Di fronte agli attacchi informatici le organizzazioni hanno innegabilmente fatto progressi, ma devono affrontare le sfide legate alla natura ambivalente di alcuni elementi del sistema informativo.
L’aumento degli attacchi cyber ha obbligato le organizzazioni pubbliche e private a integrare il rischio informatico nei propri piani strategici. Questo ha aumentato la consapevolezza del rischio e la cultura informatica, ma non basta per far comprendere appieno la posta in gioco. Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI, propone una riflessione che riguarda il concetto stesso di vulnerabilità e che fa comprendere la rilevanza di una difesa efficace.
All’interno delle organizzazioni, la prevenzione ha fatto passi avanti, con la diffusione della nozione di “igiene minima preventiva” che permette di ridurre i rischi. I suoi vari aspetti sono ben noti, ma è senza dubbio opportuno ricordarne i principali: formare i team operativi sulla sicurezza del sistema informativo, sensibilizzare gli utenti sulle best practice di base, conoscere il proprio sistema informativo e i server più sensibili in modo da mantenere un diagramma di rete, creare e aggiornare un inventario esaustivo degli account privilegiati, organizzare le procedure di arrivo, uscita e cambio di funzione, autenticare tutti e distinguere il ruolo di amministratore da quello di utente, definire e verificare le regole per la scelta e il dimensionamento delle password. Queste sono alcune delle raccomandazioni classiche, su cui le organizzazioni stanno lavorando e facendo progressi. Nel farlo, si stanno rendendo conto di altre insidie.
Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI
Seguire le best practice non impedisce che un attacco si verifichi, e dato che non si può sapere quando accadrà, bisogna imparare a combatterlo dal momento in cui avviene la violazione. Questo nuovo approccio sta progredendo tanto più rapidamente quanto più gli ambienti si spostano sul cloud, in un contesto di decentramento delle attività accentuato dal lavoro da remoto. In effetti, l’area da monitorare sta diventando sempre più ampia: il territorio che l’azienda è chiamata a proteggere è sproporzionatamente grande, con ramificazioni all’interno del cloud, ma anche nell’ufficio personale di ciascun dipendente.
Sulla definizione di vulnerabilità le aziende private e le organizzazioni pubbliche devono ancora maturare. Nelle professioni informatiche ci siamo abituati a definire le vulnerabilità come punti deboli. Pensiamo che questa debolezza permetta a un attaccante di sferrare un colpo, più o meno forte, e che debba essere riparata per essere protetta. Tuttavia, attualmente vediamo sempre più prove del fatto che i nostri sistemi informatici sono ontologicamente vulnerabili: sono alcune parti della loro struttura a renderli fallibili. È il caso, ad esempio, di Active Directory (AD), che utilizza nel suo funzionamento elementi che sappiamo per esperienza essere vulnerabili. Questi elementi sono necessari per il corretto funzionamento del sistema, ma allo stesso tempo comportano una debolezza che pone l’organizzazione sotto la minaccia permanente di un attacco informatico.
Questi sviluppi depongono a favore dell’approccio che punta all’identificazione di qualsiasi attacco informatico una volta che questo è iniziato. Di fronte a un comportamento sospetto, esistono strumenti e soluzioni in grado di rilevare ogni possibile movimento dannoso nel momento stesso in cui si manifesta all’interno del sistema. Queste stesse soluzioni sono attualmente le uniche in grado di affrontare efficacemente le sfide che stiamo affrontando, proprio perché aiutano a osservare e isolare i criminali informatici.