Dieci regole per la gestione del rischio cyber nel post lockdown
È fondamentale dotarsi di una strategia che ci permetta di sopravvivere in un contesto così complesso
Nel periodo di lockdown a causa dell’emergenza COVID abbiamo assistito ad un deciso incremento del lavoro da remoto; 1,8Mil di lavoratori si sono trovati in questa condizione con un incremento quasi istantaneo di circa 1,6Mil.
Ovviamente, per le aziende questa nuova situazione ha comportato la necessità di adeguare le proprie infrastrutture a volte solo in termini di capacità ma altre volte anche in termini di funzionalità. In questo frangente, la sicurezza delle informazioni e il controllo degli accessi sono stati per tutti una vera preoccupazione. Chi disponeva piattaforme di collaborazione realizzate on-premise ha dovuto aumentarne la capacità in base all’aumento degli utenti che – ad esempio – hanno iniziato ad utilizzate i servizi di videochiamata e allo stesso modo è stata incrementata la capacità delle VPN magari aggiungendo un secondo fattore di autenticazione. L’acquisto di PC portatili ha registrato un’impennata per consentire anche a chi non ne era dotato di continuare ad operare da casa.
Diversa, invece, la situazione per le aziende che – al momento del lockdown – avevano già tutta l’infrastruttura di posta e di collaborazione in cloud. Queste aziende non hanno avuto problemi di scalabilità e, inoltre, hanno potuto abilitare ulteriori controlli di sicurezza con semplici configurazioni e senza dover attivare (come nel caso di infrastrutture on-premise) processi di ingegneria che di solito sono lunghi e costosi.
I primi take away dall’esperienza fatta sono quindi:
1. Non bisogna aver paura del cloud. I vantaggi in termini di scalabilità, semplicità e velocità sono troppo rilevanti per essere ignorati, anche dal punto di vista della sicurezza;
2. La visibilità è necessaria a tutti i livelli. Una moderna infrastruttura di sicurezza deve avere capacità di visibility sugli endpoint, sulla rete corporate ma anche e soprattutto sul cloud se l’azienda (e ormai tutti lo fanno), ha posizionato in cloud sistemi di business.
L’aumento del lavoro da remoto incrementa in modo significativo la superficie digitale attaccabile e, di conseguenza, aumenta anche il rischio cyber. Faccio un esempio: nella prima settimana di settembre tante aziende sono state interessate da una campagna di phishing generata a partire da mail «reali» scambiate in precedenza dai destinatari di tale campagna con clienti o fornitori, probabilmente derivate da breach dei medesimi; la campagna aveva l’obiettivo di diffondere il malware Emotet, testa di ponte per il ransomware Ryuk o per il banking trojan Trickbot. La particolarità di questa campagna è stata quella di usare tecniche di social engineering piuttosto evolute, in quanto le mail di phishing apparivano come reply a mail effettivamente inviate dal mittente ad una sua controparte. Questo caso testimonia l’aumento della complessità delle campagne di attacco che tentano di sfruttare l’aumento esponenziale della superficie digitale nel periodo Covid.
Quindi:
3. Il rischio cyber cresce e il phishing è la minaccia principale. La mail si conferma il principale vettore di attacco.
4. Di fronte al phishing, la formazione e l’allenamento dei propri collaboratori ad affrontare queste situazioni è fondamentale. Di solito si parla dell’elemento umano come l‘anello debole della catena ma, se adeguatamente formato ed allenato, l’elemento umano può essere l’elemento più forte della catena. Sta a noi aiutarlo a riconoscere queste situazioni.
5. I filtri anti-malware e anti-APT esistono e funzionano; non si può prescindere dall’averli attivi, anche le PMI dovrebbero averli, e dovrebbero funzionare sempre alla massima efficienza.
Di fronte all’aumento della complessità che deriva dall’aumento esponenziale della superficie digitale, per chi si occupa di cybersecurity, non è più sufficiente concentrarsi solo di vulnerabilità. La nuova situazione ci deve portare a lavorare su tutti gli elementi del modello di gestione del rischio cyber e considerare anche le minacce (gli attaccanti), i vettori di attacco, le tecniche di attacco e gli impatti potenziali. Non è sufficiente, quindi, limitarsi a studiare le vulnerabilità, ma è importante abbracciare un approccio più ampio in cui rientrino anche gli attaccanti, le loro motivazioni, gli strumenti di cui dispongono e le loro tecniche di attacco tipiche.
Sulla base di quest’analisi è possibile costruire degli scenari di rischio che vanno monitorati nel tempo. Sono i TOP RISK (diversi da azienda ad azienda) che devono – loro sì – diventare una specie di ossessione. La loro analisi, inoltre, deve tener conto dell’impatto di business che è il punto di contatto tra la gestione tecnica e la gestione manageriale dell’azienda. È il modo in cui uno dei rischi connessi alla digitalizzazione delle aziende rientra nella più complessiva gestione dell’Enterprise Risk.
Questo approccio è fondamentale per dotarsi di una strategia che ci permetta di sopravvivere in un contesto così complesso. I top risk vanno gestiti tramite controlli che vengono realizzati tramite progetti e sono periodicamente discussi con il management, con il quale vengono prese le decisioni chiave per l’azienda. Credo che questo sia un importante salto di qualità.
Quindi:
6. Bisogna far evolvere l’approccio passando dalla gestione di vulnerabilità alla gestione di scenari di rischio.
7. È utile dotarsi di un servizio di Threat Intelligence scelto tra quelli che fanno più al proprio caso.
8. I TOP RISK vanno monitorati costantemente e la loro valutazione deve essere oggetto di reporting periodico al management.
Chiudo con un’ultima notazione, anche questa tipica del nostro mondo negli ultimi 10 anni: facciamo tutto in casa o ci facciamo aiutare dall’esterno, acquistando servizi gestiti?
Questo è un altro tema “storico” per chi si occupa di sicurezza informatica che – spesso – è restio ad accettare l’idea di dare troppa visibilità all’esterno di ciò che accade in casa propria.
A parte, però, la giusta riservatezza, credo che per affrontare lo scenario che ci troviamo di fronte, siano necessarie competenze elevatissime e in quantità considerevoli. Le PMI, ma anche molte grandi aziende, non possono permettersi team di questo tipo e quindi – gioco forza – devono rivolgersi a società specializzate nell’erogazione di servizi di questo tipo. Cosa serve quindi?
9. Scegliere il/i propri partner con cura, considerando sia le competenze di cui dispongono che la relazione di trust che si riesce a stabilire.
10. Una volta fatto questo, è necessario adattare i propri processi all’interazione con il/i partner selezionato/i, evitando sia eccessive deleghe di responsabilità sia possibili zone d’ombra, perché ci sia un’attribuzione di responsabilità chiara soprattutto per processi critici come – ad esempio – la gestione degli incidenti.
Di Marcello Fausti