L’avvento dell’intelligenza artificiale generativa ha introdotto l’ennesima variabile nel complesso e mutevole panorama delle minacce informatiche e la cybersicurezza resta un allarme costante per il CIO. Secondo il “Forecast: information security and risk management worldwide, 2021-2027” di Gartner [in inglese], il mercato dell’information security e gestione del rischio crescerà da un giro d’affari di 185 miliardi di dollari nel 2023 a 287 miliardi nel 2027, pari a un tasso di crescita annuale composito dell’11% a valuta costante. Ciò significa che le imprese investiranno sempre di più per difendersi dai cyber-attacchi e dai furti di dati che, nel 2027, saranno per il 17% messi a segno usando la GenAI.
Ma prepararsi e reagire alle minacce informatiche non significa solo comprare prodotti e soluzioni di cybersicurezza. Significa anche formare le persone insegnando loro a riconoscere ed evitare i rischi. Altrettanto indispensabile è predisporre dei piani accurati di reazione a un evento cyber. Perché una cosa è certa: il cyberattacco non è questione di se, ma di quando.
Le minacce evolvono, ma ora c’è l’AI
“Già l’IT è un mercato molto dinamico: continuamente emergono nuove tecnologie. Ma la cybersecurity lo è ancora di più: ogni giorno appaiono nuove minacce e si adottano nuove contromisure. C’è anche molta AI coinvolta, sia nei software dei cybercriminali che in quelli per la protezione dei sistemi IT”, afferma Marco Senigagliesi, CIO di L.M. dei f.lli Monticelli (azienda marchigiana del manufacturing attiva nel settore degli accessori per serramenti).
Questo panorama complesso rende difficile per un’impresa media o piccola gestire la cybersicurezza internamente: per questo L.M. dei f.lli Monticelli si è rivolta, già più di dieci anni fa, a un servizio SOC. Ma gestire la sicurezza è imperativo, prosegue Senigagliesi: “In alcune piccole imprese permane l’idea che essere una piccola azienda mette al riparo dagli attacchi. Non è così: i cybercriminali studiano le loro vittime e sanno molto bene qual è la dimensione del loro fatturato, così chiedono riscatti proporzionati”. Senigagliesi fa riferimento agli attacchi ransomware, tra i più diffusi e temibili.
“Gli attacchi con richiesta di riscatto possono avere un impatto anche grave e sono difficili da gestire per le aziende”, conferma Edoardo Venini, giurista informatico, esperto in privacy e protezione dei dati, CTO e consulente su privacy e cybersicurezza per lo Studio legale Bassi del Moro. “Alcune sono propense a pagare, anche se questo pesa sul bilancio, e il pagamento dei riscatti alimenta il mercato criminale. Inoltre, spesso le aziende colpite cedono al panico, perché non hanno organizzato una strategia di risposta, con una chiara definizione dei ruoli e delle responsabilità in caso di attacco”.
Anche per Luca Papinutti, IT & Security Coordinator di BizAway, “In generale il ransomware è oggi la minaccia più temibile, sia perché le aziende devono pagare per riavere i dati (senza garanzia di riaverli davvero), sia perché questo attacco può unirsi all’esfiltrazione dei dati e, anche se questi ultimi vengono restituiti, potrebbero comunque finire esposti e in vendita sul dark web. Ma oggi c’è un’altra minaccia emergente e particolarmente preoccupante: quella dei deep fake creati con l’intelligenza artificiale e usati per mettere a segno delle frodi”.
Papinutti fa riferimento ai casi di dipendenti che hanno ricevuto delle videochiamate fasulle dal loro amministratore delegato che induceva ad azioni come il pagamento di somme.
“È molto difficile accorgersi che si è in presenza di un fake: bisogna essere scaltri nel riconoscere l’indirizzo o il numero sospetto della chiamata e fare una controprova ricontattando chi ci chiama e chiedendo conferma della richiesta ricevuta”, afferma il manager.
Ovviamente non c’è solo l’AI: come i CIO sanno bene, il panorama delle minacce è ampio. Per esempio, ci sono i software malevoli usati da attori nazionali per compromettere i sistemi delle imprese al fine di estorcere denaro o rubare proprietà intellettuale: infatti, riferisce Papinutti, BizAway ha scelto di bloccare il traffico da e per alcuni Paesi. Oppure c’è la minaccia cosiddetta dei “ladri di sessione”: qui i cybercriminali si insinuano quando dobbiamo ripetere l’accesso a una sessione su una piattaforma online o a un servizio web: mentre ci accreditiamo, il software dell’hacker crea una sorta di carta carbone che copia le credenziali e il codice monouso della verifica in due passaggi e le ruba. “In questo caso occorrono delle tecnologie di web filtering molto potenti per difendersi, perché accorgersi del furto di credenziali in corso è davvero impossibile”, sottolinea Papinutti.
