Una continua corsa contro il tempo. Lo è sempre stato per la sicurezza informatica, ma ora che il ritmo del cambiamento sta accelerando, di pari passo con il crescere degli investimenti delle aziende in tecnologia per gestire al meglio la propria attività, emergono nuove potenziali vulnerabilità.
Da un lato, c’è la sempre più consistente tendenza delle imprese ad affidarsi a sistemi IT per supportare il lavoro da remoto, migliorare l’esperienza del cliente e generare nuovo valore. Dall’altro, la maggior efferatezza degli aggressori – non più limitati a singoli attori – che sfruttano strumenti integrati e competenze avanzate con l’ausilio di intelligenza artificiale e apprendimento automatico.
Dunque, la verità è che la portata della minaccia sta crescendo, e nessuna organizzazione può rimanere immune. Le piccole e medie imprese, quanto i comuni e i governi statali e federali, si ritrovano ad affrontare questi rischi insieme alle grandi aziende. Anche i cybercontrolli più sofisticati di oggi, per quanto efficaci, saranno presto obsoleti.
Le organizzazioni che cercano di posizionarsi nel modo più efficace per i prossimi cinque anni dovranno adottare necessariamente un approccio proattivo per costruire capacità difensive che vadano “oltre l’orizzonte”, posizione che richiama esattamente il titolo della ricerca firmata McKinsey & Company “Cybersecurity trends: Looking over the horizon”.
Rafforzare la cybersecurity per aumentare la resilienza tecnologica
Sono molte le aziende che riconoscono la necessità di realizzare un cambio di passo nelle loro competenze di cybersecurity e di assicurare la resilienza dei loro sistemi tecnologici, il cui ritmo frenetico ha letteralmente scavalcato le modalità di cyber-risk management.
La soluzione è rinforzare le difese cercando di anticipare le minacce informatiche del futuro e comprendere la serie di competenze difensive che le aziende hanno a disposizione oggi e quelle che potranno utilizzare domani. Per affrontare e mitigare le interruzioni del futuro, occorre assumere un atteggiamento più proattivo e lungimirante.
Secondo McKinsey, nei prossimi tre-cinque anni, saranno essenzialmente tre le tendenze di cybersecurity ad avere maggiori implicazioni per le organizzazioni. Per ciascuno di questi cambiamenti, McKinsey propone altrettante capacità difensive che le organizzazioni possono sviluppare per mitigare il rischio e l’impatto delle future minacce informatiche. Ovviamente, tali capacità non sono relegate ad una sola problematica, ma si adattano ad affrontarne diverse.
L’accesso on-demand a dati ubiqui pone le premesse per una violazione
La prima tendenza è legata al sempre più frequente accesso ad alta velocità a set di dati ubiqui e di grandi dimensioni, esacerbando la probabilità di una violazione. Si prevede che il mercato dei servizi di web-hosting genererà 183,18 miliardi di dollari entro il 2026 (Fortune Business Insight). Inoltre, le aziende raccolgono molti più dati sui clienti – dalle transazioni finanziarie al consumo di elettricità alle visualizzazioni sui social media – per comprendere e influenzare il comportamento d’acquisto e prevedere più efficacemente la domanda.
Nel 2020, in media, ogni persona sulla Terra ha creato 1,7 megabyte di dati ogni secondo (Data never sleeps 6.0,” Domo). Per di più, con la maggiore importanza del cloud, le imprese sono sempre più responsabili dell’archiviazione, della gestione e della protezione di questi dati (John Gantz, David Reinsel, and John Rydning, The digitization of the world: From edge to core, IDC, November 2018) e di affrontare le sfide di volumi di dati esplosivi. Per eseguire tali modelli di business, le aziende hanno bisogno di nuove piattaforme tecnologiche, compresi i data lake in grado di aggregare informazioni.
Zero-trust, analytics e crittografia omomorfica prevengono l’accesso indebito a dati riservati
Mitigare i rischi di sicurezza informatica che derivano dall’accesso on-demand ai dati ubiqui richiede quattro risorse di sicurezza informatica.
Innanzitutto, considerando che in tutte le nazioni industriali, circa il 25% dei lavoratori ora lavora in remoto da tre a cinque giorni alla settimana (Global surveys of consumer sentiment during the coronavirus crisis, McKinsey), un modello di sicurezza zero-trust (Zero Trust Architecture) spinge a non limitarsi ai perimetri statici che circondano le reti fisiche e verso gli utenti, le risorse e i beni, mitigando così il rischio derivante dai dati decentralizzati. L’accesso è applicato in modo più capillare dalle politiche: anche se gli utenti hanno accesso all’ambiente dei dati, potrebbero non avere accesso ai dati sensibili.
