Autore: Redazione SecurityOpenLab
Qualsiasi sia il frangente che si va ad analizzare, si trovano indicazioni piuttosto chiare al peggioramento e una macro tendenza universale: la declinazione sempre più digitale delle nostre vite ha portato, sta portando e porterà a un incremento generalizzato di attacchi contro i dati, che avranno impatti fisici oltre che virtuali su persone, aziende e istituzioni.
A questo giro proponiamo le previsioni di Netskope, che si distinguono per due livelli distinti di analisi: le "Previsioni visionarie", che si ritiene possano potenzialmente accadere nel prossimo anno, e gli "Argomenti di tendenza", che riguardano argomenti che sono stati già discussi quest'anno ma che potrebbero evolvere con l’anno nuovo. Le tendenze includono il passaggio verso un modello as-a-service, una maggiore presenza della security nei consigli di amministrazione delle aziende e un livello prioritario elevato per il burnout e la salute mentale degli esperti di sicurezza.
La parte dei contenuti visionari comprende invece osservazioni relative al computer quantistico, al metaverso e all’analisi omnidirezionale dei rischi per la visibilità della supply chain. Dato che quest’ultima parte è quella che incuriosisce maggiormente, iniziamo proprio da qui.
Neil Thacker, CISO, EMEA di Netskope, sottolinea che nel 2023 le aziende inizieranno a prepararsi per un mondo quantistico. Nel corso del 2022 sono state rese disponibili le linee guida e gli standard per gli algoritmi resistenti ai computer quantistici: questo significa che le organizzazioni devono iniziare a pensare a nuove sfide come quelle della crittografia post-quantistica. Sebbene sia ancora uno scenario lontano, i gruppi di regolamentazione come NIST ed ENISA stanno sollecitando le organizzazioni ad occuparsene ora nei loro programmi per assicurarsi che siano preparate in futuro.
Se l’opzione quantistica sembra ancora lontana, le minacce alla supply chain sono invece un rischio concreto e vicino. Tanto vicino che ci sono già state svariate dimostrazioni di quello che un attacco del genere può comportante. Nate Smolenski, CISO, Head of Cyber Intelligence Strategy di Netskope, condivide l’opinione della maggior parte degli esperti: la gestione del rischio è l’approccio da adottare per difendersi da questi incidenti.
È necessario inventariare tutti gli asset o servizi esposti pubblicamente, usarli per definire la superficie di attacco, tratteggiare un quadro del rischio, e da lì evidenziare i modelli di cyber hygiene da adottare. Modelli che non possono più riguardare la singola azienda, ma tutta la sua catena di fornitura, con contratti chiari sui requisiti minimi da soddisfare per potervi fare parte. Questo perché l’approccio opportunistico dei criminali informatici è sempre alla base delle loro mosse: prendono di mira l’anello più debole della catena per risalire al vero target, non viceversa.
David Fairman, CSO APAC di Netskope, punta invece sull’argomento del confidential computing - la protezione di dati e applicazioni sensibili che vengono eseguiti in ambienti sicuri per impedire l'accesso non autorizzato. Si tratta di una tecnologia ancora agli albori, ma secondo l’esperto guadagnerà un impulso significativo man mano che le organizzazioni rivaluteranno la loro tecnologia e il loro stack di sicurezza. Tanto che diventerà un obiettivo chiave di investimento nella maggior parte dei budget per la sicurezza/tecnologia nel 2023 o nel 2024.
Ci riporta con i piedi ben piantati in terra Jenko Hwong, Principal Engineer, Netskope Threat Labs, che fa riferimento agli attacchi alle credenziali che abusano di OAuth. L’abuso di queste app è già documentato, la previsione riguarda il fatto che i criminali informatici andranno oltre i semplici attacchi di phishing, considerati i benefici ottenuti da questi attacchi. Nel 2023 si potrebbe assistere ad attacchi brute-force contro OAuth, furti di token e attacchi SSO.
