L’importanza di un MSSP certificato: la sola tecnologia nella cyber security non basta
Nell’era digitale, la sicurezza informatica è diventata una priorità assoluta per ogni azienda: da uno studio commissionato…
Interessato alle soluzioni di sicurezza di Axitea?
Redazione Axitea
La pandemia Coronavirus ha cambiato il modo in cui molte aziende operano, trasformando in normalità il lavoro da remoto. Passare da un ufficio tradizionale ad una workstation domestica – situazione potenzialmente destinata a non esaurirsi con la tendenziale diminuzione del rischio pandemico – presenta tuttavia nuovi rischi per la sicurezza delle aziende e per l’integrità e la riservatezza delle informazioni possedute.
Molti report di scenario (es. “Turning the Tide- previsioni sulla sicurezza di Trend Micro”), già nel 2020 hanno evidenziato che il vecchio paradigma, quello nel quale le reti restano tradizionalmente isolate dietro un firewall aziendale, è venuto meno. Protezioni e configurazioni tradizionali non sono più adeguate in un ecosistema che impone il ricorso ad una vasta varietà di servizi, piattaforme e a nuove modalità di gestione del lavoro quotidiano (basti pensare all’esplosione delle piattaforme di collaboration utilizzate al posto delle riunioni in presenza tipiche di qualunque azienda fin dalla fine del Settecento o all’utilizzo di modalità remote di utilizzo di applicazioni e dati aziendali).
I nuovi trend di rischio cyber, dunque, sono strettamente collegati alle nuove modalità di lavoro, di relazione professionale, di utilizzo degli apparati aziendali o ad uso promiscuo: le misure di mitigazione devono, di conseguenza, adattarsi a nuovi scenari, nuovi processi e alle inevitabili accelerazioni in ambito di trasformazione digitale che la pandemia ha imposto come precondizione di sopravvivenza per aziende e organizzazioni in giro per il mondo.
Come si è evoluto il rischio cyber? Quali sono di conseguenza i nuovi scenari di riferimento organizzativo e tecnologico che gli analisti concordemente indicano come emergenti e che devono essere analizzati e gestiti in chiave di sicurezza? In questo paragrafo ci occuperemo di analizzarne alcuni.
I confini tra vita lavorativa e vita privata sono venuti meno, e il lavoro viene svolto attraverso ISP domestici solitamente attraverso router e macchine senza patching, con altri dispositivi connessi in parallelo o membri della stessa famiglia che condividono i medesimi computer pur lavorando per aziende differenti. Per quanto le reti VPN possano proteggere le connessioni con l’azienda, gli utenti che lavorano da casa dovranno essere attenti alle vulnerabilità della VPN che potrebbero favorire attacchi da remoto.
Le reti domestiche sono diventate inoltre il punto di partenza di attacchi cyber finalizzati all’assunzione del controllo delle macchine per consentire gli spostamenti laterali su altri dispositivi collegati alla stessa rete, con l’obiettivo finale di entrare nelle reti aziendali attraverso la più improbabile, ma strategica, porta di servizio.
I cybercriminali approfittano di qualsiasi evento di rilievo per manipolare e sabotare. La pandemia in corso non fa eccezione: semplicemente cambiano le tattiche per sfruttare le paure collettive collegate al Covid-19. Tutti i report di settore hanno notato, tra inizio 2020 e primo trimestre del 2021, un netto incremento nel numero di email fraudolente, spam e tentativi di phishing inerenti al Covid-19.
I cybercriminali continueranno a cogliere le opportunità di social engineering e manterranno attive campagne contenenti esche ispirate al coronavirus. Anche le campagne di disinformazione renderanno difficile per gli utenti riuscire a far chiarezza tra le mille incertezze della pandemia. I malintenzionati sfrutteranno la disinformazione per attirare gli utenti affinché facciano click su allegati e link pericolosi. Questi tentativi di truffa saranno veicolati tramite email, app fasulle, domini civetta e social media, pretendendo di offrire informazioni utili alla salute o su presunti vaccini e relative liste d’attesa. Fare leva sulle debolezze emotive innescate dalla pandemia è attualmente una delle modalità più diffuse di attacco informatico tramite eseguibili o in modalità file-less.
Nel 2021 il lavoro da remoto è diventata una pratica consolidata in Italia e gli ambienti ibridi, quelli nei quali attività personali e lavorative si mischiano in una stessa macchina, lanciano una sfida significativa alle aziende che potranno esercitare un controllo inferiore su quel che i loro dipendenti utilizzano. Mescolare attività personali e lavorative (ad esempio adoperare la stessa macchina per svolgere attività differenti online) attenua il confine tra gli ambienti in cui i dati vengono conservati ed elaborati.
Se un dispositivo di lavoro viene infettato, i dati personali saranno presi in considerazione in fase di pulizia e ripristino della macchina? Esiste un modo per tenere traccia dei dati che vengono stampati o esportati?
