Il modo in cui hacker e cybercriminali cercano di intrufolarsi nei sistemi delle aziende per sottrarre dati o provocare fermi macchina è radicalmente cambiato negli ultimi anni. Non mi riferisco tanto alle tipologie di attacco sferrato, quanto alle metodologie con cui vengono attivate e condotte campagne sempre più pervasive, persistenti e, purtroppo, efficaci.
Com'è cambiato (e continua a cambiare) l'approccio dei cybercriminali
Ransomware e frodi gestite tramite tattiche “man in the middle” continuano a essere i protagonisti di uno scenario sempre più esteso, che non risparmia nessun player. Se, anzi, fino a qualche tempo fa gli sforzi delle organizzazioni criminali erano concentrati sulle grandi aziende - per massimizzare il ritorno sul tempo e sulle risorse investite – oggi malware e agenti malevoli sfruttano algoritmi di Intelligenza Artificiale (AI) per automatizzare operazioni complesse di compromissione dei sistemi. Questo rende più conveniente un approccio a strascico. Cosa significa? Vuol dire che anche le imprese di taglia più piccola sono nel mirino, a maggior ragione se lavorano come fornitori di grandi aziende all'interno di filiere strutturate.
Se devo, infatti, pensare a una delle novità più rilevanti nel modus operandi degli attaccanti, non posso non citare la crescente attenzione verso le supply chain: la maggior parte delle corporation più strutturate ormai comincia a dotarsi di soluzioni avanzate per la cyber-resilienza, come le piattaforme MDR (Managed Detection & Response). Si tratta di una condizione assai più rara per le Pmi, in cui gli IT manager spesso fanno fatica a ottenere il budget di cui avrebbero bisogno per garantire livelli accettabili di sicurezza.
Consci di questo squilibrio, i cybercriminali vanno così alla ricerca di falle all'interno di ecosistemi sempre più interconnessi e interdipendenti: vere e proprie porte d'accesso che consentono di ottenere informazioni e privilegi in grado di agevolare le iniziative sferrate nei confronti di obiettivi più “sostanziosi”. Ecco perché nei prossimi anni verranno presi di mira in maniera indiscriminata e trasversale anche e soprattutto le realtà meno strutturate: già oggi le analisi condotte sugli attacchi andati a buon fine ci dicono che la logica delle kill chain riscontrate nelle piccole organizzazioni è uguale a quella degli attacchi personalizzati che qualche anno fa colpivano le grandi multinazionali. Il metodo è professionale anche quando si ha a che fare con aziende che non hanno più di 20 postazioni.
Il fenomeno, d'altra parte, segue a ruota la sempre più rapida evoluzione tecnologica degli strumenti a disposizione degli attaccanti. I motori di ricerca di nuova generazione sono in grado di individuare in maniera automatica vulnerabilità, punti di accesso o di interesse, identificando - attraverso attività di discovery sempre più accurate - la versione in uso di un determinato software, il suo livello di aggiornamento e gli eventuali backup effettuati. In base ai parametri riscontrati, così, si predispongono attacchi che riescono a essere allo stesso tempo pervasivi e mirati.
Superare i limiti culturali (ed economici) per una cybersecurity a misura d'impresa
Adattare il mondo del business a questo nuovo scenario significa, dal mio punto di vista, integrare nuove tecnologie e cultura del rischio, consentendo anche alle piccole e medie imprese di sviluppare in autonomia la propria cyber-resilienza.
Ho parlato prima del tema del budget come limite per molte Pmi. Ebbene, per superare il preconcetto che per avere soluzioni performanti occorrano per forza grandi numeri bisogna dimostrare al mercato che la cybersecurity è a portata di tutti. Cyberoo, per esempio, prevede offerte flessibili, a misura anche di piccolissima impresa, con listini che vanno da zero a migliaia di postazioni di lavoro. Uno sforzo commerciale che ci permette di stringere partnership sia con multinazionali, sia con startup e piccole organizzazioni che contano tre o quattro dipendenti.
A volte, invece, il budget c'è, ma la proprietà – spesso a causa della scarsa consapevolezza sull'impatto degli incidenti informatici – non è disponibile a sbloccarlo. In questi casi proponiamo ai nostri potenziali clienti un audit sullo stato effettivo della sicurezza aziendale, mettendo a disposizione dell'impresa un vero e proprio virtual CISO che metta nero su bianco non solo i pericoli che il business corre rispetto alle minacce che insistono sull'organizzazione, ma anche quali sono le probabilità con cui queste possono avverarsi. Con un servizio assolutamente sostenibile in termini di costi, i nostri interlocutori riescono a dare vita in tempi brevi a un processo che, da soli, non potrebbero gestire.
Numeri e dati alla mano, diventa così possibile evidenziare le vulnerabilità e stimare con ragionevole precisione le probabilità di un attacco e l'entità delle conseguenze, creando report accurati da condividere con il board: una vera azione culturale, oltre che di risk management, attraverso la quale accedere al capitale necessario ad attivare le dovute contromisure dovrebbe diventare più semplice.
Il giusto mix tra soluzioni tecnologiche, awareness e competenze
Questo naturalmente è solo il primo passo. Anche dopo essere riusciti a implementare una soluzione gestita di cybersecurity, è comunque necessario andare a caccia delle falle all'interno delle procedure e delle policy aziendali, risolvendole senza, però, ingessare l'operatività dei lavoratori. Per raggiungere un livello adeguato di awareness a volte bisogna pensare a piccoli escamotage che rappresentino un compromesso tra user experience e data protection, e che guidino tutte le tipologie di utenti nell'adozione di comportamenti consapevoli.
C'è, poi, naturalmente il fattore puramente tecnologico. In un approccio future-proof, l'ideale è non investire solo su tecnologie verticali, ma puntare soprattutto su soluzioni orizzontali. Se le prime, infatti, essendo tendenzialmente molto specializzate, rischiano una rapida obsolescenza, le seconde offrono non solo maggiore versatilità, ma anche l'opportunità di ammortizzare meglio l'investimento. Una soluzione MDR, per esempio, copre più aree tecnologiche e di business contemporaneamente. Essendo un servizio gestito, poi, si aggiorna in maniera automatica senza costi aggiuntivi.
Nel caso di Cyberoo, a questo si aggiunge il fatto che parte integrante della piattaforma Managed Detection & Response che offriamo è il servizio di monitoraggio H24 effettuato da un team di professionisti nel campo della cybersecurity. La tecnologia è il primo baluardo, ma non basta: occorrono anche quelle competenze specifiche che, grazie alla formazione continua, non invecchiano mai.
