Sicurezza degli endpoint e delle identità tengono vivo il mercato cyber, ma occorre focalizzarsi anche sul cloud. Ecco le soluzioni che potrebbero cambiare l’approccio delle aziende.
Autore: Redazione SecurityOpenLab
Nonostante uno scenario macro economico complesso, la sicurezza informatica resta uno dei settori IT in cui le aziende continuano a investire. I progetti di maggiore interesse sono quelli relativi alla protezione degli endopint e delle identità, mentre c’è ancora da lavorare sulla cloud security. Sono questi alcuni dei punti salienti che ha toccato Paolo Cecchi, Regional Sales Director Mediterranean Region di SentinelOne, durante l’incontro di inizio anno con la stampa.
Nella sua analisi Cecchi fa riferimento alle aree geografiche di sua competenza, a cui riconosce dei tratti comuni. Il primo è il “permanere di investimenti in soluzioni di cybersecurity, a fronte di un rallentamento negli investimenti in risorse”, in altre parole, le aziende investono meno in personale, che è molto costoso e difficile sia da trovare sia da formare. La conseguenza di questo approccio è un ampliamento del già noto problema dello skill shortage, con conseguenze dirette sulla implementazione dei progetti cyber. Cecchi spiega che “mandare avanti progetti cyber è più oneroso e la velocità in cui vengono implementati gli investimenti va allungandosi. Si dilatano i tempi dei PoC, ci sono progetti che vengono posticipati perché non sono completi tutti i processi richiesti per l’implementazione”.
In questo scenario apparentemente negativo ci sono però degli aspetti positivi. Il primo è che l’analisi finanziaria dei progetti si sta progressivamente spostando dall’IT al CFO. Questo da una parte dilata i flussi di cassa determinando un ulteriore rallentamento dei tempi, tuttavia dall’altro qualifica maggiormente l’ambito cyber aggiungendo un importante livello di analisi del rischio per l’organizzazione e facendo di fatto avvicinare – se non accedere - la sicurezza informatica al board. Negli anni abbiamo spesso evidenziato che il raggiungimento della resilienza informatica delle aziende è correlato in maniera indissolubile alla percezione del rischio informatico da parte dei consigli di amministrazione delle aziende, quindi uno sviluppo in questa direzione è senza dubbio una notizia positiva.
Perché, nonostante i cordini stretti della borsa, gli investimenti in cybersecurity non si fermano? La risposta è banale: gli attacchi continuano, sono sempre più efficaci, mirati e distruttivi. E l’eco mediatica che guadagnano è in crescita, con conseguenti danni d’immagine.
Una parte interessante del panorama descritto da Cecchi riguarda gli ambiti in cui le aziende investono maggiormente e quelli in cui, invece, c’è ancora molto lavoro da fare. Ad attirare i maggiori investimenti continua ad essere la endpoint protection, dove per endpoint s’intende qualsiasi dispositivo che si connette, sia esso un server o uno smartphone.
Al secondo posto c’è la identity security, ossia la protezione delle identità: come noto gli attacchi alle identità sono sempre più sofisticati e diffusi, perché di fatto l’identità è il nuovo perimetro. Sempre più spesso vengono orchestrati attacchi contro Active Directory, a cui è affidata la gestione non solo delle identità, ma di tutto quello che compone gli asset di un'azienda: computer, gruppi, policy, finanche alla network security. Una volta compromesso, un criminale informatico non ha più difficoltà a muoversi lateralmente all'interno della rete aziendale, a distribuire ransomware, a esfiltrare dati e molto altro, con una escalation di danni impressionante. Questo “gioiello della corona” dev’essere difeso con priorità assoluta.
Idealmente parlando, il terzo elemento su cui investire in security dovrebbe essere il cloud. Invece Cecchi lo identifica come un ambito “da definire”, nel senso che riconosce un certo interesse da parte delle aziende, ma è tiepido. Il manager individua il motivo nel numero altissimo di necessità e di soluzioni esistenti per la protezione di aspetti specifici del cloud, che anziché aiutare, mettono in difficoltà chi deve investire: “Le aziende non sanno da dove partire, non trovano soluzioni capaci di fornire una risposta unica e completa”.
Applicando un paradigma che ha già funzionato in svariati ambiti cyber, Cecchi punta sul consolidamento per dirimere il problema, e sottolinea la recente acquisizione di PingSafe come elemento che può mettere SentinelOne nella posizione di fornitore a cui affidarsi. PingSafe è una Cloud Native Application Protection Platform (Cnapp) capace di migliorare la protezione, la sicurezza e l’automazione di tutto l’ambiente cloud nel suo complesso. Cecchi ne sottolinea anche le capacità di pentest e di ethical hacking, che coniugate con la piattaforma SentinelOne già esistente permetteranno di proporre una soluzione unificata che risponde a tutte le esigenze.
SentinelOne ha pubblicato a fine 2023 i suoi trend completi per il 2024. Cecchi è tornato a focalizzarsi solo su alcuni aspetti di primaria importanza, come la predominanza della minaccia ransomware e il ritorno di fenomeni che erano molto calati come l’hacktivismo e attacchi state sponsored, legati ai conflitti bellici in corso.
A questo proposito Cecchi ha messo l’accento sulla recente acquisizione di Krebs Group, azienda fondata dal celebre Chris Krebs, dopo avere lasciato il ruolo di direttore dell’agenzia statunitense CISA. L’ingresso in famiglia delle competenze e delle tecnologie di Krebs sono convogliate nella neofondata PinnacleOne, che si occuperà di consulenza e analisi dei rischi strategici, nell’ottica di coadiuvare gli Stati per meglio interpretare e comprendere le minacce cyber a livello globale. Un compito complesso, che sposta il focus dallo specifico attacco a un contesto ampio in cui si delineano le dinamiche degli interessi nazionali per individuare motivazioni, tattiche e obiettivi dei gruppi state sponsored più attivi.
PinnacleOne è indipendente dal già esistente research team dei Sentinel labs, da tempo attivi a livello globale, con team locali dislocati in diversi Paesi, fra cui l’Italia. Questi esperti aiutano a fornire una threat intelligence efficace e “azionabile” ai fini della difesa pratica dagli attacchi mediante la piattaforma SentinelOne.
Ovviamente la parte del leone è spettata alle AI, in relazione alle quali Cecchi ha messo in guardia sulla “exploitation dei sistemi AI per rendere l’attacco meno visibile/farlo passare come attività lecita, aumentando i potenziali impatti degli attacchi”. I rischi di una mancata protezione sono altissimi. Cecchi ha portato l’esempio di un hacking del sistema di training della AI che gestisce la chat di un operatore di telefonia mobile. L’AI darebbe agli utenti risposte sbagliate e potenzialmente dannose: per esempio potrebbe fornire all’utente un file malevolo da scaricare, o un linka un sito canaglia.
L’argomento è di grande attualità e l’allarme è stato lanciato da molto esperti. Cecchi ha chiarito anche che cosa si può fare per arginare questo rischio: “la protezione contro l’exploitation dei sistemi AI nasce dalla protezione dell’ambiente all’interno del quale l’AI si trova e viene usata”. In altre parole, se l’AI risiede in cloud è necessario proteggere il cloud, e via discorrendo. Resta poi il punto fermo che è necessario usare l’AI per combattere gli attacchi evoluti di questo tipo. A tale riguardo SentinelOne ha già attiva da tempo la sua Purple AI, che è nata proprio per combattere l’AI degli attaccanti e rispondere in maniera automatizzata o comunque efficace e rapida.