Dotarsi di un prodotto di security efficiente non basta più per difendere le risorse aziendali. Oggi occorre un lavoro di monitoraggio e awareness continui e particolareggiati.
Autore: Redazione SecurityOpenLab
È possibile anticipare gli hacker? È una domanda che molte aziende pubbliche e private si pongono in un momento in cui gli attacchi si moltiplicano e le tecniche usate dagli attaccanti sono sempre più sofisticate. Premesso che la bacchetta magica non esiste, c’è però una serie di strategie che, adottate insieme ai prodotti giusti, possono fare la differenza nella difesa informatica. Marco Rottigni, Technical Director Italia di SentinelOne, ne ha indicate alcune rivolgendosi ai CISO, che sono figure sempre più centrali nella strategia di sicurezza delle aziende.
La prima indicazione, nei tempi moderni non è più una raccomandazione, ma un dovere: fare il proprio dovere. Che per un CISO significa essere al corrente e aggiornati sulle “best practice” per sincerarsi che non ci siano modi troppo semplici per compromettere le risorse aziendali. Questo implica anche tenere backup sempre aggiornati, e attivare ovunque possibile l’autenticazione multi-fattore, installare soluzioni di difesa su ogni endpoint, sia in locale che in cloud. Ma non è finita: oggi è imperativo anche conoscere i propri avversari, simularne gli attacchi e accertarsi che i processi di reazione all’incidente siano noti e ben collaudati.
Al secondo punto del vademecum di Rottigni c’è proprio la posizione strategica del CISO: non è un cavaliere solitario, è a capo di una coalizione a cui spetta il ruolo di punto di riferimento per la security. In quanto tale deve anche essere un informatore, un divulgatore che si accerti che tutti conoscano rischi e strategie di difesa - anche condividendo le notizie e conducendo simulazioni degli incidenti.
Purtroppo è ormai noto che il phishing è il punto di partenza della maggior parte degli attacchi, dai ransomware alle frodi: tutti devono conoscere le best practice e comprendere i rischi che derivano da atteggiamenti poco attenti e responsabili.
Se fin qui il lavoro del CISO sembra faticoso, sappiate che non siamo ancora a metà dell’opera. Mettere in sicurezza gli endpoint e creare awareness sono importanti quanto proteggere adeguatamente l’infrastruttura. Su questo fronte è importante ottenere un punto di vista esterno, ossia assicurarsi che non ci siano punti ciechi all'interno dell’azienda. L’abilità di un CISO è saperli identificare prima che lo facciano gli attaccanti. I metodi non mancano: ci sono le attività di red team, le simulazioni tecnologiche, oppure programmi di bug bounty.
Il punto migliore da cui partire è conoscere alla perfezione le risorse aziendali. Sembra una banalità, ma molte aziende non conoscono nel dettaglio la superficie da proteggere. E come noto non è possibile proteggere quello che non si conosce. L’esempio più lampante sono le misconfigurazioni cloud, sempre più sfruttate dagli attaccanti. Per prevenirle bisogna conoscere le implicazioni di sicurezza nell’istanziare risorse in AWS o Azure, conoscere e gestire l’esposizione di container e molto altro.
L’ultimo punto è ormai importantissimo: tenere sempre presente il rischio dato dagli attacchi alla supply chain, in cui gli attaccanti cercano la via d'accesso più facile per raggiungere l’obiettivo. Anche qui, la prevenzione parte dalla massimizzazione della visibilità dell'intero patrimonio informatico. I casi di Solarwinds e Kaseya hanno insegnato anche l’importanza di un controllo che di estenda al software e ai componenti condivisi utilizzati dalle catene di sviluppo del software.