Autore: Redazione SecurityOpenLab
L’anno che si sta concludendo è stato complesso e inaspettato. Dopo un biennio segnato dalla pandemia, la prospettiva di un ritorno alla normalità è stata infatti infranta dall’arrivo del conflitto russo-ucraino, portando anche un nuovo fronte di battaglia: la guerra cybernetica, con l'uso di wipers per colpire obiettivi all'interno e all'esterno del campo di battaglia fisico. Dal nostro osservatorio rileviamo che anche il 2023 manterrà questa tendenza e i cybercriminali continueranno a colpire le imprese con attacchi mirati che sfrutteranno le identità per gli accessi e i workload in cloud per gli asset, l’escalation dei privilegi e i cosiddetti lateral movement.
Purtroppo, in ambito cybersecurity gli episodi di ransomware proseguiranno e continueranno a essere uno dei principali vettori di attacco per le imprese, promossi anche dagli Stati Nazione. Inoltre, gli hacker, che sono diventati sufficientemente collaborativi e il software e le tecniche di attacco dannose disponibili saranno tali da portarci a un punto in cui gli aggressori potranno diventare agnostici in termini di piattaforma e tecnologia. Gli aggressori sanno bene che, dove esiste un punto debole, ci sarà un altrettanto percorso da sfruttare. Gli attacchi a cui abbiamo assistito negli ultimi mesi sono stati più significativi di quelli accaduti negli anni passati e questo purtroppo non è un trend del momento. Un numero sempre maggiore di aziende e infrastrutture critiche sarà colpito e l'economia della criminalità informatica continuerà a prosperare.
Eppure, anche se il 2023 riserverà senza dubbio sorprese che nessuno è in grado di prevedere, c'è da aspettarsi che le organizzazioni che si proteggeranno e implementeranno una migliore strategia di controllo in cloud, delle identità e degli endpoint, saranno molto più al sicuro. Il futuro è imprevedibile per tutti, ma nella cybersecurity non è possibile affidarsi ciecamente alla fortuna.
Una grande lezione appresa nel 2022 è che nessuno è immune ai cyber attacchi, come dimostrano gli episodi che hanno visto protagonisti Okta, Nvidia, Samsung, Ubisoft, T-Mobile, Microsoft e Uber. Per rispondere ai continui attacchi di ransomware le imprese dovranno considerare soluzioni e piattaforme evolute di cybersecurity, capaci di rilevare e rispondere con tempestività alle aggressioni cyber. Servirà inoltre proseguire con la formazione delle persone interne, per definire processi corretti e soprattutto educare i collaboratori ad adottare comportamenti responsabili per l’accesso ai dati, sia quando operano in azienda sia quando si collegano da remoto.
Nel 2023 si dovrà accettare che le sessioni di breve durata e i privilegi degli account fortemente ridimensionati non sono semplici paranoie, ma per le imprese dovranno diventare la base dello standard ottimale per la sicurezza aziendale. Servirà poi una nuova cultura per l’adozione dei prodotti di cybersecurity da parte dei team di sicurezza i quali non potranno più accontentarsi di acquistare più prodotti dallo stesso vendor o da molteplici vendor, così come non potranno prevedere tutti i loro dati all’interno di un unico data-lake. I responsabili della sicurezza delle imprese avranno bisogno di workflow olistici, di agenti unificati e di una completa sinergia tra i prodotti che assicurino un valore superiore alla somma delle sue parti.
A nostro avviso i SOC inizieranno a cercare soluzioni alternative per l'analisi e l'archiviazione dei dati che abbiano più senso in termini di costi, scalabilità, prestazioni e facilità d'uso. Cercheranno miglioramenti su tutta la linea, da "come ottenere i dati" a "come accedere ai dati storici", da "quanto saranno frammentati i dati" e infine a "quanto può costare". L'autenticazione a più fattori (MFA) ha dimostrato che la sola implementazione di strumenti MFA non è sufficiente per assicurare una buona protezione dagli attacchi alle identità, mentre l’approccio Zero Trust verrà sempre più implementato.
Come SentinelOne, leader e fornitore di una piattaforma di cybersecurity con capacità di autonomous response, riteniamo che alle imprese serviranno strumenti moderni e innovativi di gestione delle identità che potranno lavorare in linea con solide piattaforme di cybersecurity come l'Extended Detection and Response (XDR) per proteggere le identità digitali e i sistemi che le gestiscono. Una combinazione di entrambi riduce la superficie di attacco complessiva delle identità, in quanto limita l'esposizione dell'azienda agli attacchi, monitorando costantemente i segnali di vettori comuni e nuovi basati sull'identità.