Il #SecurityBarcamp, a ogni inizio d’anno, è per Trend Micro un momento di confronto  sul panorama della sicurezza informatica nel quale indicare le linee guida per contrastare le minacce. 

Nello scorso appuntamento si era parlato del passaggio a un nuovo decennio di svolta per la cybersecurity. L’edizione 2021 del #SecurityBarcamp si apre in uno scenario completamente mutato, dove il cambiamento epocale è già avvenuto e costringe tutti a muovere i primi passi in un mondo post pandemia, che impatta fortemente sulla sicurezza.

“Ci eravamo lasciati a gennaio 2020 su una terrazza di Milano parlando di perimetri liquefatti e di come il vecchio paradigma di protezione della rete aziendale non fosse più sufficiente – esordisce Lisa Dolcini, head of marketing di Trend Micro -. Una previsione azzeccata ma che subisce oggi una forte accelerazione che ci catapulta in questa nuova realtà. Le aziende si sono trovate a doversi reinventare cambiando il loro modo di operare e i rischi alla sicurezza precedentemente ignorati sono venuti alla luce. Oggi il tema principale è quello dell’home working e dell’utente finale che diventa il principale veicolo per sferrare gli attacchi all’interno di ambienti ibridi, che vanno protetti”.

Un intensificarsi delle minacce che ha già creato molte vittime del cybercrime e che nei prossimi mesi si prevede possa generare una nuova ondata di attacchi per colpire il lavoro remoto, mettendo a repentaglio la sicurezza, tra vecchie e nuove forme di attacco. Uno scenario che vede peraltro il nostro Paese tra i più vulnerabili. L’indice di rischio informatico (ovvero il rapporto tra la struttura di security e la possibilità di essere attaccati) dà infatti l’Italia come zona ad alto rischio per quanto concerne gli attacchi.

Ed Cabrera, chief cybersecurity officer di Trend Micro
Ed Cabrera, chief cybersecurity officer di Trend Micro

Al di là dei confini italiani, interviene Ed Cabrera, chief cybersecurity officer di Trend Micro, per offrire uno sguardo globale. Il manager conferma la previsione di attacco all’utente finale e la necessità di focalizzare su di esso gli sforzi. “Tutto oggi è distribuito in un contesto in cui convivono tecnologie software, video, wearable, IoT – spiega –; non è dunque più sufficiente proteggere il perimetro fisico. Bisogna adottare le migliori tecnologie, consolidare le soluzioni ma anche orchestrare i processi. E collaborare a livello globale per incrementare la conoscenza, puntando sull’automazione come risposta. Una o due patch non bastano, bisogna mettere al centro il ruolo dell’individuo nel processo di sicurezza – concorda -, attribuendo responsabilità specifiche all’interno delle organizzazioni”.

Panoramica delle minacce

Il rapporto Turning the tide di Trend Micro, sottotitolo “La marea è salita, è ora di invertire la tendenza” dà il senso dell’urgenza di un cambiamento da parte delle imprese. Il report ci mostra il quadro delle minacce IT attese e suggerisce i percorsi più virtuosi da intraprendere.

Nel quadro futuro, la gran parte delle aziende continua a mantenere pratiche di smart working che fanno aumentare i rischi per le reti e i dati aziendali. La prossima ondata di attacchi si prepara a colpire i software utilizzati per il lavoro da remoto e i sistemi cloud; le postazioni di home office diventano così nuovi hub criminali. Le reti domestiche, in particolar modo, vengono utilizzate dai cybercriminali come teste di ponte per compromettere le infrastrutture aziendali e l’IoT.

Più a rischio, gli utenti con accesso regolare ai dati sensibili, come i professionisti HR che trattano dati personali o i direttori vendite che custodiscono le informazioni dei clienti. Gli attacchi possono sfruttare vulnerabilità conosciute all’interno dei software di collaborazione online, ma questo una volta rese pubbliche, piuttosto che in modalità zero-days. I software enterprise e le applicazioni cloud utilizzati per il lavoro da remoto sono bersagliati da bug critici.

Si assiste dunque al fiorire di modelli di business cybercriminali access-as-a-service che prendono di mira contestualmente le reti domestiche dei dipendenti, l’IT corporate e le reti IoT. Nel mirino, in particolare, le API che diventano il vettore di attacco preferito dai cybercriminali per due motivi: perché hanno accesso privilegiato alla rete e perché favoriscono l’interazione con le terze parti. Gli attaccanti possono così avere accesso a dati sensibili, codici sorgente e servizi back-end. 

Un’altra area sensibile è quella dei sistemi cloud, tra utenti inconsapevoli, configurazioni errate e criminali intenti a prendere il controllo dei server cloud per distribuire immagini di container dannose. Social engineering e campagne di disinformazione sul Covid-19 continuano ad essere l’esca per truffe agli utenti, continuando a porre sfide di cybersecurity alle aziende globali. Anche l’e-commerce, rafforzato dalla pandemia ne diventa a sua volta vittima, con il crimine organizzato che cerca di penetrare nel settore logistico man mano che l’online shopping aumenta. Reati come sabotaggio della produzione, contrabbando e trasporto di merci contraffatte emergono come modalità operativa dei cybercriminali.

