Nell’ultimo periodo è difficile trascorrere una settimana senza che si sappia che un’azienda è stata violata o che un attacco ransomware abbia paralizzato un’infrastruttura o ancora che milioni di utenti abbiano perso i propri dati e la propria privacy.
Queste sono spesso le stesse imprese che spendono moltissime energie per salvaguardare i clienti, i dati e la loro reputazione.
Cosa sfugge allora? Si tratta di lacune tecnologiche? Serve potenziare policy e procedure interne? E’ forse solo ‘il prezzo da pagare’ per il modo moderno di fare business?
In questo articolo illustrerò alcune spiegazioni e consigli per le aziende, affinché possano mitigare i problemi di cybersicurezza che le colpiscono.
Le principali 5 tendenze che aumentano il rischio di cybersecurity nel 2022
Minacce e hacker sono numerosi e il loro numero non fa che aumentare. Ciò dipende da una serie di importanti cambiamenti tecnologici avvenuti negli ultimi anni che hanno contribuito all’evoluzione del panorama delle minacce.
1. Vulnerabilità nel software sempre più frequenti
Negli anni la caccia alle vulnerabilità è diventata popolare, grazie soprattutto alla diffusione dei programmi di “bug bounty” e delle piattaforme “hacker” che premiano i ricercatori e condividono le conoscenze. Questo non solo è un bene, ma è indubbiamente necessario.
Il rovescio della medaglia è il fatto che gli hacker possano accedere rapidamente alle pubblicazioni di ricerca e cerchino vittime che non sono ancora riuscite o non sono in grado di applicare le patch per tempo.
L’eliminazione graduale della tecnologia non patchabile e il potenziamento della visibilità sull’intero panorama digitale diventano imperativi indispensabili. Fino ad allora, il risultato finale è che la soglia per violare le organizzazioni immature o eccessivamente vulnerabili continuerà ad abbassarsi.
2. La natura ibrida delle reti moderne
Gli utenti e la loro identità rappresentano la nuova frontiera della cybersecurity: i collaboratori lavorano sempre di più a distanza, ma questo non libera l’impresa dai rischi; finché gli utenti sono connessi rimangono parte della rete, che si trovino in ufficio oppure in casa propria.
La nuova realtà di una forza lavoro distribuita modifica, aumentandolo, il rischio per le aziende, poiché gli hacker guadagnano maggiori possibilità di colpire gli utenti e gli endpoint in qualsiasi punto dell’intera supply chain.
3. La migrazione al cloud
Il cloud è la nuova frontiera: se da un lato le aziende crescono rapidamente, scalando la propria offerta, dall’altro è più difficile per i team di sicurezza rimanere al passo con i rischi. Per molte aziende è molto difficile comprendere a fondo le implicazioni per la sicurezza di AWS, Azure o altre risorse cloud, anche per quelle che dispongono di importanti servizi SOC.
A partire da configurazioni errate e compromissioni del cloud attraverso servizi vulnerabili (si pensi a Log4J), la protezione dei workload in cloud può essere un compito arduo; in particolare quando i carichi sono distribuiti su cloud pubblici, privati e data center on-premise.
4. Aumento degli attacchi ai dispositivi IoT
I dispositivi “smart” connessi a Internet hanno incrementato esponenzialmente le superfici di attacco per le organizzazioni. Dalle stampanti in rete alle telecamere di sicurezza, tutto ciò che è connesso a Internet può potenzialmente fungere da backdoor. Poiché gli attori delle minacce scansionano le reti con strumenti automatizzati, alla ricerca di qualsiasi segno di debolezza, gli amministratori hanno bisogno di strumenti automatizzati in grado di identificare e proteggere qualsiasi dispositivo non appena questo diventa parte della rete di riferimento.
5. Aumento del fenomeno BYOD e dell’autenticazione mobile
Sebbene l’uso di dispositivi mobili sul posto di lavoro sia ormai diffuso da diversi anni, i cellulari e l’autenticazione mobile continuano a creare nuove opportunità per gli attori malintenzionati intenti a rubare dati preziosi.
Tra gli esempi recenti, gli hacker utilizzano tecniche di social engineering contro gli utenti affetti dalla cosiddetta “stanchezza da MFA”, in cui molteplici notifiche push 2FA inducono gli utenti ad autenticare falsi tentativi di accesso.
Il quadro delle minacce è in forte espansione
La soglia di compromissione delle risorse aziendali è più bassa che mai. Le ragioni sono molteplici. Microsoft svolge un ruolo significativo in questo settore, come produttore del sistema operativo di riferimento.
Ci sono davvero troppi modi per gli aggressori di utilizzare le vulnerabilità per infiltrarsi nelle reti protette. Alcuni esempi recenti sono ProxyLogon, Hafnium e molti altri.
I punti chiave del vademecum perfetto per un CISO
- Fare il proprio dovere: essere al corrente e aggiornati sulle “best practice” diventa un must improrogabile, per assicurarsi che non ci siano modi troppo semplici di compromettere risorse. L’autenticazione multi-fattore, l’implementazione di difesa su ogni computer, risorsa cloud e dispositivo mobile. Conoscere i propri avversari, simularne gli attacchi e accertarsi che i processi di reazione all’incidente siano noti e ben collaudati. Fare backup. Queste non possono essere trattate solo come raccomandazioni, diventano doveri assoluti!
- Creare una coalizione: la sicurezza informatica non è una sfida solo per il CISO ma è diventata una priorità per l’azienda. Il CISO deve quindi diventare il riferimento per la security, ma anche l’informatore, il divulgatore che si assicura che tutti in azienda siano ben consci dei rischi e del loro ruolo rispetto alle strategie di security dell’azienda. Condividere notizie, simulare risposte agli incidenti, creare consapevolezza.
- Informarsi e informare: mantenere i dipendenti informati sui rischi della sicurezza informatica: ransomware, compromissione di business mail (BEC), frodi e altri cybercrimini. Se una notizia merita la prima pagina sui giornali, deve meritare l’attenzione assoluta dei nostri utenti aziendali. Che ne devono comprendere i rischi per la propria attività e produttività.
- Ottenere un punto di vista esterno: assicurarsi che non ci siano punti ciechi all’interno dell’azienda e identificarli prima che lo facciano gli hacker: dipendentemente dai limiti di budget questo può significare effettuare dei red team, oppure attività di simulazione tecnologica, oppure ancora programmi di bug bounty.
- Conoscere le risorse aziendali: gli attacchi incentrati sul cloud sono un’area di interesse in rapida crescita per i cyber criminali: quanto bene si conoscono le implicazioni di sicurezza nell’istanziare risorse in AWS o Azure? Quanti di questi sono sotto controllo? Quanto è conosciuta e gestita l’esposizione di container?
- Ricordare gli attacchi alla supply chain: gli attacchi tendono a cercare la via d’accesso più facile. La tecnologia può aiutare a massimizzare la visibilità dell’intero patrimonio informatico, partendo da una visibilità capillare ma al tempo stesso consumabile nell’esposizione aggregata delle informazioni. Notizie recenti come Solarwinds e Kaseya ci hanno insegnato l’importanza di un controllo che debba estendersi al software e ai componenti condivisi utilizzati dalle catene di sviluppo del software
Conclusione
Non esistono prodotti miracolosi e la cybersecurity rimane una sfida che richiede concentrazione, conoscenza e l’adozione delle giuste soluzioni che rispondono alle esigenze aziendali. SentinelOne è al fianco dei CISO per aiutarli a vincere la battaglia per la sicurezza aziendale.
Per ulteriori informazioni consultare www.sentinelone.com