Le Imprese Estese sotto Minaccia. E’ questo il titolo della terza edizione di Italia Threat Report di Vmware Carbon Black. La ricerca, condotta per comprendere sfide e problematiche che le imprese italiane devono affrontare nell’attuale contesto rivoluzionato dall’emergenza sanitaria, individua le tendenze dell pirateria informatica, le modalità di attacco e l’impatto che le violazioni hanno avuto sui risultati e sulla reputation. Sotto la lente ci sono gli approcci adottati dalle organizzazioni del nostro Paese nello sfruttare le nuove tecnologie per garantire la sicurezza e la business continuity in un contesto critico anche per la complessità degli ambienti da proteggere.
Vmware Carbon Black ha commissionato il sondaggio a Opinion Matters attraverso interviste a oltre 3.000 Cio, Cto e Ciso, di aziende di un’ampia gamma di settori, oltre 250 i CxO italiani, in un progetto a livello globale i cui risultati sono stati presentati per la prima volta in questi giorni, con uno spaccato particolare per quanto riguarda l’impatto della pandemia di Covid-19 indagato da Opinion Matters tra marzo e aprile 2020 su circa 1000 CxO provenienti da Italia, Singapore, UK e Usa cui è stato chiesto un parere sulle sfide operative e di sicurezza legate all’emergenza. Ne parliamo con Rick McElroy, cyber security strategist VMware Carbon Black e Paolo Cecchi, regional sales manager Italy & Adriatics.
“Gli attaccanti utilizzano metodi sempre più sofisticati e l’emergenza ha contribuito ad esaltare fenomeni e pratiche già in atto. Di sicuro, per esempio, l’utilizzo massivo degli strumenti per il remote working – spiega McElroy – ha alzato il livello di attenzione del cybercrime per quanto riguarda i tentativi di violazione dei domini, delle piattaforme di collaboration, e quindi sono cresciuti i tentativi di spoofing e di violazione degli account in primis per esempio attraverso i tentativi di phishing“.
Un quarto degli intervistati (25%) ha dichiarato che “l’incapacità di implementare l’autenticazione a più fattori costituisce la più grande minaccia per la propria azienda”. Al secondo posto, con il 21%, il malware legato alla pandemia Covid-19, e al terzo posto le e-mail di phishing (11%). Con il 9,5% che cita le inefficienze riguardanti l’accesso remoto, il 9% l’impossibilità di distribuire tempestivamente le patch del software, e il 6% il ransomware.
Sono le persone, in primis, il bersaglio intermedio, ma allo stesso tempo ancora poco, si fa per la messa in sicurezza di tutta l’infrastruttura, tanto più negli scenari cloud distribuiti, considerata anche l’evoluzione delle minacce.
E la complessità infrastrutturale non aiuta. “Vero – conferma McElroy – la complessità resta tra le principali nemiche della sicurezza. Insieme all’utilizzo di un elevato numero di strumenti che difficilmente lavorano orchestrati tra loro, o comunque non consentono la visibilità necessaria”. La ricerca svela che i professionisti della sicurezza informatica italiani utilizzano in media più di otto diversi strumenti o console per gestire il proprio programma di difesa informatica.
Prevale quindi un approccio alla sicurezza di tipo reattivo, che poggia su strumenti adottati nel tempo per fronteggiare le nuove minacce. Lo conferma, in particolare per lo scenario italiano Paolo Cecchi: “In Italia, per esempio, quando si parla di threat hunting, sembra che oramai rappresenti una pratica consolidata che accomuna tutte le aziende, in tutte le edizioni del Threat Report è emerso sempre questo dato con percentuali elevatissime, nell’ultima edizione addirittura del 100%, ma basta approfondire per comprendere che non è così, o almeno non così intende Vmware il threat hunting Vmware“.
Non si tratta solo di avere la disponibilità di dati, consumabili dai sistemi di analytics, per individuare le minacce; invece servono “analisti competenti, la ricerca proattiva e iterativa delle minacce, threat intelligence per avere evidenza di quanto accade all’interno dell’organizzazione, e occorrono i tool per farlo in modo automatizzato e semplificato, quindi una componente Edr (Enterprise Detect and Response), piena visibilità sull’endpoint nel tempo”.
La proposta Vmware Carbon Black, nello specifico, porta la protezione degli endpoint in modalità nativa nel cloud, significa che mentre altre soluzioni raccolgono solo un set di dati relativo a ciò che è già riconosciuto come “malware”, Carbon Black invece raccoglie continuamente dati sull’attività degli endpoint e analizza i modelli di comportamento degli aggressori per rilevare e bloccare gli attacchi ancora non riconosciuti. Soprattutto VMware Carbon Black Cloud consolida diverse funzionalità per la sicurezza degli endpoint utilizzando un unico agente e un’unica console per rispondere a potenziali incidenti in modo proattivo.
