Cisco punta sulla security resiliance focalizzata su rilevamento, risposta e ripristino e considera il contesto.
Autore: Barbara Torresani
L’evoluzione delle minacce informatiche obbliga all’adozione di soluzioni di difesa più mature. Il modello stand-alone adottato fino a poco tempo fa è ormai superato a favore, come ha sottolineato di recente anche il World Economic Forum, di quello basato sulla resilienza. È stato uno degli argomenti di discussione durante in momento di approfondimento a 360 gradi sul tema sicurezza IT con Cisco per capire trend, strategie e comportamenti per il 2023, a cui hanno preso parte Wendy Nather, Head of Advisory Cisco, Fabio Florio, Business Development Manager Smart City e CDA Leader, Cisco e Fabio Panada, Security Architect, Cisco.
Wendy Nather, Head of Advisory Cisco inquadra il contesto: “La recessione economica fa sì che le organizzazioni ritardino o allunghino la spesa per la sicurezza, inoltre la diaspora pandemica degli utenti ha reso ancora più difficile fare l'inventario delle risorse. Per questo è necessaria una maggiore visibilità nella catena di fornitura sotto forma di Software Bills of Materials (SBOM). Più in generale, inoltre, con l'estendersi e l’acuirsi dei conflitti globali al mondo digitale, la protezione dell'individuo e dell'impresa assumono un senso di maggiore urgenza. Guardando agli attacchi, inoltre, il ransomware non rappresenta un singolo attacco, ma una delle tante azioni che soggetti malintenzionati possono intraprendere dopo aver ottenuto l'accesso ai sistemi”.
Nather indica anche alcuni principali trend che caratterizzano il settore, tra cui l’incremento dell’adozione della tecnologia passwordless: “I nostri dati mostrano un aumento del 50% della percentuale di account che consentono l'autenticazione WebAuthn e una quintuplicazione dell'utilizzo di Webauthn a partire da aprile 2019”. Per rafforzare le password si fa sempre più riferimento al metodo Multi Factor Authentication deputato ad aggiungere sicurezza all’utilizzo della sola password tradizionale: “Nell’ultimo anno il numero di autenticazioni MFA con Cisco Duo è aumentato del 38%”. Si evidenzia inoltre una spiccata preferenza per il push: “Duo Push è il metodo di autenticazione più utilizzato, con il 27,6% di tutte le autenticazioni”. Da sottolineare inoltre che l'utilizzo del cloud è in continua crescita: ”Un numero crescente di autenticazioni è attribuito alle applicazioni ad alto volume, con un incremento del 24% nel 2022”.
Nather parla della soglia al di sotto della quale un'organizzazione non può proteggersi in modo efficace - The Security Poverty Line, suggerendo quindi di focalizzarsi su un mix di fattori primari, quali: budget, competenze, capacità e influenza (money, expertise, capability, influence).
In termini di budget risulta fondamentale comprendere se ci si può permettere il costo finanziario degli strumenti e delle persone senza uscire dai limiti di budget fissati. Non solo costi e investimenti ma anche e soprattutto avere le corrette competenze per abilitare una strategia di sicurezza, implementandola al meglio: “Il compito di un Ciso in un'organizzazione che non si è mai occupata di sicurezza, ma anche in quelle che la stanno già affrontando, non è mai facile. Spesso le misure base minime fanno riferimento solo a PCI e comprendono solo firewall e antivirus, senza garanzie che non si verifichino violazioni. Supponendo inoltre che si abbia presente come agire, si è in grado di portare a termine il tutto o si è bloccati da problemi logistici e da altri fattori?
Esistono inoltre due grandi dicotomie quali Safety vs. Security e Privacy vs. Security”.
Non basta adottare standard architetturali e architetture di riferimento per la sicurezza specifiche per ogni settore (non solo liste di controllo per la conformità) per aiutare a rispettare i vincoli aziendali e culturali. E i prodotti dovrebbero essere progettati in modo da richiedere competenze meno sofisticate, così come visibilità e trasparenza risultano necessarie a patto che poi si sia in grado di sfruttare al meglio le informazioni raccolte e analizzate. Fondamentale comunque spingere tutti i percorsi di cybersecurity, siano essi formativi che informativi e di approfondimento e provare ad agire sulla retention delle persone esperte sul tema.
Punto di partenza quindi identificare i componenti ‘cardine’ dell'ecosistema della sicurezza: “Affrontare e gestire la sicurezza è un imperativo pragmatico e morale, complesso da raggiungere quasi come affrontare il cambiamento climatico. E’ un problema globale e altresì locale e personale, pervasivo a tutti i livelli. Solo uno sforzo congiunto e combinato può portare a risultati corretti ed efficaci", sottolinea.