Ransomware e non solo: 3 esempi di attacchi
Nella sua esperienza di consulente, Venini si è imbattuto per lo più in aziende colpite da attacco ransomware, ma anche quelli alle caselle di posta elettronica sono diffusi. Lo dimostrano le esperienze di alcune aziende che abbiamo intervistato e che hanno condiviso alcuni elementi degli incidenti subiti.
Una, per esempio, ha subito un attacco proprio tramite un malware arrivato dalla posta elettronica compromessa di un fornitore. I cybercriminali sono così riusciti a penetrare nei sistemi IT dell’azienda e a sottrarre alcuni dati, anche se la minaccia è stata individuata perché il firewall ha evidenziato un traffico anomalo di dati verso l’esterno, e i dati non sono stati cifrati e bloccati. Tuttavia, la richiesta di riscatto è arrivata con la minaccia di diffondere i dati prelevati se non fosse stato effettuato il pagamento.
Una diversa azienda ci ha riferito di aver subito un attacco di phishing sempre attraverso la posta elettronica. Un dirigente, che aveva accesso a diversi dati strategici, è rimasto ingannato da una falsa email di un fornitore della supply chain. L’attacco andato a buon fine ha compromesso le credenziali dell’utente e in questo modo la sua e-mail è stata utilizzata per inviare messaggi malevoli ad altri account aziendali facendoli cadere con un effetto domino.
In un ulteriore caso, un’impresa italiana ha subito un classico attacco ransomware con cifratura dei dati a causa di un mancato aggiornamento dei sistemi esposti su internet. Il mancato patching (aggiornamento) ha permesso agli hacker di sfruttare delle vulnerabilità note dei software per attaccare.
“Ho visto tante aziende colpite con successo e questo ha aiutato anche noi ad alzare le difese e ad essere sempre più consapevoli”, afferma Senigagliesi. “Rendere noti gli attacchi oggi non è solo richiesto dalla legge: è utile come monito per tutti, spinge a investire. Il problema è che, se si è attaccati, la produzione e la vendita si fermano e si perdono ricavi. In più c’è il tema del furto e della divulgazione di dati sensibili e di proprietà intellettuale. Sono rischi che non vogliamo correre. Ricorriamo a un servizio SOC esterno perché, come impresa medio-piccola, non possiamo permetterci di avere in casa le competenze e le tecnologie necessarie per la cybersicurezza. E cerchiamo sempre un compromesso tra attenzione al budget e investimento sulla cybersecurity”.
Le cose da fare (e quelle da evitare) in caso di cyber-incidente
Nel caso di L.M. dei f.lli Monticelli, il CIO Senigagliesi è anche il referente per la cybersicurezza e in costante contatto col SOC, da un lato, e l’AD, dall’altro. Senigagliesi e il suo collega dell’IT sono sempre reperibili per le questioni di sicurezza e, insieme al servizio SOC, sono incaricati dell’eventuale attuazione del piano di risposta e ripristino.
Ma come deve essere articolato questo piano? Innanzitutto, deve esserci ed essere formalizzato.
“Non si deve considerare l’emergenza come un caso isolato da gestire quando capita, ma avere delle basi solide, come la nomina di un responsabile da coinvolgere in caso di violazione, perché il pericolo è che – nel momento di crisi – non ci sia coordinamento tra le persone e non si sappia quali informazioni si possono condividere all’esterno e quali no”, evidenzia Venini. “A livello di CIO e CISO, direi che la prima cosa è predisporre dei piani di simulazione delle crisi: è costoso, ma la spesa è ampiamente ripagata in caso di attacco. Ognuno deve avere dei compiti chiari: chi gestisce la crisi, chi prende le decisioni e chi informa il personale interno e gli stakeholder esterni, secondo priorità ben definite”.
Questo è necessario per non venire travolti dalla reazione emotiva: un attacco hacker, soprattutto se c’è una violazione con sottrazione di dati e richiesta di riscatto, tende a gettare le persone nel panico e nella confusione, o addirittura nel rimpallo di responsabilità e nelle recriminazioni. Tutte cose da evitare, anche perché inutili, soprattutto nel momento dell’emergenza.
