La pandemia ha dimostrato che le soluzioni di sicurezza tradizionali non funzionano. Occorrono Intelligenza Artificiale, machine learning e un controllo degli accessi in stile Zero Trust.
Autore: Redazione SecurityOpenLab
La pandemia ha rivoluzionato il modo di lavorare, e con esso ha portato con sé importanti cambiamenti nello scenario della cyber security. Gli attacchi sono come sempre perpetrati mediante malware, ransomware e altre minacce note, ma vengono usati in modo differente per colpire di più e meglio gli obiettivi. Tutto è iniziato con il cambio di scenario durante il lockdown: il dissolvimento del perimetro aziendale, che era già in corso, è accelerato al punto che gran parte della forza lavoro si è trasferita dagli uffici alle abitazioni. Anziché colpire direttamente le aziende, i cyber criminali hanno bersagliato pesantemente i dipendenti, più vulnerabili perché suscettibili all'emergenza sanitaria e non protetti dalle claudicanti reti domestiche.
Gli attaccanti hanno anche approfittato dell'endemica mancanza di adeguate misure di sicurezza degli endpoint, e dell'improvvisata migrazione al cloud dettata dalla necessità di far lavorare i dipendenti fuori dalle aziende.
I cyber criminali hanno saputo sfruttare ogni debolezza delle persone e dei prodotti IT. Il vettore di infezione più diffuso è stato il phishing, sempre più sofisticato, che ha fatto perno sull’emergenza sanitaria e sull'ingegneria sociale per aggirare i filtri antispam. Loghi delle aziende pressoché perfetti, linguaggio fluido e grammaticalmente corretto, link a landing page credibili, hanno tratto in inganno centinaia di migliaia di utenti, che inconsapevolmente hanno messo a rischio le proprie aziende scaricando codice malevolo.
Gli attacchi ransomware, anche con doppio riscatto, si sono confermati un vero e proprio business in espansione.
La migrazione al cloud
Il lavoro da remoto ha spinto molte aziende ad affrettare la migrazione verso le risorse in cloud. Il fenomeno era in corso da anni, durante il lockdown c'è stata un'accelerazione. Ha portato molti vantaggi, ma anche problemi di sicurezza informatica.
Molti pensano erroneamente che il cloud sia sicuro per definizione. Un sondaggio IDC condotto su oltre 300 aziende rivela che l'80% ha subito una violazione dei dati in cloud negli ultimi 18 mesi. A compromettere la sicurezza dei dati in cloud sono per lo più gli errori di configurazione, seguiti dalla mancanza di consapevolezza che i provider cloud non sono responsabili per la sicurezza dei dati in cloud, che è derogata al cliente. Al terzo posto c'è la mancanza di visibilità e controllo, che impedisce di accertarsi che tutte le risorse siano adeguatamente protette.
Tutti questi problemi sono riconducibili a una mancanza di skill, a un controproducente accavallamento di prodotti di cyber security, e a una migrazione frettolosa.
New normal
La pandemia ha investito tutti i comparti dell'IT e ci ha portati a un punto da cui non si torna indietro. Anche nel più ottimistico degli scenari post pandemici, il modo di lavorare non tornerà quello di un tempo. Proteggere i computer singolarmente, invece che costruire un muro a difesa di tutti i sistemi aziendali, è la regola.
Il periodo che viviamo oggi è stato battezzato "new normal", come a dire che la normalità ha assunto un nuovo significato. Lavorare da casa è normalità. Non solo per il distanziamento. Perché quello che è accaduto ha insegnato che il lavoro decentrato ha anche dei vantaggi, se ben gestito. Molte aziende hanno riaperto gli uffici a mezzo servizio, difficilmente torneranno a pieno regime.
Le cose non sono cambiate solo per "i buoni". I cyber criminali hanno dimostrato una forte capacità di adattamento e un'elevata attitudine per il lavoro di squadra. Hanno fatto dell'ingegneria sociale un'arma letale, con cui raggirare anche i più esperti dei dipendenti. Nell'era new normal gli attacchi sono insidiosi perché sono silenti e sfuggono ai tradizionali controlli.
AI e machine learning
Nell'epoca new normal le soluzioni di sicurezza informatica vecchio stile sono inefficaci, occorrono Intelligenza Artificiale e machine learning. I sistemi di thread hunting collezionano ogni giorno migliaia di possibili minacce. È impensabile che il personale IT possa esaminarli tutti in tempi brevi. L'Intelligenza Artificiale consente ai sistemi di sicurezza di analizzare in maniera automatizzata i dati.
L'uso dell'apprendimento automatico permette poi di rilevare più rapidamente gli attacchi rispetto agli esseri umani, e di bloccarli prima che si verifichino danni maggiori. Inoltre, l'apprendimento automatico può analizzare le minacce e sfoltire quelle da monitorare.
Le stesse tecnologie sono di supporto anche nella gestione del phishing. A renderlo micidiale è il messaggio contenuto nel testo, che fa leva sull'anello debole della catena: l'essere umano. Sfrutta le sue paure e preoccupazioni: la pandemia, la perdita del lavoro, il programma di collaborazione che smetterà di funzionare. Gli argomenti cambiano a ondate, a seconda delle notizie di attualità che hanno più presa sul pubblico.
