Axitea » Approfondimenti » Follow the risk: sicurezza distribuita e gestione diffusa degli incidenti cyber

Approfondimenti

Follow the risk: sicurezza distribuita e gestione diffusa degli incidenti cyber

Interessato alle soluzioni di sicurezza di Axitea?

Autore

Redazione Axitea

Per tecnologia distribuita (o più precisamente per sistema distribuito) nel linguaggio ICT si intende un insieme di elementi di elaborazione autonomi che appaiono ai loro utenti come un sistema coerente.

Gli obiettivi per il perseguimento dei quali si decide di implementare un sistema di questa natura, al posto o in concorrenza con un’architettura centralizzata, sono molteplici:

  • condivisione;
  • trasparenza;
  • apertura;
  • scalabilità.

Tali obiettivi, tuttavia, non sono sempre core per un’azienda o un’organizzazione: spesso le architetture centralizzate presentano maggiori vantaggi in termini di governance e semplicità di implementazione e gestione.
I recenti avvenimenti legati alla situazione pandemica e più in generale la riorganizzazione tecnologica delle aziende hanno determinato, negli ultimi due anni, una netta inversione di tendenza a favore delle soluzioni distribuite.
La pandemia ha cambiato di fatto il modo in cui molte aziende operano, trasformando in normalità il lavoro da remoto. Passare da un ufficio tradizionale ad una workstation domestica – situazione potenzialmente destinata a non esaurirsi con la tendenziale diminuzione del rischio pandemico – presenta tuttavia nuovi rischi per la sicurezza delle aziende e per l’integrità e la riservatezza delle informazioni possedute.

Molti report di scenario (es. “Turning the Tide- previsioni sulla sicurezza di Trend Micro”), già nel 2020 hanno evidenziato che il vecchio paradigma, quello nel quale le reti restano tradizionalmente isolate dietro un firewall aziendale, è venuto meno. Protezioni e configurazioni tradizionali non sono più adeguate in un ecosistema che impone il ricorso ad una vasta varietà di servizi, piattaforme e a nuove modalità di gestione del lavoro quotidiano (basti pensare all’esplosione delle piattaforme di collaboration utilizzate al posto delle riunioni in presenza tipiche di qualunque azienda fin dalla fine del Settecento o all’utilizzo di modalità remote di utilizzo di applicazioni e dati aziendali).

I nuovi trend di rischio cyber, dunque, sono strettamente collegati alle nuove modalità di lavoro, di relazione professionale, di utilizzo degli apparati aziendali o ad uso promiscuo: le misure di mitigazione devono, di conseguenza, adattarsi a nuovi scenari, nuovi processi e alle inevitabili accelerazioni in ambito di trasformazione digitale che la pandemia ha imposto come precondizione di sopravvivenza per aziende e organizzazioni in giro per il mondo.

Follow the risk: le principali evoluzioni del rischio cyber

Come si è evoluto il rischio cyber? Quali sono di conseguenza i nuovi scenari di riferimento organizzativo e tecnologico che gli analisti concordemente indicano come emergenti e che devono essere analizzati e gestiti in chiave di sicurezza? In questo paragrafo ci occuperemo di analizzarne alcuni.

