Negli ultimi anni le minacce cyber si sono evolute rapidamente, mettendo sempre più in rilievo la necessità di un approccio proattivo alla cybersecurity. Una analisi condotta da Vectra AI che si rifà alle indicazioni della statunitense CISA (Cybersecurity and Infrastructure Security Agency) evidenza che i metodi tradizionali di difesa non sono più sufficienti per proteggere le infrastrutture critiche e i dati aziendali.

Più nel dettaglio, la CISA sottolinea l'importanza di adottare modelli di test che replichino di volta in volta gli attacchi reali a cui le aziende devono fare fronte, invece di restare ancorati ai classici test di vulnerabilità o ai pentest annuali, che hanno validità e contesto limitati nel tempo.

L’allarme della CISA non è nuovo e non è inedito: è da tempo ormai che gli esperti hanno compreso la necessità di un adeguamento delle politiche di assessment per tenere il passo dell’evoluzione delle Tattiche e Tecniche da parte dei threat actor. Per dare un esempio, già in occasione della presentazione del rapporto Clusit 2022, Andrea Zapparoli Manzoni del direttivo Clusit sottolineò lo “scollamento totale fra la capacità degli attaccanti e le capacità difensive delle vittime […] Chi ha fatto l’analisi del rischio un anno fa misura i suoi rischi in base a una valutazione non aderente alla situazione”. In altri termini, il cybercrime ha una versatilità che gli permette di cambiare modalità di attacco da una settimana all’altra, le aziende devono saper fare altrettanto. Dal 2022 ad oggi la situazione è ulteriormente evoluta, tanto che Zapparoli Manzoni indicava la necessità di un assessment quantomeno semestrale. CISA oggi indica test continui o comunque a cadenza temporale molto ravvicinata.

Al di là dell’elemento tempo, c’è un altro fattore su cui CISA accende i riflettori, ossia la natura del test: quelli tradizionali tendono a verificare soltanto la presenza di vulnerabilità tecniche su sistemi specifici. Quello che occorre in questo momento è invece l’attuazione di test offensivi continui progettati per simulare attacchi reali. Che cosa significa? Banalmente (si fa per dire), significa che oggi gli attaccanti fanno ampio uso di strumenti legittimi, quindi un test verosimile dev’essere strutturato per esaminare in tempo reale o quasi le interazioni tra le persone, tra i processi e fra i dispositivi all'interno di un'organizzazione, per ottenere la visibilità più ampia e dettagliata possibile delle debolezze sfruttabili dagli attaccanti, include quelle non rilevabili dai controlli tradizionali.

È un modo di procedere che considera anche le falle classiche legate a configurazioni errate, credenziali compromesse o processi inadeguati, ma a cui non sfuggono movimenti laterali, attacchi alla supply chain, escalation dei privilegi, esfiltrazione di dati e tutte quelle tecniche subdole che oggi agevolano i threat actor. Gli esperti del vendor di cybersecurity reputano che questa strategia sia inoltre in grado di aumentare la resilienza complessiva dell'infrastruttura digitale, oltre che agevolare la collaborazione tra team di sicurezza e management aziendale.

Un approccio che, al di là della nazionalità dell’ente che ha sollevato il tema, dovrebbe essere preso in considerazione anche in Italia, dove gli attacchi sono all’ordine del giorno e la resilienza informatica pare essere troppo spesso un obiettivo raggiungibile solo nel lungo periodo.