Intelligenza Artificiale e machine learning sono in grado di identificare tecniche di dirottamento dell'account, spoofing e attacchi mirati, prima che siano recapitati nella casella di posta. Ciascun produttore ha la propria soluzione. Di massima tutte studiano e apprendono progressivamente il comportamento "normale" degli utenti all’interno di un'azienda. Raccolgono dati sulle attività delle persone durante la navigazione, collezionano informazioni sui trend di attacco. E controllano il contenuto dei messaggi per stanare i falsi.
Gestione degli accessi
Un'esigenza emersa in maniera preponderante durante il lockdown è un cambio di paradigma nel controllo degli accessi. È legato alla migrazione al cloud e al dato di fatto che non ci si può più chiedere se si verificherà un attacco: la domanda è quando accadrà. Nessun prodotto di governance o di gestione può garantire una protezione al 100%. La buona notizia è che un'attenta pianificazione degli accessi può limitare i danni di un attacco.
È necessario definire ruoli, privilegi e responsabilità di tutti gli utenti, e autorizzare ciascun collaboratore ad accedere solo alle risorse di cui ha effettivamente bisogno. Per esempio, non ha senso che un impiegato amministrativo abbia accesso ai dati sensibili dei dipendenti.
Una gestione attenta delle politiche di accesso è funzionale a ridurre i danni in caso di attacchi che prendono di mira i dipendenti, perché qualora l'attacco andasse a buon fine, comprometterebbe solo l'area limitata in cui il dipendente ha facoltà di muoversi, non tutto il sistema.
È un approccio che richiama la filosofia Zero Trust, in italiano "fiducia zero": a ogni connessione vengono verificate l'identità dell'utente e l'affidabilità del suo hardware. Quindi si applica il principio del privilegio minimo: limitando la capacità di movimento dell'utente legittimo, si riducono di conseguenza i movimenti laterali che permettono ai cyber criminali di paralizzare l'intero sistema aziendale.
Da notare che Zero Trust non è un prodotto, è un approccio concettuale alla sicurezza informatica che si dissocia dalle logiche di politica statica e allinea una logica di rischio a un'analisi comportamentale. Non ha alcuna importanza dove si trova l'utente. Quello che è conta è se, accedendo a un determinato dato sensibile per l'azienda, la persona introduce un rischio.
Rischio che viene valutato mediante l'analisi comportamentale. Gli utenti sono abitudinari e seguono quasi sempre una routine. Nel momento in cui c'è una devianza rispetto al comportamento abituale, si verifica un innalzamento del rischio. Ogni possibile minaccia (consapevole o meno) comincia con una deviazione rispetto al comportamento abituale.
MSSP: la cyber security efficiente per le PMI
La mancanza di skill per l'implementazione e la gestione della cyber security nelle aziende è un problema endemico in un Paese, l'Italia, in cui la macchina produttiva è ripartita fra migliaia di PMI e pochissime grandi realtà. Solo queste ultime possono permettersi un SOC interno. Negli altri casi, alla meglio c'è un ufficio IT con una manciata di persone che deve gestire tutto, dalla configurazione degli endpoint all'implementazione e gestione delle infrastrutture di rete, passando per la cyber security.
Un tempo il capitolo sicurezza poteva essere liquidato con l'installazione di un firewall e di un antivirus. Oggi non è più così. Le PMI non sono al sicuro, anzi, gli attacchi le colpiscono più delle grandi imprese, perché sono obiettivi facili. Il 46% delle piccole imprese è stato oggetto di un attacco ransomware, di queste il 73% ha pagato un riscatto per tornare in possesso dei dati (dati Infrascale). Gli attacchi sono favoriti da errori di configurazione, dalla mancanza di strumenti adeguati di threat intelligence, dall'assenza di un monitoraggio 24/7 (spesso gli attacchi si verificano nel fine settimana e dopo le 18). Assumere una persona che si occupi solo di sicurezza informatica non risolve il problema.
È qui che si inseriscono gli MSSP (Managed Security Service Provider), che stanno crescendo in maniera vertiginosa. Permettono alle aziende di tutte le dimensioni di mettere in sicurezza qualsiasi asset in tempi brevissimi, e di gestirne ogni aspetto della cyber security. Il servizio comprende anche i software per la sicurezza, che quindi non devono essere acquistati.
All'interno degli MSSP operano professionisti che gestiscono da remoto tutte le attività, riducendo la complessità della gestione degli asset sia interni che esterni, eliminando le esigenze operative, infrastrutturali e applicative.
Durante il lockdown gli MSSP sono stati cruciali per "coprire i buchi" di sicurezza creatisi con lo smart working forzato. Oltre tutto, la disponibilità di strumenti di altissimo livello che vengono noleggiati as-a-service permette alle piccole aziende di beneficiare di strumenti di soluzioni per la threat intelligence di alto valore, di piattaforme di gestione proprie dei SOC meglio equipaggiati e di un'expertise che difficilmente è alla portata delle piccole realtà.
Vuoi rimanere sempre informato sulle notizie di SecurityOpenLab.it?