La cybersecurity sta cambiano sulla spinta di threat actor sempre più sofisticati e delle nuove tecnologie: anche i CISO devono adeguarsi. Ne abbiamo parlato con Ross McKerchar, Chief Information Security Officer di Sophos.
Autore: Redazione SecurityOpenLab
“Il mio compito è proteggere la mia azienda, che a sua volta deve proteggere i nostri clienti: se non siamo sicuri noi, non possiamo garantire la sicurezza dei nostri clienti”: così Ross McKerchar, Chief Information Security Officer di Sophos, riassume il suo ruolo e quindi il suo particolare punto di vista, che gli permette di avere una “doppia visione” privilegiata di quanto sta accadendo nel mondo della cybersecurity. E una delle principali evoluzioni che McKerchar segnala è come i threat actor stanno facendo evolvere il modo in cui cercano di violare i loro bersagli.
“Per diversi anni – spiega McKerchar – queste dinamiche sono state guidate dal fenomeno del ransomware: social engineering e phishing sono stati i principali vettori di entrata nelle aziende. Sapevamo quindi che un threat actor avrebbe cercato di attaccare un endpoint con pochi privilegi, per poi sfruttare vulnerabilità dell’IT interna per muoversi nella rete, fino a trovare il punto giusto in cui scatenare un attacco ransomware”.
È un approccio che la cronaca della cybersecurity dimostra essere efficace ma che richiede anche tempo: settimane o anche mesi per penetrare e prendere posizione in una rete e poi attaccare. Oggi questo tempo può essere usato dagli attaccanti in una maniera diversa: “I threat actor – spiega il CISO – sono tornati a sfruttare le vulnerabilità dei dispositivi alla periferia della rete, cosa che ci riporta ai profili di attacco di 15 o anche 20 anni fa. La differenza è che oggi chi attacca dedica molto tempo a sviluppare i propri exploit per violare i device periferici, una cosa che gli Stati-nazione hanno fatto a lungo”.
Da qui l’emergere di una dinamica che da un lato era immaginabile, dall’altro non fa dormire sonni tranquilli a chi difende le reti: “quello che oggi è all’avanguardia per gli Stati-nazione, sarà la normalità per i criminali generici dopo 18-36 mesi”, avverte McKerchar. C’è quindi una sovrapposizione, anche se parziale, tra le strategie della semplice criminalità informatica e il modus operandi cyber degli Stati-nazione.
Il passaggio delle tecniche evolute di attacco “verso il basso”, dagli Stati-nazione alla criminalità, è immaginabile, ma McKerchar sottolinea anche i movimenti nella direzione opposta. Alcuni Stati-nazione stanno adottando tecniche di impostazione criminale, come usare un ransomware per cancellare le proprie tracce o per nascondere quale fosse il vero obiettivo di un attacco. Alcuni attacchi hanno anche mostrato come gli Stati-nazione possano effettivamente dare in “outsourcing” la loro attività APT alla criminalità cyber tradizionale.
Sta cambiando, e non certo in meglio, anche il modo in cui gli attacchi noti si stanno concretizzando. “I gruppi criminali hanno già preso ad usare i ransomware in modo sempre più spregiudicato – spiega McKerchar – ma ora anche gli Stati-nazione, dato il periodo di alta tensione geopolitica, hanno sempre più interesse a usare queste stesse tecniche per colpire le infrastrutture critiche. Ciò ha una notevole importanza per noi, perché abbiamo una forte presenza nel midmarket e questa è la fascia in cui si trovano i gestori di molti servizi che possiamo considerare critici”.
C’è un cambiamento importante che questa evoluzione sottende: il focus degli attacchi – e quindi della cybersecurity come forma di difesa – non è concentrato solo sui dati in sé ma sull’utilizzo dei dati, che per le imprese è la base dei propri servizi. “Per chi può essere bersaglio degli Stati-nazione, il pericolo principale – spiega McKerchar – non è che qualcuno sottragga i dati aziendali, ma che non si riesca ad accedervi e non si possa quindi essere operativi”. E se per molte imprese è già difficile avere a che fare con il cybercrime, figuriamoci cosa vuol dire avere a che fare con avversari “geopolitici”.
Impossibile parlare di cybersecurity senza coinvolgere l’AI e in particolare la GenAI. L’esperienza maturata da Sophos su queste tecnologie, utilizzate in vario modo da diversi anni nelle piattaforme del vendor, permette a McKerchar di mettere in evidenza un punto di vista non scontato sull’adozione delle nuove tecnologie nelle imprese. Fermo restando che l’AI e la GenAI possono fare molto nel campo di quella che possiamo chiamare “analyst augmentation”, il CISO sottolinea anche che oggi “danno alla comunità dei CISO e dei security leader l’opportunità di guidare lo studio e l’adozione delle nuove tecnologie”.
“Credo – spiega McKerchar – che chi fa sicurezza si sia trovato un po’ bypassato nei grandi cambiamenti generazionali precedenti, come il BYOD o l’adozione del cloud. Ne abbiamo visto i rischi, perché è il nostro mestiere, e di conseguenza abbiamo dedicato molto tempo a pensare alle ragioni per cui non fare quello che si poteva fare, e il business intanto, semplicemente, è andato avanti”.
Ora invece le cose possono andare diversamente, se i CISO scelgono un approccio diverso. Come spiega McKerchar, "Dobbiamo voler adottare le tecnologie ancora ad uno stadio preliminare, come la GenAI, per difendere le aziende. Ma non è solo per questo: se effettivamente usiamo una tecnologia quotidianamente, anche come Proof of Concept o in forma preliminare, saremo in una migliore posizione per capirne i rischi, i limiti, le possibilità. E quindi rivolgerci al resto dell’azienda e aiutarla a capire come adottare la tecnologia per i propri casi d’uso. I CISO, in sintesi, dovrebbero essere leader in una adozione sicura della GenAI nelle proprie aziende, non solo quelli che ne giudicano i rischi”.
Questo ruolo di “guida sicura” della GenAI è importante perché l’AI generativa ha già ampiamente fatto il suo ingresso nelle aziende. Non solo perché i business manager la vogliono, ma perché i singoli dipendenti spesso la stanno già usando in modo sin troppo libero, dando vita a una sorta di “shadow GenAI” che rappresenta un rischio per la sicurezza e la compliance dei dati aziendali. I CISO hanno già vissuto lo stesso problema con la shadow IT o con il passaggio incontrollato al SaaS, e le lezioni imparate da quelle esperienze oggi sono molto utili..
Anche qui, è una questione di cambiare ottica rispetto a quella tradizionale. "Se ci poniamo come coloro che possono aiutare l’adozione della GenAI – spiega McKerchar – è più probabile che scopriamo dove viene già usata… Se siamo visti come una barriera, un freno, la shadow AI non farà che esplodere. E importa poco se la tecnologia poi delude, richiede tempo o è meno efficace di quello che si pesa. Indipendentemente dalla sua efficacia, i rischi per la privacy e la condivisione dei dati esistono comunque”, conclude il CISO di Sophos.