Serve quindi un approccio sistemico ma anche pragmatico. E’ Fabio Florio, Business Development Manager Cisco, a capo dell’Innovation Center focalizzato sulla Cybersecurity e la Data Privacy al Museo della Scienza e della Tecnica a Milano a guidare ulteriormente dentro l’argomento, illustrando l'evoluzione della cybersecurity in Italia, rifacendosi ad alcuni dati di mercato, presentando altresì le evidenze di una ricerca Cisco effettuata in ambito consumer e fotografando lo stato dell’arte delle Networking Academy, che tanto hanno fatto e stanno facendo per diffondere la cultura digitale nel nostro Paese.
Dall’osservazione delle differenti analisi un fattore che accomuna tutte le ricerche riguarda la carenza di risorse, intesa sia come numero di persone specializzate e focalizzate sul tema ma anche di competenze e di cultura diffusa: “Un tema molto critico, se non forse il più critico, che come Cisco riscontriamo nella quotidianità dei clienti con cui ci confrontiamo. Tutti manifestano questa grande criticità e il senso di urgenza nel dover affrontare e risolvere il problema”, sottolinea Florio.
Un fatto però sembra certo: nel 2023 si investirà di più in cybersecurity, con una maggior crescita nelle seguenti aree: ampliamento di utilizzo del Disaster Recovery, di particolare importanza soprattutto in caso di attacchi ransomware; soluzioni di cloud security, data la maggiore diffusione del cloud come modello infrastrutturale di riferimento da proteggere; soluzioni basate su framework Zero Trust (+45%), che "è alla base anche della strategia Cisco”; soluzioni di sicurezza per dispositivi IoT per il mondo industriale e quello delle utilities ma anche per ambiti in cui si stanno diffondendo dispositivi e sensori tutti da mettere in sicurezza.
Florio fa riferimento anche ai dati Clusit che, oltre a un sostanziale allineamento con quelli del Barometro di Sicurezza, indicano un incremento dell’85% degli attacchi rilevati nel primo semestre 2022: 5.430 attacchi rispetto ai 2.980 del 2021: ”Un numero estremamente rilevante che fa molto riflettere”, dice.
Si tratta di dati che se da una parte preoccupano per la gravità dall’altra confortano Cisco in quanto confermano la corretta e centrata impostazione della strategia di cybersecurity del vendor, in linea con le evoluzioni del mondo IT e della digitalizzazione. In questo contesto, una tendenza che sta emergendo e affermandosi sempre più è quella della resilienza in senso esteso: a livello finanziario, di operation, di supply chain, organizzativa … “Fare gli investimenti in queste aree senza includere la resilienza nella security mette a grande rischio tutti gli altri investimenti”.
Investire e avere una strategia di security resilience per Cisco significa spostarsi dalle soluzioni cosiddette point to point, dedicate ad aree e settori molto specifici, a una sicurezza molto più integrata, dalla prevenzione alla detection & response recovery, in quanto non si tratta più di bloccare gli attacchi ma di intercettarli, reagire e recuperare i dati velocemente. Il rischio infatti non lo si può eliminare, ma lo si può mitigare: “In questo modo quindi ci si sposta da soluzioni basate su silos a soluzioni più connesse tra di loro e da un la metodologia che fa riferimento al singolo allert e a una singola minaccia a una logica più di contesto”, enfatizza Florio.
In specifico, la piattforma Cisco Secure si estende dalla Secure Connectivity alla Network Security, allo Zero Trust – elemento centrale della proposizionedel vendor – alla Cloud & Application Security e alla Threat Detection & Response. Tutti ambiti soggetti a continue innovazioni, dall’inserimento del passwordless nello Zero Trust con Cisco Duo, piuttosto che nell’ambito della Secure Connectivity all'introduzione di interfacce applicative in Cisco Umbrella nonché a nuovi firewall per la Network Security. E tutto ciò poggia sulla Threat Intelligence di Talos. Quest’ultimo rappresenta il gruppo non governativo più grande al mondo, composto da circa 450 ingegneri in grado di poter vedere tutto il traffico che viaggia sui sistemi Cisco a livello mondiale; traffico verso i clienti e verso Cisco stessa, permettendo di tracciare e soprattutto di rilevare una serie di dati e informazioni statistiche, fondamentali per arricchire le soluzioni di protezione nell’ambito di cybersecurity.
I numeri indicano la consistenza della sicurezza in casa Cisco, che ha a che fare con l’80% del traffico Internet globale e riguarda 6 milioni di mailbox, 87 milioni di endpoint gestiti, per 300mila clienti (100% delle aziende Fortune utilizzano Cisco Secure) e 1,4 milioni di malware rilevati da Talos ogni giorno: “Sono numeri che ci permettono di raccogliere informazioni, statistiche per capire qual è l'evoluzione del traffico in rete e soprattutto degli attacchi. Vuol dire comprendere i dati, analizzarli per mettere a punto le patch di sicurezza e innovare le nostre soluzioni di protezione”, spiega Florio.
