criteri di valutazione puramente tecnici. Un percorso che dovrebbe prevedere persino una “second line of defense”. Tuttavia, fino a quando la sicurezza sarà percepita come un costo “obbligato” e non come il “business enabler” che è, CISO e responsabili IT dovranno sempre lottare per un budget che corrisponda al potenziale impatto di un attacco sulla produttività e all’effettiva superficie di attacco dell’azienda.
BizzIT: A livello strategico come dovrebbero conciliarsi ICT security e cyber-resilienza?
Alberto Brera: Come già detto, la sicurezza è un business enabler, e in quanto tale pilastro essenziale di una strategia volta a incrementare la cyber-resilienza delle imprese. Con cyber-resilienza si intende l’abilità di un dato processo o di una infrastruttura di resistere ad un attacco senza gravi ripercussioni sulla disponibilità delle risorse, sulla produttività o sull’integrità del bacino di dati. A tale scopo, la cybersecurity fornisce strumenti di analisi e risoluzione delle vulnerabilità, di segmentazione della rete, di identificazione e blocco di comportamenti anomali, di connessione sicura alla rete da remoto e di implementazione di modelli zero-trust che si adattano automaticamente all’ambiente di lavoro (interno / privato / pubblico), allo strumento impiegato (postazione di lavoro fissa o mobile ecc.) e alle risorse aziendali autorizzate a seconda del profilo dell’utente (luogo, orario, strumento, applicazioni, diritti di accesso) in un dato momento. Naturalmente gli strumenti di cybersecurity sono per lo più preventivi, contribuiscono quindi a ridurre a priori l’impatto di un potenziale attacco, ma essenziale per la cyber-resilienza è l’irrinunciabile incremento della consapevolezza degli utenti in merito al loro ruolo quale primo baluardo di sicurezza e l’implementazione di piani accurati per il repentino ripristino dei sistemi compromessi e dei dati.
La risposta di Stormshield
Stormshield risponde a queste esigenze in primis attraverso un portafoglio di prodotti altamente integrati e sviluppati secondo il principio della “collaborative security” interamente in house (Francia), quindi fortemente legato alle consuetudini e alle normative europee in fatto di protezione di dati e infrastrutture. I firewall UTM/IPS hardware e virtuali Stormshield Network Security anche per ambienti industriali fungono da gateway VPN, analizzano e bloccano in tempo reale flussi di dati e/o comandi anomali, i tentativi di attacco dall’esterno come di accesso a risorse non autorizzate dall’interno e sono il punto di partenza per l’applicazione di policy di sicurezza a tutti i device presenti in azienda. Stormshield Endpoint Security Evolution è uno HIPS per computer e server che non necessita di alcuna connettività internet per funzionare. SES Evolution non solo contribuisce attivamente all’implementazione dei profili utente Zero-Trust ma, frapponendosi tra il sistema operativo e le applicazioni, impedisce che richieste anomale al sistema operativo (ad esempio l’improvvisa cifratura della macchina) si tramutino in azione. Stormshield Data Security infine assicura una cifratura dei dati punto-punto agnostica rispetto allo strumento utilizzato per visualizzare i file e alla piattaforma su cui i dati sono archiviati. Anche questa soluzione supporta le policy Zero-Trust: solo specifici addetti ai lavori possono visualizzare i dati in chiaro, che restano inintelligibili per chiunque altro. Le chiavi di cifratura restano in possesso dell’azienda che può sostituirle o invalidarle in qualunque momento, una caratteristica utile presso società con una forte fluttuazione del personale o con un ampio numero di collaboratori esterni.
Oltre ad un approccio completo alla sicurezza IT made in Europe, in Italia Stormshield dispone di una filiale che si differenzia sul mercato per il tipo di rapporto e il legame che intrattiene con i propri partner. L’azienda ha adottato sin dai suoi albori una strategia commerciale 2-tier, il canale è quindi la colonna portante del successo di Stormshield sul territorio. Per questo motivo Stormshield forma e certifica i propri partner a valore, eroga supporto pre- e post-vendita attraverso un team di tecnici locale e collabora al fianco dei partner che lo desiderano all’elaborazione e alla gestione di progetti complessi. Tutti servizi erogati per assicurare che le organizzazioni che decidono di dotarsi di una cybersecurity allo stato dell’arte intraprendano questo percorso con un partner competente e in grado di dotarli dei migliori strumenti a lungo termine.