Questa minore visibilità da parte delle aziende circa quel che accade sui dispositivi è ulteriormente aggravata quando i dipendenti accedono ad applicazioni personali da quegli stessi dispositivi.
Inoltre, dopo che varie tecnologie impiegate per il telelavoro hanno fatto notizia per le loro carenze di sicurezza, i modelli zero trust sono destinati ad acquistare importanza nel corso dei prossimi anni come approccio efficace alla forza lavoro distribuita e alla conseguente impossibilità di assicurare tutta la superficie di attacco cyber aziendale attraverso soluzioni tradizionali di monitoraggio e sicurezza delle reti aziendali.
In sintesi: non esiste più una differenza netta tra rete aziendale e rete domestica. Questa continuità inaspettata, inoltre, fa il paio con la progressiva e analoga scomparsa delle differenze esistenti tra ambienti fisici e ambienti virtuali e tra soluzioni on-premise e soluzioni in Cloud.
Dovendo eliminare la fiducia implicita su qualsiasi cosa sia collegata internamente o esternamente alla rete, tutto deve essere di conseguenza verificato. Ad esempio attraverso la micro-segmentazione, un’architettura zero trust permette agli utenti di accedere solamente alle specifiche risorse necessarie all’interno di determinati perimetri. Un ambiente di questo tipo assicura una robusta postura di sicurezza rendendo molto più difficile la compromissione delle reti da parte dei malintenzionati.
Anche se le vulnerabilità zero-day tendono a conquistare le luci della ribalta quando si parla di attacchi, le vulnerabilità già note (n-day) hanno provocato significative preoccupazioni nel 2021 (“Turning the Tide- previsioni sulla sicurezza di Trend Micro 2021”). Se il termine zero-day si riferisce a bug o errori che sono appena stati identificati, ma per i quali manca ancora una patch, le vulnerabilità n-day sono quelle che sono state rese pubblicamente note e per le quali possono essere già disponibili patch. Esistono infinite vulnerabilità note e molte aziende hanno scoperto a proprie spese di avere il fianco notevolmente esposto nei rispettivi footprint digitali. Alla congenita intempestività delle aziende nell’aggiornare rapidamente le proprie infrastrutture ICT attraverso una costante attività di patching, si sommano, inoltre, le oggettive difficoltà di gestione di un patching distribuito su endpoint aziendali fuori dal perimetro di rete tradizionale.
Le vulnerabilità n-day rappresentano di conseguenza una miniera d’oro per i cybercriminali che sono alla ricerca di punti deboli pronti da usare immediatamente. Gli exploit riportati negli attacchi possono essere anche accompagnati da documenti consultabili pubblicamente, a differenza delle vulnerabilità zero-day che richiedono un lungo e difficile lavoro prima di essere identificate e messe a frutto. L’apertura di marketplace specializzati nelle vulnerabilità n-day o nella vendita di bug noti e sfruttabili, laddove i dati inerenti alla vulnerabilità vengono modificati secondo le esigenze del malintenzionato di turno, non è una tendenza futura, ma una realtà già operante e lucrativa.
Il consolidamento del lavoro remoto come pratica quotidiana di produzione aziendale ha avuto tre implicazioni importanti: aver diffuso la tecnologia (cioè aver aumentato il numero e la tipologia di apparati a disposizione degli utenti per il proprio lavoro), aver distribuito la connettività aziendale (estendendo la stessa al di fuori del tradizionale perimetro, seguendo la logica della localizzazione geografica degli utenti), aver integrato e remotizzato ambienti, applicazioni e piattaforme aziendali per ragioni di efficienza, attraverso la creazione di specifici “connettori” o API (Application Programming Interface), cioè software intermediari che permettono la comunicazione tra più applicazioni – dalla condivisione di dati e dalla messa a disposizione di funzionalità fino alla razionalizzazione delle operazioni e della connettività di sistema – fornendo protocolli, routine e tool per poter implementare servizi e software all’interno di dispositivi, compresi quelli IoT.
La combinazione di questi tre fattori ha portato una conseguenza importante in termini di sicurezza: ha moltiplicato e reso più complesso il tema della gestione sicura delle utenze e degli accessi agli ambienti, alle infrastrutture e alle applicazioni aziendali, aumentando allo stesso tempo i rischi di accesso non autorizzato sia da parte di utenti aziendali con abilitazioni non adeguatamente gestite, sia da parte di cyber criminali alla caccia di informazioni di valore.
Nel prossimo articolo scopriremo qual è la soluzione corretta da mettere in atto.
Interessato alle soluzioni di sicurezza di Axitea?
Nell’era digitale, la sicurezza informatica è diventata una priorità assoluta per ogni azienda: da uno studio commissionato…
Nel contesto industriale moderno, la convergenza tra Information Technology (IT) e Operational Technology (OT) sta trasformando le…
La sicurezza aziendale non è un costo, ma un investimento strategico. Ogni imprenditore desidera proteggere la propria…
Immagina l’azienda come un castello medievale: le mura, le torri e il fossato erano le prime linee…