  1. HOME SWEET HOME: I confini tra vita lavorativa e vita privata sono venuti meno, e il lavoro viene svolto attraverso ISP domestici solitamente attraverso router e macchine senza patching (tendenzialmente il patching non rientra tra le routine domestiche), con altri dispositivi connessi in parallelo o membri della stessa famiglia che condividono i medesimi computer pur lavorando per aziende differenti. Per quanto le reti VPN possano proteggere le connessioni con l’azienda, gli utenti che lavorano da casa dovranno essere attenti alle vulnerabilità della VPN che potrebbero favorire attacchi da remoto. Le reti domestiche sono diventate inoltre il punto di partenza di attacchi cyber finalizzati all’assunzione del controllo delle macchine per consentire gli spostamenti laterali su altri dispositivi collegati alla stessa rete, con l’obiettivo finale di entrare – ospite sgradito – nelle reti aziendali attraverso la più improbabile, ma strategica, porta di servizio.
  2. BASTA UNA MAIL PER GUARIRE DAL COVID: I cybercriminali approfittano di qualsiasi evento di rilievo per manipolare e sabotare. La pandemia in corso non fa eccezione: semplicemente cambiano le tattiche per sfruttare le paure collettive collegate al Covid-19. Tutti i report di settore hanno notato, tra inizio 2020 e primo trimestre del 2021, un netto incremento nel numero di email fraudolente, spam e tentativi di phishing inerenti al Covid-19.
    I cybercriminali continueranno a cogliere le opportunità di social engineering e manterranno attive campagne contenenti esche ispirate al coronavirus. Anche le campagne di disinformazione renderanno difficile per gli utenti riuscire a far chiarezza tra le mille incertezze della pandemia. I malintenzionati sfrutteranno la disinformazione per attirare gli utenti affinché facciano click su allegati e link pericolosi. Questi tentativi di truffa saranno veicolati tramite email, app fasulle, domini civetta e social media, pretendendo di offrire informazioni utili alla salute o su presunti vaccini e relative liste d’attesa. Fare leva sulle debolezze emotive innescate dalla pandemia è attualmente una delle modalità più diffuse di attacco informatico tramite eseguibili o in modalità file-less.
  3. CASTELLI SENZA MURA: Nel 2021 il lavoro da remoto è diventata una pratica consolidata in Italia e gli ambienti ibridi, quelli nei quali attività personali e lavorative si mischiano in una stessa macchina, lanciano una sfida significativa alle aziende che potranno esercitare un controllo inferiore su quel che i loro dipendenti utilizzano. Mescolare attività personali e lavorative (ad esempio adoperare la stessa macchina per svolgere attività differenti online) attenua il confine tra gli ambienti in cui i dati vengono conservati ed elaborati. Attività personali condotte su apparati aziendali quali ad esempio il peer-to-peer per il gaming online o il download di pagine, format, documenti, eseguibili e applicazioni ad uso privato.Se un dispositivo di lavoro viene infettato, i dati personali saranno presi in considerazione in fase di pulizia e ripristino della macchina? Inoltre, viene mitigato il rischio di sottrazione di documentazione strategica aziendale (elenchi clienti, know how digitale, digital concept di prodotti in fase di lancio ecc..) da parte di dipendenti o collaboratori infedeli quando questa attività viene eseguita da remoto? Esiste un modo per tenere traccia dei dati che vengono stampati o esportati? Questa minore visibilità da parte delle aziende circa quel che accade sui dispositivi è ulteriormente aggravata quando i dipendenti accedono ad applicazioni personali da quegli stessi dispositivi.
    Inoltre, dopo che varie tecnologie impiegate per il telelavoro hanno fatto notizia per le loro carenze di sicurezza, i modelli zero trust sono destinati ad acquistare importanza nel corso dei prossimi anni come approccio efficace alla forza lavoro distribuita e alla conseguente impossibilità di assicurare tutta la superficie di attacco cyber aziendale attraverso soluzioni tradizionali di monitoraggio e sicurezza delle reti aziendali.In sintesi: non esiste più una differenza, una separazione netta tra rete aziendale e rete domestica. Questa continuità inaspettata, inoltre, fa il paio con la progressiva e analoga scomparsa delle differenze esistenti tra ambienti fisici e ambienti virtuali e tra soluzioni on-premise e soluzioni in Cloud.
    Dovendo eliminare la fiducia implicita su qualsiasi cosa sia collegata internamente o esternamente alla rete, tutto deve essere di conseguenza verificato. Ad esempio attraverso la micro-segmentazione, un’architettura zero trust permette agli utenti di accedere solamente alle specifiche risorse necessarie all’interno di determinati perimetri. Un ambiente di questo tipo assicura una robusta postura di sicurezza rendendo molto più difficile la compromissione delle reti da parte dei malintenzionati.