Con una specifica, evidenziata da McElroy: “Gli ambienti chiusi e difficili da gestire, forniscono fin da subito un vantaggio agli aggressori”. Quando la sicurezza non coincide con una caratteristica intrinseca dell’ambiente, ma è “costruita sopra”, attaccare facile. Per questo è meglio “pensare in modo strategico e fare chiarezza sull’implementazione della sicurezza”. “E – si aggancia e insiste Cecchi – sarebbe importante adottare un atteggiamento proattivo invece che reattivo. Nel periodo di lockdown, per esempio, la prima preoccupazione è stata di mettere in condizioni i dipendenti di lavorare da remoto, solo in una seconda fase si è pensato anche alla sicurezza, ma soprattutto, è abbastanza preoccupante l’approccio di alcune nostre aziende che in questa fase di transizione pensano che aspettare di vedere come evolve la situazione sia l’atteggiamento migliore”.
La sicurezza nell’emergenza
I numeri supportano le tesi di McElroy e Cecchi, con le evidenze più interessanti legate proprio al periodo Covid-19. Il 90,5% degli intervistati italiani ha dichiarato di aver visssuto un incremento degli attacchi informatici complessivi per il remote working. Poco meno di un sesto riferisce dell’aumento tra il 50% e il 100% e il 39% accenna ad incrementi tra il 25 e il 100%. E’ il 72% delle aziende con un numero di dipendenti tra 251 e 500 a dichiarare gli incrementi maggiori negli attacchi, con la consapevolezza che tutte le aziende sono nel mirino.
L’aumento percentuale medio degli attacchi è stato del 24,24%. Sul banco degli imputati in primis proprio la scarsa pianificazione delle strategie di disaster recovery su cui quasi la metà degli intervistati evidenzia lacune significative, ma ben il 90% comunque segnala carenze di varia entità. L’81% riferisce di lacune nella pianificazione delle misure da adottare in caso di emergenza anche nell’ambito della comunicazione con soggetti esterni, tra cui clienti già acquisiti, potenziali clienti e partner.
Un aspetto importante anche perché i piani per la business continuity e per “recuperare” eventuali danni, sono essenziali anche per la compliance con i regolamenti. McElroy sottolinea: “Le supply chain sono diventate sempre più digitali, e in uno scenario in cui tutti gli attori sono interconnessi è evidente come non adeguare la propria organizzazione ad uno standard di sicurezza elevato possa avere come conseguenza immediata quella di ritrovarsi isolati o comunque non in grado di collaborare o, ancora peggio, di fare da vettore agli attacchi”.
Si inserisce in particolare proprio su questo punto la riflessione d’obbligo sull’island hopping. In pratica parliamo del processo di attacco alle difese informatiche di una società attraverso l’indebolimento della sua rete di partner vulnerabili, piuttosto che lanciando un attacco diretto.
L'”infiltrazione” quindi avviene attraverso le aziende partner più piccole e spesso meno sicure che per gli aggressori rappresentano un punto d’appoggio nella rete connessa per sfruttare la relazione tra le due società ed ottenere l’accesso ai dati dell’obiettivo più ambizioso (durante la Seconda Guerra Mondiale è stata la strategia adottata dagli Usa nella campagna contro il Giappone, da qui il nome).
In Italia negli ultimi dodici mesi la causa più frequente delle violazioni è stata identificata nel cosiddetto island hopping nel 26% dei casi, con i vettori di attacco nella catena di approvvigionamento che si sono dimostrati essere un facile bersaglio per gli hacker, quindi sono state prese di mira le vulnerabilità del sistema operativo (18%) e gli attacchi ad applicazioni web (14%).
“Serve una collaborazione crescente tra i team di sicurezza e il managament, tra tutti i CxO per intendersi, e di sicuro lavorare per rimuovere la complessità che appesantisce il modello attuale”, prosegue McElroy che vuole evidenziare in proposito i benefici della proposta Vmware Carbon Black: “L’approccio corretto è lavorare alla sicurezza intrinseca su applicazioni, cloud e dispositivi per ridurre significativamente la superficie suscettibile di attacchi, e guadagnare visibilità sulle minacce. Stiamo lavorando a questo proposito anche alla virtuosa integrazione della protezione degli endpoint nel cloud sulla base delle potenzialità di Vmware Cloud Foundation“.
© RIPRODUZIONE RISERVATA
