Marco Rottigni (nella foto), Chief Technical Security Officer EMEA, Qualys, si interroga su cosa ci riserva il futuro quando tutto cambia così velocemente
L’informatica è sempre stata sicura, affidabile, immutabile. In passato abbiamo acquistato server e sistemi operativi che funzionavano costantemente nel data center, per anni, prima di valutarne la sostituzione. Su questa certezza, abbiamo sempre potuto contare su un team di sicurezza dedicato essenzialmente a mantenere l’infrastruttura IT protetta e libera da rischi.
Oggi l’unico elemento invariato è il rischio. Gli incidenti informatici continuano a verificarsi, si trovano nuove vulnerabilità nel software e sono richieste patch da applicare con puntualità, ma la velocità di cambiamento nei criteri di sicurezza è aumentata a tal punto che i processi adottati finora non sono più sufficienti. Allo stesso tempo, le implementazioni di cloud e i container aumentano il dinamismo in base alla richiesta di applicazioni e servizi collegati. Come adattare quindi la sicurezza nel 2020, per rimanere al passo con le innovazioni?
Trend #1 – L’IT cambia di continuo… la sicurezza dovrà allinearsi per tenere il passo
Le aziende utilizzano i container per distribuire le proprie applicazioni, sia a livello interno che nel cloud. I container possono aumentare rapidamente i servizi erogati alle applicazioni, mentre gli strumenti di orchestrazione come Kubernetes possono automatizzare il processo.
Da un punto di vista di sicurezza è essenziale comprendere bene tale scalabilità. Un problema all’infrastruttura cloud potrebbe replicarsi velocemente a più immagini, aumentando la criticità dell’evento e con i team che potrebbero non essere a conoscenza di quanto sta accadendo.
Nel 2020, ci sarà maggiore enfasi sugli aggiornamenti in tempo reale degli asset in fase di implementazione, anche perché la rischiosa alternativa è che le immagini vengano create, utilizzate e poi cancellate senza che il team di sicurezza ne sia a conoscenza. Si tratta di uno scenario potenzialmente spaventoso, che dovrebbe portare a ulteriori cambiamenti nel 2020.
Trend #2 – La biodiversità digitale forzerà i team a bilanciare velocità operative diverse
Ci sono così tante piattaforme differenti all’interno delle organizzazioni e ognuna di queste deve essere mantenuta sicura, pur nel rispetto dei ritmi operativi di ognuna. Gli asset IT tradizionali e legacy si “muovono” lenti come bradipi, mentre il ritmo del cloud è paragonabile ai colibrì: ciononostante ogni piattaforma evolve nel corso del tempo e va monitorata.
Per far fronte a questa situazione, i team IT dovranno distribuire al meglio le proprie risorse, assegnandone alcune per supportare piattaforme collaudate e affidabili, mentre altre gestiranno quelle più innovative. Il rischio che si corre è quello di creare una dinamica “noi e loro” all’interno del team, proprio quando serve che le persone si aiutino a vicenda. La soluzione è che più team dovranno adottare approcci olistici alla sicurezza informatica, in cui la predisposizione al cambiamento sarà parte del processo di pianificazione.
Avere una visione olistica del cambiamento è importante, in modo da pianificare per tempo sia le finestre di patching sia gli eventi principali di impatto. Ciò aiuterà nella priorizzazione e nella pianificazione anticipata, indipendentemente dalla immediatezza del cambiamento.
Trend #3 – La responsabilità condivisa per il cloud deve essere ancora compresa
Le implementazioni in cloud si stanno diffondendo a macchia d’olio. Fornitori come Google Cloud Platform, Microsoft Azure e Amazon Web Services offrono le opzioni per l’hosting, la gestione e l’implementazione di applicazioni; le imprese richiedono soluzioni multi-cloud e in esecuzione su diversi servizi cloud per soddisfare anche esigenze geografiche.
