Come rispondere meglio e più velocemente alle crescenti minacce informatiche facendo leva su funzionalità evolute di analisi e rilevamento delle minacce. Ne parliamo con Stefano Maccaglia, Practice Manager Incident Response Global di NetWitness, alla guida del team che a livello internazionale gestisce il supporto alle aziende con attività che ne elevano la capacità di difesa. Il manager delinea una panoramica dei principali cyber threat, sottolineando quanto strategico sia oggi per le imprese poter contare su team di Incident Response per limitare i danni e sradicare le minacce dai propri sistemi. Spunto iniziale è una recentissima survey di Bitkom che rileva come nel solo 2023, le attività di cyberspionaggio, frode ed estorsione informatica stiano costando alla Germania oltre 206 miliardi di euro.
Ma qual è il collocamento dell’Italia in questo contesto? “Quantificare il fenomeno italiano non è semplice, soprattutto perché manca visibilità – esordisce Maccaglia -: ancora oggi scontiamo il fatto che molte aziende evitano di rapportarsi al pubblico e non dichiarano gli attacchi subiti, per cui non si ha un reale polso di ciò che accade all’interno delle loro mura informatiche. Possiamo però sicuramente dire che l’Italia non è da meno dal punto di vista delle frodi, degli attacchi e del cyberspionaggio, essendo da sempre un terreno “conteso” dai cybercriminali e dalle cyber-spie”. Ciò a cui si assiste in generale è la crescita dei danni di queste attività, prosegue il manager, “con l’aggravante che in Italia esistono molte piccole e medie imprese che non dispongono di budget importanti da destinare alla sicurezza informatica. Queste aziende sono spesso inconsapevoli di essere vittime di frodi e lo scoprono in modo doloroso solo quando si accorgono che i layout dei loro prodotti sono stati clonati e rivenduti sui mercati esteri ad aziende concorrenti, soprattutto asiatiche o dell’Est europeo. In termini economici, dunque, il danno in Italia è sullo stesso ordine di grandezza di altri paesi, ma in termini sociali e di perdita di know-how e proprietà intellettuale lo scenario del nostro paese appare ancora più grave”.
Vulnerabilità e tecniche di attacco più attuali nelle attività dei cybercriminali. “A livello globale, il fenomeno del ransomware è ormai inarrestabile –dichiara Maccaglia –. Nella sua nuova forma in circolazione, innescata con la pandemia, gli attaccanti colpiscono le aziende soprattutto per chiedere un riscatto, seppure spesso, anche a fronte di vittime che hanno la scriteriata intenzione di pagare, l’attaccante rinuncia alla riscossione perché i dati di cui si appropria sono già estremamente preziosi e vendibili. I ransomware rappresentano dunque la piaga odierna e un fenomeno frequentissimo anche in Italia, dove ad essere colpite in modo indistinto sono sia Pmi che grandi imprese; se misuriamo l’entità degli impatti, sono quelli che provocano il maggior danno finanziario, direi nell’ordine del 60-70%. Ma al fianco del ransomware vediamo anche gli attori del cyber-spionaggio che stanno operando a livello globale in maniera importante, o quelli delle frodi finanziarie più sofisticate che prendono di mira le banche. Da sempre nell’orizzonte della cybersecurity, questi attori non hanno perso la loro capacità di colpire ed evolvono anch’essi. E’ di questi giorni la notizia di alcuni attaccanti che hanno iniziato a sfruttare nuove vulnerabilità sui device di Vpn Cisco o gli exploit recentemente pubblicati nel mondo Juniper Networks. Anche in questo caso, l’Italia non è esente dalle minacce, protagonista di fenomeni di cyber-spionaggio importanti, ulteriormente intensificatisi con l’inizio del conflitto russo-ucraino, nonché attività di smishing, molto presenti nel nostro mercato. Questa frode, che ha come vittime tipicamente i vettori di spedizione, non è nuova ma si sta propagando in maniera molto significativa negli ultimi tempi, soprattutto a livello EMEA, in Italia e Spagna particolarmente, e in Medio Oriente”.