  4. CHI ARRIVA SECONDO ARRIVA ULTIMO: Anche se le vulnerabilità zero-day tendono a conquistare le luci della ribalta quando si parla di attacchi, le vulnerabilità già note (n-day) hanno provocato significative preoccupazioni nel 2021 (“Turning the Tide- previsioni sulla sicurezza di Trend Micro 2021”). Se il termine zero-day si riferisce a bug o errori che sono appena stati identificati, ma per i quali manca ancora una patch, le vulnerabilità n-day sono quelle che sono state rese pubblicamente note e per le quali possono essere già disponibili patch. Esistono infinite vulnerabilità note e molte aziende hanno scoperto a proprie spese di avere il fianco notevolmente esposto nei rispettivi footprint digitali. Alla congenita intempestività delle aziende nell’aggiornare rapidamente le proprie infrastrutture ICT attraverso una costante attività di patching si sommano, inoltre, le oggettive difficoltà di gestione di un patching distribuito su endpoint aziendali fuori dal perimetro di rete tradizionale. Le vulnerabilità n-day rappresentano di conseguenza una miniera d’oro per i cybercriminali che sono alla ricerca di punti deboli pronti da usare immediatamente. Gli exploit riportati negli attacchi possono essere anche accompagnati da documenti consultabili pubblicamente, a differenza delle vulnerabilità zero-day che richiedono un lungo e difficile lavoro prima di essere identificate e messe a frutto. L’apertura di marketplace specializzati nelle vulnerabilità n-day o nella vendita di bug noti e sfruttabili, laddove i dati inerenti alla vulnerabilità vengono modificati secondo le esigenze del malintenzionato di turno, non è una tendenza futura, ma una realtà già operante e lucrativa. Per questa ragione, data l’attuale media frequenza di patching nelle aziende e nelle organizzazioni, è assolutamente necessario potenziare le attività di monitoraggio e contrasto degli attacchi che sfruttano proprio le vulnerabilità note ma non ancora oggetto di patching (si veda più avanti nel paragrafo “correlazione inclusiva”).
  5. AD OGNI PORTA LA SUA CHIAVE: il consolidamento del lavoro remoto come pratica quotidiana di produzione aziendale ha avuto – tra le altre – tre implicazioni importanti: aver diffuso la tecnologia (cioè aver aumentato il numero e la tipologia di apparati a disposizione degli utenti per il proprio lavoro), aver distribuito la connettività aziendale (estendendo la stessa al di fuori del tradizionale perimetro, seguendo la logica della localizzazione geografica degli utenti), aver integrato e remotizzato ambienti, applicazioni e piattaforme aziendali per ragioni di efficienza, attraverso la creazione di specifici “connettori” o API (Application Programming Interface), cioè software intermediari che permettono la comunicazione tra più applicazioni – dalla condivisione di dati e dalla messa a disposizione di funzionalità fino alla razionalizzazione delle operazioni e della connettività di sistema – fornendo protocolli, routine e tool per poter implementare servizi e software all’interno di dispositivi, compresi quelli IoT.
    La combinazione di questi tre fattori ha portato una conseguenza importante in termini di sicurezza: ha moltiplicato e reso più complesso il tema della gestione sicura delle utenze e degli accessi agli ambienti, alle infrastrutture e alle applicazioni aziendali, aumentando allo stesso tempo i rischi di accesso non autorizzato sia da parte di utenti aziendali con abilitazioni non adeguatamente gestite, sia da parte di cyber criminali alla caccia di informazioni di valore.
  6. CHI MENO SPENDE PIU’ SPENDE: la transizione strutturale verso modelli di elaborazione distribuita (vedi sopra: distributed technology), il passaggio al lavoro da remoto, le difficoltà finanziarie causate dalla recessione economica e la crescita delle minacce informatiche dovute alla pandemia globale stanno influenzando notevolmente il ruolo dei professionisti dell’IT nel 2021 e più in generale, le modalità di gestione dei servizi IT aziendali (Plugging the gaps: 2021 corporate IT security predictions), indirizzando le scelte in tale settore secondo tre parole d’ordine principali: outsourcing della gestione (intesa come esternalizzazione a IT Service Provider esterni in grado di garantire funzionalità e SLA a costi più ridotti rispetto ad una gestione completamente interna), remotizzazione (intesa come erogazione da remoto dei servizi di supporto e helpdesk connessi alla gestione dei servizi) esplosione di servizi e soluzioni in cloud (l’indagine di Kaspersky sopra citata ha mostrato come nel 2020 il 90% delle aziende italiane ha utilizzato direttamente o tramite il proprio IT Service Provider esterno servizi cloud e software non aziendali, inclusi social network, app di messaggistica o planning).Gli IT Service Provider propongono generalmente soluzioni di gestione in cloud (soprattutto a potenziali clienti piccoli, medio-piccoli e medi) molto più contenute in termini di costo rispetto a soluzioni cd. Entreprise, ma molto meno performanti dal punto di vista della sicurezza. Lo sfruttamento di vulnerabilità sulle principali piattaforme di gestione dei sistemi IT al fine di compromettere sistemi e infrastrutture di aziende collegate con il Provider è un trend consolidato: basti pensare alla violazione della piattaforma Orion di SolarWinds utilizzata per la gestione e il monitoraggio delle reti da circa 275 mila organizzazioni in tutto il mondo, avvenuta attraverso un’attività di contaminazione da malware di due aggiornamenti della piattaforma stessa.

Nel prossimo articolo scopriremo quali soluzioni è necessario mettere in atto.

Ico-pos-Rilevazione intrusione

Interessato alle soluzioni di sicurezza di Axitea?

Scroll to Top
Torna su