Un altro suggerimento di Venini per il CIO è di ponderare le azioni sui sistemi IT: “La risposta che sembra naturale è quella di staccare i sistemi, ma bisogna stare attenti a non fare azioni che possano compromettere le prove (per esempio – per alcune tipologie di attacco – spegnendo i computer anziché isolarli dalla rete). Le prove sono importanti sia per le cyberassicurazioni, sia per l’azienda per risalire alle cause dell’attacco: bisogna imparare da quello che è successo, aiuta anche la community”.
Allo stesso modo, prima di ripristinare i sistemi e i dati col backup, bisogna accertarsi che la procedura non sia stata preventivamente coinvolta nell’attacco o non nasconda eventuali backdoor. “Il mio consiglio è: non agire di fretta”, afferma Venini. “Gli attacchi ransomware possono avere un effetto rebound: si resetta il server ma non è detto che il malware non riparta da un’altra parte, occorre una bonifica totale dell’infrastruttura”.
Parte di una risposta corretta a un cyber-incidente è anche la comunicazione: “Il CIO non deve lasciare all’oscuro i dipendenti, ma informarli di quanto successo e comunicare, giorno dopo giorno, come si evolve la situazione”, sottolinea Venini. “Bisogna fare una comunicazione veritiera, non smorzare l’accaduto, ma dare informazioni utili e reali e cercare di mantenere una costanza, perché quando si viene colpiti si rimane sotto attacco per diversi giorni e gli effetti si protraggono per settimane”.
Le tecnologie-chiave per la cyber-difesa
Ovviamente, se la cybersicurezza è una strategia, alla sua base restano le tecnologie. Per Papinutti la prima da implementare in ottica di cybersicurezza è l’IAM, Identity and Access Management, che dà la possibilità di identificare correttamente gli utenti che si collegano ai sistemi aziendali e di scegliere per ciascuno di loro il livello di autorizzazione nel sistema secondo il “principle of least privilege”, che stabilisce che ogni utente debba avere accesso solo alle risorse strettamente necessarie per svolgere il proprio lavoro, riducendo al minimo i privilegi concessi.
“A volte, le aziende, per mancanza di strumenti adeguati o semplicemente per una scarsa cultura della sicurezza informatica, semplificano la gestione assegnando a tutti il livello di amministratore. In questo modo, gli utenti hanno piena libertà di interagire con il computer, la rete e i file aziendali senza limitazioni o blocchi“, spiega Papinutti. “Questo consente loro di lavorare rapidamente e senza richiedere troppa assistenza IT ma, se un utente viene compromesso, l’intera azienda è a rischio“.
La seconda tecnologia-chiave, secondo il manager, è un sistema antivirus completo di EDR (Endpoint Detection & Response) che si aggiorna automaticamente ogni ora. Questo sistema analizza i file di sistema e monitora le interazioni del computer con l’ambiente esterno, come siti web, chat e download di file. È in grado di rilevare, bloccare e segnalare tempestivamente qualsiasi attività anomala o sospetta, nonché le minacce già note grazie all’utilizzo delle “firme“ antivirus.
“L’antivirus deve essere configurato con policy il più restrittive possibile, trovando però un compromesso tra protezione e operatività“ spiega Papinutti. “Nel 2024, per esempio, è fondamentale bloccare l’uso delle chiavette USB per prevenire l’ngresso di malware in azienda. Inoltre, è possibile limitare l’accesso ad alcuni siti web o servizi, ma non in modo eccessivo, altrimenti gli utenti non riuscirebbero a lavorare efficacemente“.
Preparare la strategia di guerra in tempo di pace
La terza mossa fondamentale per la cybersecurity è la formazione degli utenti che, afferma Papinutti, “sono allo stesso tempo un firewall e un antivirus umano”. Il loro comportamento rappresenta la protezione più importante per un’azienda: devono essere in grado di comprendere le conseguenze delle azioni che compiono online, fermarsi in caso di dubbio e riconoscere potenziali minacce. La consapevolezza e la capacità di identificare i rischi sono essenziali.
“Ogni canale, incluso il telefono personale, rappresenta una potenziale porta d’accesso per i cybercriminali”, sottolinea Papinutti. “Per questo motivo, forniamo ai nostri dipendenti un’informazione costante sulle minacce attive a livello globale. L’impegno per la cybersicurezza è continuo, perché la minaccia è sempre presente. Non si può mai abbassare la guardia, ed è sempre stata una nostra priorità”.
Secondo Venini, nella cybersecurity è fondamentale muoversi d’anticipo, ovvero “predisporre la strategia di guerra in tempo di pace”. Il CIO deve far arrivare al management il messaggio su quanto sia importante che l’azienda sia sempre pronta a gestire la crisi.