Una quantità di dati che non può essere gestita a livello umano, e che necessita dell’aiuto delle macchine, dell’automazione e di funzionalità di machine learning, attraverso tecnologie di intelligenza artificiale in grado di capire l’evoluzione degli attacchi per prendere le adeguate contromisure, aprendo e le soluzioni di sicurezza all’esterno grazie a oltre 400 integrazioni con terze parti.
Dalle imprese ai consumatori. Qual è invece la sensibilità delle persone in relazione al tema della cybersecurity? Florio cita alcune evidenze di una ricerca Cisco condotta su oltre 1.000 consumatori, di cui la maggioranza dichiara di disporre almeno tre connected device nella propria casa, il 19% ne conta quattro mentre cinque riguarda il 13% del campione. Il 62% del panel afferma di utilizzare Il proprio personal phone per lavoro: “Una debolezza a livello di sicurezza, in quanto il personal phone non potrà mai essere sicuro quanto quello aziendale dotato di misure, policy e strumenti di sicurezza evoluti". Se si passa alla consapevolezza sul tema relativo alla sicurezza il 56% dei consumatori dichiara di aver capito di essere un possibile target e quindi di poter essere attaccati. Un dato non così confortante, in quanto significa che c'è un 44% del campione che invece è ignaro del fatto.
La maggior parte di coloro che si dicono preoccupati rientrano nella fascia di età compresa 25 e i 34 anni, una fascia relativamente giovane. Da sottolineare che il valore di rispondenti in Italia risulta più alto di quello EMEA rispetto agli advisor provenienti dalle autorità statali.
E anche in questa ricerca il tema culturale emerge in tutta la sua evidenza; una cultura il cui livello deve essere innalzato.
Torna quindi a bomba il tema delle competenze, come fattore critico per comprendere e gestire al meglio il tema della cybersecurity. Ed ecco che Cisco gioca, tra le differenti iniziative messe in campo, la carta delle Networking Academy che negli anni ha permesso di formare molte persone. Il 95% degli studenti che completano questa certificazione dichiarano di aver ottenuto un'opportunità di lavoro e di formazione grazie all’Academy. Qualche numero: 190 paesi coinvolti a livello mondiale e 11.800 istituti; 3.20 milioni di studenti coinvolti, 17.5 milioni della nascita della iniziativa; 3.4 milioni posti di lavoro creati dal 2005, 26% di partecipazione femminile dalla nascita dell'iniziativa.
Guardando al tema specifico della cybersecurity nel 2022 attraverso le Networking Academy Cisco hanno coinvolto 15.663 studenti in cybersecurity, sui circa 50.000 studenti formati all'anno in Italia, inoltre il vendor ha anche creato corsi e borse studio rivolte a persone tra i 18 e i 44 anni per ottenere la formazione in questo specifico ambito, consegnando 3 mila borse di studio in un quinquennio.
Si va ancora più in concreto con il case study a cui lavrano in partnership Cisco e Sara Assicurazioni, presentato da Fabio Panada, Security Architect, Cisco.
La compagnia assicurativa italiana, dotata di 1.500 punti vendita distribuiti sul territorio nazionale, numerosi clienti e numerosi dipendenti interni, negli ultimi anni ha deciso di intraprendere una trasformazione digitale al fine di modernizzare la modalità con cui gestiva i propri team: "Nella fattispecie ha deciso di abilitare il modello ibrido, spinta anche dalle nuove modalità operative imposte dalla situazione pandemica. In questo senso, Sara Assicurazioni ha rivisto i processi di utilizzo dei servizi rivolti ai dipendenti interni, adottando una soluzione cloud based, in cui ha coinvolto più cloud provider.
Sara Assicurazioni ha quindi deciso di adottare il modello Zero Trust "per cui le tecnologie devono utilizzare autenticazione, controllo dei dati, controllo della rete per essere continuamente valutate. Quando un utente si collega e accede un'applicazione questo può valere per un certo periodo, ma l'autenticazione deve continuamente essere rivista. Un modello che molte aziende di qualsiasi settore stanno adottando, in fasi differenti, ma è importante che le tecnologie lo supportino”.
L’architettura integrata messa in opera congiuntamente ha permesso, grazie all'operatività e agli automatismi, di ridurre i tempi di gestione e quindi aumentare l'efficienza della sicurezza a tutti i livelli, permettendo di gestire in maniera centralizzata tutti i problemi rilevati sul cloud, sugli endpoint a livello utente e sulla rete. E tutto ciò messo a fattor comune e gestito in un unico punto ha permesso una forte riduzione di costi e un forte incremento in termini di efficienza (quasi del 20%). In termini di visibilità e controllo si parla di 400 minacce intercettate in media al mese, 3 milioni di file diversi analizzati e 1.000 transazioni bloccate.