In queste situazioni è prioritaria l’efficace collaborazione tra i team dei fornitori di sicurezza IT e quelli dei servizi di cloud. Purtroppo, le cose non sono semplici: mentre i cloud provider chiariscono quali sono le loro responsabilità, si sono verificati parecchi casi in cui supposizioni hanno portato a falle nella sicurezza; implementazioni di database mal configurati o utilizzo di storage reso insicuro da configurazioni predefinite.
Quest’anno, le criticità continueranno anche a causa dell’urgenza degli sviluppatori nel completare lo sviluppo di applicazioni, oppure alla mancanza di allineamento con i team di sicurezza IT nel trasferimento dei vari servizi in produzione. Per evitare questo, le aziende dovranno assumersi maggiori responsabilità nella fase di implementazione: la formazione degli sviluppatori è sicuramente parte attiva, ma altrettanto importante sarà costruire processi DevOps migliori con strumenti di sicurezza incorporati nel processo di rilascio. Il risultato che si otterrà è quello di rendere la sicurezza “business as usual” e non un ulteriore mal di testa.
Trend #4 – La convergenza di OT e IoT richiederà maggiore sicurezza
Continua la crescita esponenziale dell’IoT. Mentre molti dei dispositivi consumer presentati aggiungono semplicemente la connessione Internet a un prodotto esistente, le opportunità di mercato future si stanno sviluppando intorno all’impresa. Dai primi progetti pilota, le implementazioni dell’IoT sono in aumento nelle aziende di supply chain, logistica e servizi.
Questo significa che aumenta continuamente il numero degli asset connessi, includendo anche quelli che risalgono ai primi anni di Internet. I sistemi operativi e gli asset di operational technology che devono funzionare 24 ore su 24 possono beneficiare di connettività, ma risultano spesso datati e difficili da aggiornare; alcuni fornitori delle applicazioni più datate potrebbero essere addirittura già usciti dal mercato.
Nella fretta di utilizzare l’IoT, serve che le aziende non creino rischi di sicurezza laddove non ne esistevano in passato. La disconnessione fisica continuerà a giocare un ruolo importante, mentre la comprensione degli asset IT nel contesto si estenderà anche al settore OT.
Trend #5 – I DevOps acquisteranno maggiori tool di sicurezza rispetto ai team della sicurezza informatica
In passato, le vendite degli strumenti di sicurezza IT sono state effettuate da specialisti verso altri specialisti. Ciò significava che il CISO decideva i fornitori con i quali lavorare e come gestire le soluzioni acquisite.
Nel 2020 la situazione cambierà. Gli acquisti di strumenti legati alla sicurezza non saranno più solo di competenza del team IT, ma si vedrà una responsabilità o una pesante influenza dei team DevOps su quanto verrà implementato. Quando le aziende lavorano su pipeline di progetti di Continuous Integration e Continuous Deployment (CI/CD), il team dei DevOps diventa il nuovo buyer da convincere.
Cosa significa questa previsione per il futuro? Indica che le aziende che un tempo guidavano i mercati della sicurezza non lo faranno più. I team di DevOps saranno interessati a lavorare con aziende che comprendono le loro esigenze e i modi di lavorare. Questo porterà ad alcuni sconvolgimenti negli equilibri di potere sul budget di acquisto all’interno dell’organizzazione.
I team DevOps misurano i risultati di una applicazione in termini di agilità, velocità e capacità di tollerare la varianza. Non separano il cloud dalle APP tradizionali del data center, ma lavorano sempre in modalità ibrida. Questo porterà alcuni leader della sicurezza di oggi a fare acquisizioni per rimanere aggiornati, mentre le startup del settore cresceranno rapidamente.
Trend # 6 – Le metriche di sicurezza cambieranno per concentrarsi sul Time To Remediate (TTR)
In passato, i team di sicurezza erano valutati in base alla capacità di impedire che gli attacchi compromettessero la rete aziendale. Parliamo di un approccio perimetrale che ha funzionato per anni ma che oggi è difficile da mantenere, complice il gran numero di vulnerabilità e di problemi che si verificano. I team specializzati devono affrontare attacchi sofisticati e le metriche comuni, come gli attacchi rilevati o il tempo medio di permanenza degli attaccanti, non aiutano l’impresa a comprendere rischi e costi associati.