Questa “preparazione” al cyber-incidente poggia su diversi elementi, indica Venini. Intanto, la consapevolezza e la formazione del management. Poi, l’individuazione dei ruoli e delle responsabilità in caso di crisi, i quali devono essere noti a tutti nell’organizzazione. Altro pilastro è la classificazione degli asset per priorità in modo da poter intervenire in modo coerente: occorre avere una mappa delle informazioni critiche e della loro collocazione, e cancellare regolarmente tutti i dati non necessari, ma che potrebbero avere degli effetti pregiudizievoli in caso di compromissione (per esempio, nel furto di identità). Pensiamo a un albergo che conserva molti dati personali nella posta elettronica: dovrebbe, invece, spostarli in un posto sicuro.
“C’è poi la gestione delle conseguenze della crisi, che non sono solo sull’IT ma di comunicazione, brand reputation, ripristino della fiducia interna ed esterna, con lunghi strascichi nel tempo”, evidenzia Venini.
Il ruolo del cloud e il Negative Trust
BizAway è una società cloud-based: non ha infrastrutture fisiche ma è nata sul cloud. Questo vuol dire che, in caso di attacco, la prima risposta è eseguita da remoto; non si tratta di “staccare tutti i cavi, ma di disabilitare gli account attaccati e isolare i computer infetti da Internet tramite un’unica piattaforma di gestione. Poi si procede con la verifica e con il cambio delle credenziali e delle metodologie di accesso dell’utente compromesso e del suo team, nonché di tutti i servizi che sta usando. Infine, vanno analizzati i log dei computer e degli utenti colpiti.
“Noi ci occupiamo sempre di farlo, anche in virtù della nostra certificazione ISO 270001”, sottolinea Papinutti.
Secondo il manager, il cloud facilita la gestione e il ripristino dopo un attacco. “Ho avuto occasione in passato di supportare aziende con infrastrutture legacy e sedi internazionali interconnesse, dove un attacco a una delle sedi poteva facilmente propagarsi attraverso le reti interne, creando un effetto domino. In un’azienda completamente in cloud, invece, l’infrastruttura IT è segmentata: se un hacker attacca la rete aziendale, non può colpire i server, che non esistono fisicamente, ma solo gli utenti finali”, spiega Papinutti. “È quindi più facile e veloce contenere e bloccare la propagazione di un attacco, isolando i computer e i dati. Inoltre, anche i file server sono virtuali, il che isola ogni utente. In più nel cloud gli aggiornamenti di sicurezza sono automatici e continui, al contrario di quanto avviene nelle aziende con infrastruttura legacy che effettuano gli aggiornamenti manualmente e potrebbero non farlo tempestivamente. L’importante, in ogni caso, è mantenere alta la consapevolezza dell’utente”.
I vantaggi del cloud non devono indurre, tuttavia, ad abbassare la guardia: se sono in crescita le soluzioni di sicurezza cloud-based, occorre anche mettere in sicurezza gli accessi ai sistemi aziendali tramite il cloud. Per questo Gartner prevede che le soluzioni Cloud Access Security Brokers (CASB) saranno un mercato da 4,75 miliardi di dollari nel 2027, una crescita del 30,2% nel periodo 2021-2027. Inoltre, il mercato totale dei CASB e delle Cloud Workload Protection Platforms (CWPP) varrà 12,8 miliardi contro 4,6 miliardi nel 2022.
Gartner prevede anche una forte crescita per le soluzioni di detection and response basate sul cloud, tra cui EDR (EDR) e Managed Detection and Response (MDR).
In espansione anche il mercato dello Zero Trust Network Access (ZTNA), che abilita l’accesso sicuro alle applicazioni interne per gli utenti da remoto e che, per Gartner, varrà 3,99 miliardi di dollari nel 2027, pari a un Cagr del 31,6% nel periodo 2021-2027.
Accanto alle prassi dello Zero Trust (accesso tramite autorizzazione e autenticazione a livello di ogni singola applicazione e con i criteri più restrittivi possibili) si fa strada il paradigma del Negative Trust, che, più attivamente, cerca di ingannare gli attaccanti e sviarli una volta che si sono infiltrati nelle reti. Non ancora mainstream nelle imprese italiane, questo approccio si fonda sulle tecnologie della cyber-deception per anticipare il comportamento degli hacker che si sono insinuati nelle difese dell’azienda e portarli con l’inganno verso vicoli ciechi, lontano dai dati sensibili e dai sistemi strategici.
Read More from This Article: Cybersicurezza, come rispondere a un attacco informatico nell’era della GenAI
Source: News