Occorre poi tenere a mente, che i dipendenti costituiscono una vulnerabilità chiave per le organizzazioni. In questo senso, le applicazioni di analytics possono monitorare alcuni parametri come le richieste di accesso o lo stato di salute dei dispositivi e stabilire una linea di base per identificare un comportamento anomalo, intenzionale o non intenzionale, degli utenti o l’attività dei dispositivi. Questi strumenti non solo possono abilitare l’autenticazione e l’autorizzazione basate sul rischio, ma anche orchestrare misure preventive e di risposta agli incidenti.
Set di dati massicci e log decentralizzati derivanti da progressi come i big data e l’IoT complicano la sfida del monitoraggio delle attività. Il monitoraggio elastico dei log è una soluzione basata su diverse piattaforme open-source che, se combinate, permettono alle aziende di estrarre i dati di log da qualsiasi parte dell’organizzazione in un’unica posizione e poi di cercare, analizzare e visualizzare i dati in tempo reale.
Infine, la crittografia omomorfica permette agli utenti di lavorare con i dati crittografati senza prima decifrarli e quindi dà a terzi e collaboratori interni un accesso più sicuro a grandi set di dati e aiuta le aziende a soddisfare i requisiti di privacy dei dati più stringenti. I recenti progressi nella capacità di calcolo e nelle prestazioni rendono la crittografia omomorfa praticabile per una vasta gamma di applicazioni.
Gli hacker fanno uso di AI e ML sferrando attacchi sempre più sofisticati
Oggi, il cyber-hacking è un’impresa multimiliardaria (Cybersecurity: Hacking has become a $300 billion dollar industry, InsureTrust) completa di gerarchie istituzionali e budget di ricerca e sviluppo. Gli aggressori utilizzano strumenti avanzati, come l’intelligenza artificiale, il machine learning e l’automazione. E nei prossimi anni, saranno in grado di accelerare – da settimane a giorni o ore – il ciclo di vita dell’attacco end-to-end, dalla fase di ricognizione a quella di exploit.
Emotet, una forma avanzata di malware che prende di mira le banche, può cambiare la natura dei suoi attacchi. Nel 2020, sfruttando l’AI avanzata e le tecniche di ML per aumentare la sua efficacia, ha utilizzato un processo automatizzato per inviare e-mail di phishing contestualizzate che hanno intercettato altre e-mail di minaccia – alcune legate alle comunicazioni di COVID-19. Altre tecnologie e competenze stanno rendendo più diffuse forme di attacco già note, come il ransomware e il phishing. Il ransomware as a service e le criptovalute hanno ridotto il costo del lancio di attacchi ransomware, il cui numero è raddoppiato ogni anno dal 2019.
Altri tipi di interruzioni spesso innescano un picco di questi attacchi. Durante l’ondata iniziale di COVID-19, da febbraio 2020 a marzo 2020, il numero di attacchi ransomware in tutto il mondo è aumentato del 148% (6VMware security blog, Amid COVID-19, global orgs see a 148% spike in ransomware attacks; finance industry heavily targeted, April 15, 2020). Gli attacchi di phishing sono aumentati del 510% da gennaio a febbraio 2020 (Brian Carlson, Top cybersecurity statistics, trends, and facts, CSO, October 7, 2021).
L’automazione per combattere i cyberattacchi sempre più sofisticati guidati dall’AI
Per contrastare gli attacchi più sofisticati guidati dall’AI e da altre capacità avanzate, le organizzazioni dovrebbero adottare un approccio all’automazione risk based e risposte automatiche agli attacchi.
L’automazione dovrebbe concentrarsi sulle capacità difensive come le contromisure del Security Operations Center (SOC) e le attività ad alta intensità di lavoro, come la gestione delle identità e degli accessi (IAM) e il reporting.
L’AI e l’apprendimento automatico dovrebbero essere usati per stare al passo con i cambiamenti dei modelli di attacco e lo sviluppo di risposte automatiche sia tecniche che organizzative alle minacce ransomware aiuta a mitigare il rischio in caso di attacco.
Con l’accelerazione del livello di digitalizzazione, le organizzazioni possono utilizzare l’automazione per gestire i processi a basso rischio e routinari, liberando risorse per attività a più alto valore. Le decisioni di automazione dovrebbero essere basate su valutazioni e segmentazione del rischio per garantire che non vengano create inavvertitamente ulteriori vulnerabilità. Per esempio, le organizzazioni possono applicare patch automatiche, configurazioni e aggiornamenti software alle risorse a basso rischio, ma utilizzare una supervisione più diretta per quelle a più alto rischio.