Nel 2020, il TTR diventerà l’indicatore principale per i team, una metrica più comprensibile e gestibile per l’azienda. Il TTR dovrebbe essere pari allo zero, o il più vicino possibile a questo valore: ciò dimostra che le soluzioni di sicurezza adottate anticipano i problemi intervenendo prima nei processi aziendali, prima nello sviluppo di applicazioni e servizi, prima nel garantire la minima superficie vulnerabile possibile. Per raggiungere questo risultato, la sicurezza dovrà essere integrata e non aggiunta successivamente (bolted on).
Trend #7 – Il rilevamento della vulnerabilità si sposta in tempo reale, non pianificato
In passato, i programmi di gestione vulnerabilità erano legati alle pianificazioni. Sapevamo che Microsoft o Adobe avrebbero rilasciato le patch una volta al mese, mentre Oracle rilasciava le patch ogni trimestre. La gestione delle patch per tempo aiutava a risolvere i problemi e la ricerca del software vulnerabile veniva programmata insieme agli aggiornamenti.
Purtroppo, le attuali vulnerabilità vengono sfruttate più velocemente rispetto a quanto le patch tradizionali possano risolvere. La grande varietà delle piattaforme utilizzate evidenzia che i cambiamenti possono influenzare più sistemi in esecuzione in luoghi diversi e le nuove tecnologie, come il cloud e i container, possono funzionare in modo intermittente, perdendo le scansioni programmate. Per il 2020, sempre più aziende dovranno passare alla scansione delle vulnerabilità in tempo reale, ricercando i problemi man mano che questi si verificano.
Questo cambiamento si basa sul processo UDR – Understand, Detect, Respond. Understand significa ottenere dati su tutte le risorse IT di cui si dispone, dal cloud ai container fino agli endpoint tradizionali, ai dispositivi mobili e alle applicazioni web. Detect ci consente di individuare le anomalie, note e sconosciute: l’importante è la qualità dei dati per comprendere l’evento, occorre fidarsi dell’avviso e dare priorità alla reazione. Respond riguarda la velocità per risolvere il problema il più rapidamente possibile per attenuare i potenziali danni, ridurre lo stress del team ed evitare qualsiasi impatto sulla produttività.
Trend #8 – L’integrazione e l’orchestrazione sono fondamentali per i team di sicurezza
I team stanno implementando Kubernetes e container software per migliorare i processi interni e distribuire le applicazioni più rapidamente. Tuttavia, i responsabili hanno difficoltà a tenere il passo con i nuovi prodotti che entrano in azienda. Mentre Kubernetes aiuta i team delle applicazioni ad automatizzare i servizi, il team di sicurezza deve adottare lo stesso approccio.
Nel 2020, i team di sicurezza IT cercheranno di imparare dai DevOps su come hanno ottenuto i risultati e sui cambiamenti che sono stati necessari. Cercheranno anche di reclutare esperti con competenze nei processi integrati e automatizzati. I Security Operations Centre vorranno automatizzare dove possibile i processi che riguardano i dati, aumentando la produttività interna e aiutando i membri del team a concentrarsi su attività a maggior valore.
Trend #9 – La conformità aiuta, seguiamola!
I professionisti IT dispongono di una pletora di framework di sicurezza diversi. Dal NIST CyberSecurity Framework al CIS Top 20 Controls fino alla norma ISO 27001 e al GDPR sulla privacy dei dati, questi approcci mirano a fornire il supporto delle migliori policy per la sicurezza, semplificando il controllo dell’enorme complessità delle moderne infrastrutture IT.
Per il 2020, l’utilizzo di framework di conformità per la pianificazione della sicurezza evolverà verso la gestione del rischio piuttosto che restare legato una particolare problematica di sicurezza o ad una minaccia. Diventa quindi necessario comprendere le criticità più importanti per l’impresa, quali di queste rappresentano un vero rischio per il business, quindi pianificare in base alle priorità. Questo diventerà un tema “per l’intera azienda” piuttosto che restare legato specificamente alla sicurezza informatica o alla tecnologia.
