Autore: Redazione SecurityOpenLab
L'anno scorso è stato un anno difficile in tutti i settori, con un'inflazione in continua crescita e accese tensioni politiche. Il settore tecnologico, in particolare, si sta ancora riprendendo dal crollo post-pandemia e la maggior parte delle aziende si sta concentrando sulla ricerca di una maggiore efficienza per snellire i processi e ridurre i costi. Le aziende si sforzano di trasformare le proprie attività per massimizzare i guadagni derivanti dall'automazione e dalla digitalizzazione, al fine di rimanere competitive.
Nel 2024 continuerà questa tendenza o dobbiamo aspettarci delle sorprese? Ecco le 10 principali previsioni di Zscaler, fornitore della piattaforma cloud native Zero Trust Exchange che protegge utenti, workload, IoT/OT e connettività B2B.
I clienti iniziano a chiedersi come proteggere al meglio i propri dati quando lavorano con fornitori terzi. Si teme sempre di più che, avendo accesso ai dati di un’azienda, i fornitori di servizi cloud, e altre tipologie di fornitori, possano diventare un bersaglio da parte di criminali informatici per acquisire i dati di un'azienda utilizzando soluzioni di intelligenza artificiale e machine learning. Inoltre, è anche necessario affrontare il tema dal punto di vista legislativo, dato che il GDPR mette attualmente a rischio i modelli di IA. Nel 2024, Zscaler prevede che le aziende rivedano i loro regolamenti sulla privacy dei dati e si sforzino di applicare strumenti di prevenzione della perdita di dati (DLP) più personalizzati per proteggere i loro set di dati e garantire che la privacy sia una priorità per la cybersecurity.
La diffusione dell’IA generativa, come ChatGPT, ha costretto le aziende a rendersi conto che se i loro dati sono disponibili su Internet, possono essere utilizzati dall'IA generativa e quindi dai concorrenti, indipendentemente dal fatto che si tratti di una proprietà intellettuale personale o meno. Pertanto, se le aziende vogliono evitare che la loro proprietà intellettuale venga utilizzata dagli strumenti di IA, dovranno assicurarsi che la loro superficie di attacco sia nascosta a livello di dati piuttosto che solo a livello di applicazione. Sulla base di questa tendenza, prevediamo di assistere a iniziative volte a classificare i dati in categorie di rischio e a implementare di conseguenza misure di sicurezza per prevenire la perdita di proprietà intellettuale.
Nel 2024, ci aspettiamo di vedere un numero maggiore di attacchi gestiti dall'intelligenza artificiale che utilizzano le fake news per diffondere disinformazione. Il mondo dei media – carta stampata, film, streaming, ecc. - è altamente regolamentato, mentre sappiamo che per internet non vale lo stesso. Questo permette ai criminali informatici di sfruttare la crescente influenza di celebrità e star di YouTube per creare versioni generate dall'intelligenza artificiale di queste star e diffondere notizie false che sembrano veritiere al punto da non dover mai essere verificate. In assenza di una legislazione governativa che possa porre un freno a queste tattiche, i criminali informatici saranno in grado di modificare i comportamenti tramite il social engineering in diverse fasce della società.
Zscaler prevede che la prossima evoluzione relativa all’approccio Zero Trust – ormai maturo e diffuso nelle aziende - sarà il “Negative Trust”, inteso come metodologia di inganno. Prevediamo che gli attacchi sfrutteranno meno il malware, in quanto i criminali informatici sfrutteranno gli strumenti IT per evitare di essere rilevati. Se un criminale informatico ha ottenuto l'accesso a un ambiente Zero Trust (ad esempio, utilizzando un'identità rubata), le aziende devono comunque evitare i danni e possono farlo ingannando l'intruso. Per raggiungere questo obiettivo devono mettere l'avversario in un ambiente in cui non possa essere sicuro di ciò che è reale o meno (ad esempio, simulando che lo spazio ospiti migliaia di applicazioni, mentre in realtà ci sono solo poche applicazioni).