Messaggio alle aziende

Per affrontare con efficacia questo scenario di crescente rischio, i team di security devono rivedere le policy del lavoro da remoto e rafforzare le contromisure. User education e corsi di formazione sono per Trend Micro la priorità per aumentare le competenze in materia di sicurezza. Ma anche controllare severamente gli accessi alle reti corporate e all’home office, rafforzare le misure di security e i programmi di patch management e migliorare il rilevamento delle minacce, adottando controlli estesi di XDR.

Trend Micro - Cosa possono fare le aziende
Trend Micro – Report Turning the tide – La marea è salita, è ora di invertire la tendenza – cosa possono fare le aziende

“Nel 2020 è stata gestita l’emergenza ma ora le aziende devono pensare a implementare una cloud security integrata come fondamento della propria strategia di difesa commenta Dolcini -.  Il passaggio al lavoro remoto e l’inarrestabile salto al cloud crea ambienti ibridi che vanno protetti; l’errata configurazione del cloud può essere un problema e richiede di valutare ingressi e vulnerabilità dei software di collaborazione. Bisogna ripensare le infrastrutture di security, non più sostenibili. I team addetti alla sicurezza devono raddoppiare gli sforzi sulla formazione degli utenti, adottare controlli estesi di rilevamento e risposta, con una verifica degli accessi adattiva”. 

In questo contesto, fondamentale il ruolo del partner che deve essere un consulente e non un venditore di singoli prodotti, con il compito di comunicare e di individuare all’interno delle aziende i campanelli di allarme. 

Settori sensibili, due testimonianze

Tra i settori più a rischio si trovano quelli che impiegano la telemedicina e, più in generale, le strutture sanitarie, soggette a furto di dati e spionaggio. Un contesto nel quale la sanità sconta un gap sull’uso di tecnologia rispetto ad altri settori.

Roberto Poeta, responsabile Sistemi Informativi della Fondazione Poliambulanza
Roberto Poeta, responsabile sistemi informativi. Fondazione Poliambulanza

Lo racconta Roberto Poeta, responsabile dei sistemi informativi della Fondazione Poliambulanza, ospedale privato no profit che conta circa 600 posti letto, 32.000 ricoveri e 84.000 accessi di pronto soccorso. “Il mondo sanitario è già sotto attacco da alcuni anni con azioni di phishing ma il Covid-19 ha messo in maggior evidenza le vulnerabilità del sistema – spiega -. Se vogliamo guardare all’unico effetto positivo, la pandemia ha dato impulso all’uso di nuove tecnologie, con una svolta nell’uso di software ma anche di soluzioni di telemedicina per sopperire al distanziamento. In rapidità e con risorse molto scarse è stato necessario ingegnarsi in un contesto disgregato anche per quanto riguarda i sistemi IT, il che ha dato una sponda al cybercrime. Oggi il patching non vale più, servono soluzioni alternative da mettere in campo subito. Le tecnologie di sicurezza devono essere inserite in un contesto vasto di processo e pervadere tutta la struttura organizzativa, dialogando tra loro e correlando gli eventi grazie all’uso di intelligenza artificiale. Indagini conoscitive sul livello di conoscenza, formazione e coinvolgimento del personale per aumentare la consapevolezza sono inoltre essenziali, insieme alla capacità di investimento con budget specifici, interventi non una-tantum ma di sistema”.

Gioacchino Buscemi, security accreditation and risk manager di Esa
Gioacchino Buscemi, security accreditation and risk manager di Esa

Estremo rigore sulla sicurezza è imposto anche al settore spaziale. “Lo spazio è anche un’area di guerra e dunque un contesto estremamente sensibile”, racconta Gioacchino Buscemi, security accreditation and risk manager di Esa – Agenzia Spaziale Europea. Dotata di reti di sicurezza molto evolute, Esa è tra le aziende che raccolgono continuamente i dati da archiviare nei propri sistemi in sicurezza. “Durante questo periodo abbiamo attivato la nostra filosofia di teleworking che adottiamo da dieci anni con un office totalmente remotizzato, anche sulla parte dei satelliti. Abbiamo messo in campo dei sistemi sia a livello di processi che di persone e tecnologie. Esistono policy precise a cui i dipendenti devono sottostare, come l’uso dei laptop esclusivamente per alcune funzioni o la creazione di “bolle di sicurezza” per l’uso della connessione. Abbiamo un Security Operation Center che gestisce la sicurezza a diversi livelli e teniamo alta la guardia su tutti i fronti. L’obiettivo è ridurre la superficie di attacco e i tempi di risposta con sistemi automatici”.

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE