Riduzione della superficie di attacco, rilevamento e conseguente risposta alle minacce, ripristino dei servizi sono le tre aree chiave su cui le aziend devono concentrare i propri sforzi
Autore: Fabio Zezza
Le organizzazioni fanno sempre più affidamento su dati e applicazioni – spesso basate sul Web – per il loro business. Tuttavia, i leader IT sono costretti ad affrontare sempre nuove sfide nel modo in cui proteggono i propri dati e applicazioni a causa di attacchi informatici sempre più sofisticati. Secondo il Dell Technologies Data Protection Index 2022, il 67% dei leader IT teme, infatti, che le attuali misure di protezione dei dati esistenti potrebbero non essere sufficienti a sostenere le minacce di malware e ransomware.
Per quanto riguarda l’Italia, il più recente rapporto Clusit ha evidenziato come il 2022 sia stato un anno record a livello di crescenti minacce cyber: nel nostro Paese è andato a segno il 7,6% degli attacchi globali, contro il 3,4% del 2021; c’è stato un incremento degli attacchi pari al 169% anno su anno e la gravità rilevata è stata pari all’83% dei casi, con importanti ripercussioni sulle organizzazioni e sul business. In questo complesso scenario, le organizzazioni necessitano di una strategia di sicurezza che indirizzi tre aree chiave: la riduzione della superficie di attacco; il rilevamento e la conseguente risposta alle minacce; il ripristino dei servizi. Vediamole nel dettaglio.
Una superficie di attacco può avere potenziali vulnerabilità e punti di ingresso che i malintenzionati possono sfruttare. Per migliorare la sicurezza, le organizzazioni devono ridurre il perimetro di attacco in tutti i domini - inclusi edge, core e cloud. Questo implica l’attuazione di misure preventive tra le quali:
Zero Trust Framework: Zero Trust è un modello di sicurezza incentrato sul principio che le organizzazioni non dovrebbero fidarsi mai di nulla tanto all’interno quanto all'esterno dei propri perimetri, verificando invece tutto ciò che entra in connessione con i propri sistemi prima di concederne l'accesso. Un modello Zero Trust può essere raggiunto integrando soluzioni quali micro-segmentazione, gestione delle identità e degli accessi (IAM), autenticazione a più fattori (MFA) e analisi della sicurezza.
Isolamento dei dati: la separazione dei dati in ambienti, container o unità di storage isolati può ridurre al minimo il rischio associato ad accessi non autorizzati, violazioni dei dati o altre forme di attacchi informatici.
Rigorosi controlli di accesso: definiscono chi o cosa può visualizzare, utilizzare o modificare le risorse all'interno di un ambiente informatico. Il controllo degli accessi è l’elemento cardine di una solida strategia di sicurezza informatica poiché funge da prima linea di difesa contro intrusioni e potenziali violazioni.
Patch a sistemi e applicazioni: le correzioni di vulnerabilità note devono essere fatte in maniera preventiva; gli aggressori potrebbero sfruttarle per ottenere accesso non autorizzato o compromettere il sistema. Il mancato utilizzo tempestivo delle patch espone l'organizzazione a elevati rischi.
Formazione e consapevolezza degli utenti: la formazione dei dipendenti e degli utenti affinché riconoscano e segnalino potenziali minacce di sicurezza, tentativi di phishing e di social engineering aiuta a ridurre il rischio di attacchi basati su errori umani.
Le organizzazioni, inoltre, dovrebbero condurre attente valutazioni delle vulnerabilità e effettuare test per identificare ed eliminare potenziali punti deboli. Le tecnologie avanzate di rilevamento delle minacce che includono algoritmi di intelligenza artificiale (AI) e machine learning (ML) sono vitali per risposte proattive e tempestive alle minacce in evoluzione. La riduzione della superficie di attacco consente alle organizzazioni di mitigare le potenziali vie di attacchi informatici.
Per mantenere un solido livello di sicurezza, rilevare e rispondere alle minacce, le organizzazioni dovrebbero utilizzare tecnologie e metodologie avanzate, che comprendono:
Sistemi di rilevamento e prevenzione delle intrusioni: forniscono monitoraggio e avvisi in tempo reale per attività sospette che potrebbero indicare una violazione della sicurezza o un accesso non autorizzato. Identificando tempestivamente le anomalie, questi sistemi consentono alle organizzazioni di agire immediatamente, riducendo i potenziali danni e migliorando la sicurezza nel suo complesso.
Rilevamento delle anomalie: per identificare modelli anomali che si discostano dalle norme stabilite, segnalando potenziali attività dannose. Rilevare rapidamente queste anomalie può prevenire violazioni dei dati, accessi non autorizzati e altre minacce alla sicurezza. L’uso di algoritmi AI e ML può aiutare ad accelerare il rilevamento delle minacce.
Monitoraggio del traffico di rete in tempo reale: questo permette di avere un’immediata visibilità sull'attività di rete, consentendo il rilevamento rapido di comportamenti insoliti o dannosi. Le organizzazioni, in questo modo, possono rispondere alle minacce in modo tempestivo, riducendo il rischio di violazioni dei dati e compromissioni del sistema.
Una partnership con esperti della sicurezza può, inoltre, fornire competenze nell'individuazione delle vulnerabilità attraverso la gestione e il rilevamento delle minacce e la risposta agli incidenti.
Le organizzazioni devono disporre di capacità che garantiscano resilienza e testarle frequentemente per riprendersi da un attacco informatico. Un ripristino efficace richiede un piano di risposta agli incidenti ben definito. Le organizzazioni dovrebbero attuare:
Un Programma di Incident Response and Recovery (IRR): stabilire protocolli di risposta agli incidenti che delineino ruoli, responsabilità e attività nel caso in cui si verifichi un attacco. Un piano IRR validato favorisce una buona comunicazione e coordinamento tra team interni, servizi professionali e partner, oltre a contribuire a soddisfare gli SLA aziendali in materia di uptime.
Data protection: backup regolari di dati e sistemi critici, utilizzando soluzioni di archiviazione offsite dotate di strumenti di crittografia, in modo da garantire un rapido ripristino dei dati nel caso di un attacco.
In un panorama di minacce sempre in evoluzione, è essenziale progredire nella maturità delle soluzioni di sicurezza informatica impiegate. La riduzione della superficie di attacco consente alle organizzazioni di ridurre al minimo le vulnerabilità e i potenziali punti di ingresso per gli aggressori. I meccanismi proattivi di rilevamento e risposta alle minacce consentono alle organizzazioni di identificare e mitigare rapidamente le minacce. Strategie di ripristino efficaci garantiscono che le organizzazioni possano ripristinare le operazioni e ridurre al minimo l’impatto di un attacco informatico. Inoltre, collaborando con un partner commerciale esperto, le organizzazioni possono stabilire un approccio di sicurezza completo che protegga dalle minacce in continua evoluzione.
Poiché la tecnologia continua ad avanzare, lo stesso deve fare il nostro approccio alla sicurezza informatica per salvaguardare le nostre infrastrutture IT e – più in generale – l’operatività degli strumenti digitali necessari al business. In conclusione, progresso tecnologico e maggiore maturità in ambito sicurezza sono essenziali per contrastare le minacce cyber che purtroppo sono in continua evoluzione. Questo richiede un grande impegno e un piano ben delineato da parte delle organizzazioni: ridurre il più possibile la superficie di attacco, identificare proattivamente vulnerabilità e potenziali punti di ingresso per gli aggressori, attuare meccanismi proattivi di rilevamento, ripristinare tempestivamente i servizi IT per minimizzare l’impatto di un attacco informatico.
Fabio Zezza è Country Lead, Italy & The Netherlands, Data Protection Solution & Storage, Dell Technologies Italia