Zscaler prevede che la tendenza ad attaccare gli enti pubblici continuerà ad aumentare nel 2024, con un maggior numero di attacchi sponsorizzati dagli Stati contro le infrastrutture nazionali per sfruttare le informazioni in Europa, in quanto si tratta di un settore verticale che non ha ancora pienamente recepito le moderne infrastrutture di sicurezza, come i modelli Zero Trust. Mentre gli Stati Uniti sono già in vigore leggi in tal senso, l'Europa è in ritardo e deve investire non solo nella digitalizzazione del settore pubblico, ma anche nell'adozione di infrastrutture di sicurezza adeguate.
Il 2024 sarà l’anno della "guerra dei requisiti" in ambito Zero Trust, laddove le aziende cercheranno di scegliere la tipologia di soluzioni Zero Trust che ritengono più vantaggiose per il futuro. La concorrenza sul mercato porterà a un'evoluzione più rapida e si tradurrà in una maggiore scelta e varietà per i clienti che dovranno imparare a distinguere tra soluzioni specifiche e offerte di piattaforme altamente integrate basate su cloud che richiedono ulteriori sforzi di consolidamento.
Le aziende stanno cominciando a vedere i vantaggi dei principi dello Zero Trust per l’implementazione cloud-native delle nuove applicazioni, oltre alla riduzione della complessità e dei costi di sviluppo. Adottare un approccio “green field”, senza doversi preoccupare di cosa fare con il sistema esistente, supporterà l’automazione per implementare nuovi servizi e le aziende impareranno ad adattare il concetto di sicurezza, passando da utenti che accedono ai workload a comunicazioni tra i workload stessi. Le aziende hanno compreso l’importanza della sfida e si affideranno a concetti di agilità e a principi DevSecOps, per una trasformazione del cloud più rapida ed efficiente.
I costi operativi delle aziende stanno crescendo e la spesa per il mantenimento delle infrastrutture è un peso per molte di loro a causa dell’inflazione, che continua a essere un problema. Zscaler si aspetta di assistere a un cambio di mentalità nei confronti di un approccio privo di infrastrutture, in cui le aziende gestiscono i propri servizi unicamente nel cloud. In questo modo le aziende riescono a ridurre i costi di dispositivi e hardware, potendo gestire le attività semplicemente tramite un browser. Tutto questo sarà sostenuto da un modello “connection-as-a-service”, dove le aziende potranno avvalersi di servizi di connettività specifici a pagamento, che favoriranno mobilità e agilità, senza gli ostacoli di un’infrastruttura che richiede continui sviluppi per essere competitiva. Prerequisito di tale modello, la garanzia di livelli di servizio di connettività internet.
Negli ultimi due o tre anni si è parlato di 5G utilizzando un termine un po’ fuorviante e con gran clamore in termini di marketing, invece di generare il cambiamento trasformativo promesso. Tuttavia, si comincia a vedere a livello globale un aumento delle implementazioni reali di 5G, che sfruttano i requisiti di bassa latenza e di alta affidabilità all’edge. Siamo ancora in attesa del caso d’uso decisivo per quanto concerne le aziende che investono in soluzioni 5G e abbandonano quelle 4G ma, così come l’intelligenza artificiale ha raggiunto il vero successo nel 2023, riteniamo che il 5G comincerà ad affermarsi nel 2024, poiché i fornitori di servizi di telecomunicazione desiderano raccogliere i frutti degli ingenti investimenti effettuati in infrastrutture.
Uno dei grandi problemi riscontrati in tutti i settori consiste nel fatto che le aziende tipicamente fanno previsioni su tre-cinque anni, mentre in realtà dovrebbero farle di almeno dieci anni per ottenere vantaggi competitivi dalle iniziative di trasformazione. Le aziende che si affidano a tecnologie in grado di rendere le infrastrutture IT e di sicurezza a prova di futuro per almeno un decennio, sono destinate ad avere successo più a lungo e a implementare cambiamenti realmente rivoluzionari, ottenendo traguardi in grado di supportare poi obiettivi più ampi, per una vera trasformazione aziendale.