Ecco perché le organizzazioni dovrebbero iniziare fin da subito ad essere più proattive e consapevoli del rischio rappresentato dal sorprendente numero di app cloud di terze parti nei loro ambienti, che hanno percorsi di accesso impliciti ai dati sensibili come risultato dell'accesso dinamico concesso agli utenti finali tramite OAuth. Probabilmente vedremo i vendor iniziare a rispondere con il rilevamento di base e i controlli preventivi, ma continueranno a rimanere indietro rispetto alle tecniche degli attaccanti.
Chiude le previsioni visionarie l’inevitabile "metaverso industriale". Secondo Ilona Simpson, Chief Information Officer, EMEA di Netskope, l’atteggiamento collettivo nei confronti del metaverso industriale inizierà a cambiare nel 2023. Invece di essere visto come qualcosa di esoterico, vedremo un riconoscimento più ampio del fatto che i suoi componenti chiave sono reali e pertinenti, portando con sé nuove sfide di sicurezza informatica. E con questo nuovo atteggiamento nei confronti del metaverso industriale ne deriva l'opportunità di guidare un profondo cambiamento tecnologico, come iniziativa per un cambiamento di business.
La prima, inevitabile, prepotentemente affermatasi negli ultimi due anni, è il passaggio verso un modello "as-a-service". La novità è che nel 2023 più aziende metteranno in atto una razionalizzazione interna di applicazioni e processi con la finalità di creare nuovi modelli operativi. Gran parte di questo focus sarà incentrato sul valutare modelli di “buying the outcome” (comprare il risultato) rispetto ai modelli tradizionali, portando più aziende che sono state lente ad evolversi ad abbracciare il modello operativo cloud. Invece di considerare un altro aggiornamento tecnologico, cercheranno nuovi modi per spostare l'infrastruttura e i servizi verso un modello "as-a-service", spostandoli ulteriormente da Capex verso un modello di consumo Opex. Ciò consentirà alle aziende di conservare più liquidità possibile che servirà in caso di potenziali recessioni di business.
Seconda tendenza è legata ai social media: gli attaccanti approfitteranno del momento di incertezza che stanno attraversando i social media (vedi Twitter con le vicende seguite all’acquisto di Elon Musk, per esempio) colpendo con phishing e truffe. La previsione è più che credibile, se si considera che gli attaccanti sono sempre lesti nello sfruttare le notizie e i segni di debolezza di potenziali vittime per mettere le mani sui dati - di cui i social media sono particolarmente ricchi.
Altro grande tema, su cui nel 2022 si è insistito e investito molto, è la consapevolezza di cybersecurity da parte dei consigli di amministrazione. Quasi tutti gli esperti di security hanno sottolineato a più riprese la questione, che si può sintetizzare al massimo in una frase: finché i membri dei board avranno scarse conoscenze di cybersecurity non accoglieranno le richieste di budget dei security manager, esponendo le proprie aziende a gravissimi rischi.
Come spesso accade, lo spartiacque non è l’opera pubblica di convincimento, ma una normativa: la Securities and Exchange Commission statunitense obbliga alla segnalazione e alla divulgazione degli incidenti di sicurezza informatica. Anche la normativa europea ora lo prevede. Significa esporsi maggiormente al danno d’immagine, che è più facile da comprendere per il board rispetto alla dinamica di un movimento laterale. Probabilmente, quindi, salirà il numero di aziende interessate a invitare gli esperti di sicurezza per presenziare nelle proprie riunioni. Si spera che verranno anche ascoltati.
Anche l’ultima previsione di tendenza è ben nota: la salute mentale degli esperti di security. Investiti della responsabilità di bloccare attacchi di ultima generazione con strumenti datati e inadeguati. Incaricati di sorvegliare una superficie d’attacco sempre più ampia e frammentata, di cui hanno una visibilità scarsa. Alle prese con decine di console di controllo che “parlano” linguaggi differenti e che non comunicano fra loro – ma che coralmente li sommergono di allarmi da indagare.
Gli esperti sono difficili da trovare, e quei pochi che ci sono a volte gettano la spugna, spesso cambiano azienda, per tutelare la propria serenità. Per questo la salute mentale della forza lavoro dovrà diventare una priorità assoluta per tutte le aziende in futuro, altrimenti il rischio di fallimenti aziendali a cascata sarà notevole.