Così come gli aggressori adottano l’AI e le tecniche di apprendimento automatico, i team di cybersecurity dovranno sviluppare e ampliare le stesse capacità in modo difensivo. In particolare, le organizzazioni possono utilizzare queste tecnologie e i modelli di outlier per rilevare e rimediare ai sistemi non conformi. I team possono anche sfruttare l’apprendimento automatico per ottimizzare i flussi di lavoro e gli stack tecnologici in modo che le risorse siano utilizzate nel modo più efficace nel tempo.
Man mano che la complessità, la frequenza e la portata degli attacchi ransomware aumentano, le organizzazioni devono rispondere con cambiamenti tecnici e operativi. I cambiamenti tecnici includono l’utilizzo di archivi e infrastrutture di dati resilienti, risposte automatiche alla crittografia dannosa e autenticazione multifattoriale avanzata per limitare il potenziale impatto di un attacco, oltre ad affrontare continuamente la cyber igiene. I cambiamenti organizzativi includono la conduzione di esercitazioni a tappeto, lo sviluppo di playbook dettagliati e multidimensionali, e la prevenzione di tutte le opzioni e gli imprevisti – comprese le decisioni di risposta esecutiva – per rendere la risposta aziendale automatica.
Il panorama normativo in crescita e le carenze di risorse e talenti surclasseranno la cybersecurity
Un’altra grande problematica sempre più sotto gli occhi di tutti, riguarda la consapevolezza che le organizzazioni non hanno sufficienti talenti, conoscenze e competenze in materia di cybersecurity, e la lacuna sta diventando sempre più profonda. In generale, la gestione dei rischi informatici non ha tenuto il passo con la proliferazione delle trasformazioni digitali e di analytics, e molte aziende non sono sicure di come identificare e gestire i rischi digitali.
Ad aggravare la sfida, i regolatori stanno aumentando la loro attenzione sulle capacità di cybersecurity aziendale, spesso con lo stesso livello di supervisione e attenzione applicato ai rischi di credito e liquidità nei servizi finanziari e ai rischi operativi e di sicurezza fisica nelle infrastrutture critiche.
Allo stesso tempo, le aziende affrontano requisiti di conformità più rigidi, risultato delle crescenti preoccupazioni sulla privacy e delle infrazioni di alto profilo. Ora ci sono circa 100 regolamenti sul flusso di dati transfrontalieri.
Incorporare la sicurezza nelle competenze tecnologiche per affrontare il controllo regolamentare e le carenze di risorse
L’aumento del controllo normativo e le lacune in termini di conoscenze, talenti e competenze rafforzano la necessità di costruire e integrare la sicurezza nelle risorse tecnologiche nel momento in cui vengono progettate, costruite e implementate.
Piuttosto che trattare la sicurezza informatica come un postulato, le aziende dovrebbero incorporarla nella progettazione del software fin dall’inizio. Un modo efficace per creare un ciclo di vita dello sviluppo software sicuro (SSDLC) è quello di avere team di sicurezza e rischio tecnologico impegnati con gli sviluppatori in ogni fase del processo.
La migrazione dei carichi di lavoro e dell’infrastruttura in ambienti cloud di terze parti (come platform as a service, infrastructure as a service e i provider hyperscale) può rendere più sicure le risorse organizzative e semplificare la gestione per i cyberteam. I fornitori di cloud non solo gestiscono molte attività di routine di sicurezza, patch e manutenzione, ma offrono anche capacità di automazione e servizi scalabili. Alcune organizzazioni cercano di consolidare i fornitori per motivi di semplificazione, ma può anche essere importante diversificare i partner strategicamente per limitare l’esposizione a problemi di prestazioni o disponibilità.
Standardizzare e codificare l’infrastruttura e i processi di control-engineering può semplificare la gestione degli ambienti ibridi e multicloud e aumentare la resilienza del sistema. Questo approccio permette processi come il patching orchestrato, così come un rapido provisioning e deprovisioning.
Con l’aumento dei requisiti di conformità, le organizzazioni possono mitigare l’onere amministrativo dettagliando formalmente tutti i componenti e le relazioni della catena di fornitura utilizzati nel software. Analogamente a una distinta dei componenti dettagliata, questa documentazione elencherebbe i componenti open-source e di terze parti in un code base attraverso nuovi processi di sviluppo del software, strumenti di scansione del codice, standard industriali e requisiti della catena di fornitura. Oltre a mitigare i rischi della catena di fornitura, la documentazione dettagliata del software aiuta a garantire che i team di sicurezza siano preparati per le indagini normative.