In tema di cybersecurity, è tempo che i team di sicurezza intraprendano un cambio di rotta. L’invito arriva forte e chiaro da Raffaele Gigantino (nella foto qui sotto), Country Manager, VMware Italia, secondo cui abbiamo raggiunto un punto cruciale nella storia della cybersecurity, in cui il cambiamento generato da una serie di incredibili variabili esogene ha portato il settore a pensare in modo diverso e a riesaminare radicalmente l’approccio.
L’ambiente di lavoro remoto è qui per rimanere, per questo abbiamo bisogno di assimilare ciò che abbiamo imparato nell’ultimo anno e di elaborare una precisa roadmap che ci permetta di proteggere in modo proattivo la nuova forza lavoro distribuita. Si tratta di un’opportunità eccezionale, più unica che rara.
Da qui, sorge spontanea una domanda: in questa nuova rotta per gli anni a venire, quale dovrebbe essere il focus degli esperti di cybersecurity?
Per rispondere, VMware ha intervistato più di 3.500 esperti di cybersecurity allo scopo di tracciare e, soprattutto, capire il panorama attuale delle minacce e l’impatto generato dagli avvenimenti dello scorso anno. I risultati hanno mostrato uno scenario in cui i cybercriminali hanno prosperato, e il volume e la sofisticazione degli attacchi sono aumentati. Con interi settori di business indirizzati verso il lavoro da remoto, le violazioni sono state una conseguenza inevitabile. Ecco, quindi, cosa abbiamo scoperto, e quali crediamo possano essere i prossimi passi che i responsabili della sicurezza dovrebbero intraprendere.
La visibilità è (ancora) tutto
La forza lavoro distribuita ha creato un problema di visibilità. Per tre quarti delle organizzazioni globali, il volume degli attacchi è aumentato, e il 78% degli intervistati (il 71% in Italia) ha dichiarato di aver subìto attacchi informatici a causa del maggior numero di dipendenti che lavorano da casa.
Tuttavia, la vera portata degli attacchi è difficile da comprendere pienamente, dal momento che i difensori non sono in grado di avere piena visibilità di tutti i dispositivi mobili personali e le reti domestiche che, da un momento all’altro, si sono inseriti nell’ecosistema aziendale. Oltre a questo, il rischio posto da app e fornitori di terze parti ha aumentato il numero di punti ciechi.
Di conseguenza, i team di cybersecurity hanno oggi più che mai bisogno di una supervisione contestuale e di una migliore visibilità su dati e applicazioni. A questo proposito, il 63% dei professionisti (il 48% in Italia) che abbiamo intervistato concorda sulla necessità di una migliore visibilità su dati e applicazioni. Una priorità chiave deve essere quella di ottenere visibilità su tutti gli endpoint e i carichi di lavoro attraverso la nuova rete “work from anywhere”, altamente distribuita. Questa rete ha sicuramente caratteristiche e comportamenti diversi da quelle del passato, ed è quindi fondamentale, per i team di sicurezza, familiarizzare con le sue peculiarità e vulnerabilità. È necessaria una robusta intelligence “sul contesto” in modo che i team comprendano ciò che stanno osservando e abbiano la certezza di rimediare ai rischi che veramente contano.
Prepararsi agli attacchi ransomware
Lo scorso anno, i TTP tradizionali hanno subìto una forte recrudescenza degli attacchi, in particolare le minacce ransomware. Questo genere di attacco ha rappresentato la prima causa di violazioni tra le organizzazioni che abbiamo intervistato, e abbiamo osservato un picco del 900% di attacchi durante la prima metà del 2020. Gli attacchi sono diventati multi-stage, con gli aggressori che, prima di lanciare richieste di riscatto, si concentrano nell’ottenere l’accesso alle reti senza essere rilevati, a generare esfiltrazione dei dati e a creare creazione di back door.
Per affrontare questo problema ed evitare di essere vittime di ripetuti attacchi, le organizzazioni hanno bisogno di un approccio duplice, in grado di combinare una protezione avanzata contro il ransomware con una solida risoluzione post-attacco, per rilevare l’eventuale permanere degli avversari nell’ambiente anche ad attacco concluso. Questo significa impegnare risorse nel rilevamento delle minacce e allo stesso tempo rafforzare le difese dei più comuni canali di attacco, come la posta elettronica, che rimane il punto di accesso privilegiato per gli attacchi ransomware.
Colmare le lacune nella tecnologia e nei processi legacy
Il passaggio al lavoro da remoto ha messo in luce le debolezze della tecnologia e dei processi di sicurezza. Le organizzazioni che non avevano ancora implementato l’autenticazione a più fattori hanno scoperto che i dipendenti, lavorando da remoto, non potevano accedere alle reti aziendali senza introdurre rischi di sicurezza significativi.
Ora che il lavoro a distanza è diffuso, i team di sicurezza chiedono a gran voce investimenti strategici per colmare il gap tra l’attuale ambiente di sicurezza e ciò che si rende necessario per proteggere la nuova forza lavoro distribuita.
Ripensare la cybersecurity e renderla un servizio distribuito
Secondo il nostro report, la causa principale delle violazioni informatiche è rappresentata dalle applicazioni di terze parti, a riprova di come il rischio di sicurezza diventi endemico quando l’ecosistema aziendale si espande e diventa esteso. Questo, insieme alla presenza di un ambiente distribuito, rafforza la necessità di ripensare gli approcci alla sicurezza.
Il problema della sicurezza informatica si è profondamente trasformato. Questo cambiamento di rotta è in corso da tempo, con la domanda di mobilità e flessibilità che hanno frammentato il perimetro aziendale. Gli eventi dell’ultimo anno, poi, lo hanno completamente cancellato.
Sono finiti i giorni in cui l’IT si concentrava sulla protezione dei desktop di proprietà dell’azienda per i dipendenti che lavoravano in ufficio, connettendosi alle applicazioni aziendali in esecuzione sui server in un data center aziendale. Oggi i lavoratori da remoto si connettono ad applicazioni in esecuzione su infrastrutture che possono o meno essere gestite, possedute o controllate dall’azienda.
Con così tante nuove superfici e diversi tipi di ambienti da difendere, i controlli degli endpoint e della rete devono essere altamente adattabili e flessibili. Questo significa che le organizzazioni devono fornire una sicurezza che segua attentamente le risorse da proteggere. Per la maggior parte, questo significa affidarsi al cloud.
Sicurezza cloud-first, con le dovute cautele
Il passaggio a una strategia di sicurezza cloud-first è universale, nello sforzo per proteggere l’ambiente cloud-first. Tuttavia, questo passaggio porta anche determinate sfide. Il cloud non rappresenta certo una panacea per la sicurezza, e i controlli devono comunque essere monitorati dalle organizzazioni: se gli avversari vogliono attaccare su scala, il cloud è il luogo perfetto per farlo. Gli attacchi cloud-based, infatti, rappresentano il tipo di attacco più comunemente osservato a livello globale. Gli avversari sono pronti a sfruttare la trasformazione digitale intrapresa dalle aziende, ed è pressoché certo che vedremo attacchi cloud sempre più sofisticati nel corso del prossimo anno.
Il 2020 ha mostrato quanto sia importante la cybersecurity per la resilienza e la business continuity delle aziende in tutto il mondo. Le aziende sono in una posizione di forza per cogliere questa opportunità e andare oltre i silos degli approcci legacy e implementare strategie in cui la sicurezza è unificata, adattata al contesto, e intrinseca.