Le recenti pubblicazioni di vulnerabilità e relative fix per i firewall sono da considerarsi un trend consolidato o solo una situazione occasionale? Risponde Maccaglia: “Sono già tre o quattro anni che si sono affacciate sul mercato tecniche che sfruttano le vulnerabilità a danno dei dispositivi di rete, ma la quantità di exploit recentemente pubblicati rappresenta certamente un picco importante rispetto al passato. Che sia o meno un trend, è comunque certo che il mondo cybercriminale e il mondo del cyber-spionaggio stia cercando di trovare strade sempre più inesplorate per arrivare a svolgere frodi, considerando che anche la ricerca ha intensificato da parte sua le proprie analisi e individuato una serie di tecniche note”.
A fronte degli attacchi, quali sono le attività da attuare nel corto-medio periodo. “Le raccomandazioni generali valgono sempre e si traducono in una buona capacità sia reattiva che proattiva, sulla base di simulazioni e studi – dichiara Maccaglia –. Certo è che, in questo periodo, anche in virtù dell’aumentata quantità di attività da parte di attori di più bassa lega ma purtroppo estremamente attivi, come le gang dei ransomware e i loro affiliati, è importante focalizzarsi in modo particolare sull’approccio proattivo, attraverso un’analisi fattuale della postura dell’azienda in rapporto a normative e best practice internazionali e, soprattutto, fare un assessment delle configurazioni dei device per aumentare la percezione della postura dell’azienda e per individuare eventuali problematiche o area grigie, nelle quali manca visibilità. La combinazione perfetta tiene quindi conto sia di una tecnologia che garantisca questa visibilità, ma anche di un team di IR in grado di supportare le aziende, da un lato ad acquisire le practice necessarie ad una reazione immediata in caso di attacco, e dall’altro quelle competenze ed esperienze che consentono di intervenire per poter espellere il malware all’interno dell’azienda, nel caso in cui, invece, il breach si sia verificato”.
Se l’azienda non ha al proprio interno questa capacità reattiva, è evidente che la miglior scelta sia quella di rivolgersi a un partner specializzato, che ha bisogno, tuttavia, della massima visibilità possibile dell’azienda per poter offrire la copertura necessaria. In questo contesto, come NetWitness riesce a mettere in atto le migliori strategie con strumenti innovativi? “L’esperienza e le competenze del personale di cybersecurity rappresentano la prima caratteristica che contraddistingue la nostra azienda – afferma Maccaglia, facendo riferimento al team globale che lavora su un patrimonio investigativo costruito negli anni ed è costantemente al fianco di istituzioni governative e grandi aziende a livello internazionale. “L’ampia visibilità sui vari contesti, ci permette di essere estremamente più efficaci dei partner locali – sottolinea –. L’altro elemento che ci contraddistingue è la rapidità: sappiamo che il tempo in caso di incidente è la risorsa principale, e più rapidi siamo nell’identificare la minaccia e le dimensioni dell’incidente, più rapida è la messa a punto delle strategie utili a superare l’incidente stesso. Operiamo seguendo il modello follow-the-sun, con un’attività che si snoda attraverso analisti che operano in tutto il mondo, e possono passarsi la palla l’uno con l’altro, avendo nel tempo sviluppato importanti capacità di collaborazione e basi tecniche sulle quali investiamo. Non aspettiamo che il cliente subisca l’incidente per dare supporto, ma condividiamo costantemente raccomandazioni e prepariamo i clienti, tenendo conto, anche, che ogni realtà ha le sue logiche e le sue peculiarità e necessita, quindi, di un intervento customizzato da parte nostra. Tutte ragioni per cui, chi si rivolge a noi, può contare su un team di Incident Response in grado di coprire a tutto tondo le esigenze proattive e reattive della cybersecurity“, conclude Maccaglia.
Leggi anche l’intervista Pellegrini (NetWitness): Amplificare la visibilità di Voice of NetWitness
Leggi anche l’intervista Alfonsi (NetWitness): Intercettare tutti i segnali in rete di Voice of NetWitness
© RIPRODUZIONE RISERVATA
