Sfide della protezione di base IT
Affinché la sicurezza IT rimanga davvero sicura
I responsabili della sicurezza IT devono tenere d’occhio gli sviluppi tecnologici e le esigenze del «business». Un compito che nel periodo attuale non risulta di certo facilitato. Uno sguardo alle sfide strategiche della prevenzione della sicurezza.
Testo: Andreas Heer, pubblicato per la prima volta il 13. settembre 2019, aggiornato il
All’inizio del 2020, gli specialisti di Risk Based Security hanno evidenziato un calo significativo delle nuove falle nella sicurezza e di conseguenza un minor potenziale per nuovi exploit, di cui i responsabili della sicurezza IT avrebbero dovuto occuparsi. Il 2020, iniziato sotto buoni auspici, ha subito un’inversione di rotta nel giro di pochi mesi. La crisi dovuta al coronavirus e l’aumentato ricorso all’home office hanno determinato una massiccia intensificazione degli attacchi informatici. Bersaglio sono stati i notebook aziendali e gli apparecchi privati dei collaboratori che lavoravano da casa, le cui connessioni internet e le WLAN domestiche risultano spesso protette in modo non adeguato rispetto alle reti aziendali locali.
La prevenzione della sicurezza impedisce la routine quotidiana
Mentre strade e treni si svuotavano, le linee si riempivano di e-mail di phishing: presunte informazioni sul coronavirus da mittenti fasulli che si spacciavano per canali ufficiali, e-mail contenenti link a mappe sul coronavirus in internet e fantomatici messaggi da chat e siti di incontri online, che ormai spopolano in rete.
E tra questi c’era anche una vecchia conoscenza. Il Ransomware-as-a-Service REvil, alias Sodinokibi, è comparso per la prima volta nell’aprile del 2019 e, secondo diverse fonti, è stato il responsabile di circa un terzo di tutti gli attacchi ransomware nel 2020. Si tratta di un malware che agisce in modo subdolo: non solo cripta i dati presenti sui sistemi colpiti, ma ruba anche le informazioni. Ciò significa che, anche se un’azienda se l’è cavata senza pagare un riscatto grazie a una strategia di Disaster Recovery, ha comunque dovuto far fronte a un furto di dati. E mentre fuori sbocciava la primavera, all’interno delle aziende i CISO svolgevano una dettagliata analisi dei rischi.
È possibile organizzare al meglio l’home office e stabilire delle misure di prevenzione apposite. Ma tali misure sono all’altezza se all’improvviso la maggior parte dei collaboratori deve lavorare da casa? La larghezza di banda e le risorse degli accessi VPN e RDP sono sufficienti? Cosa ne è degli aggiornamenti dei notebook aziendali? E i collaboratori vanno sensibilizzati maggiormente in merito ai pericoli dell’ondata di phishing in vista?
I responsabili della sicurezza devono costantemente verificare il livello di adeguatezza delle misure di protezione da loro messe in atto rispetto alla situazione attuale. La crisi causata dal coronavirus, insieme agli attacchi sempre più sofisticati, impediscono che il lavoro quotidiano di un CISO diventi routine. Le risposte a queste domande, parte integrante della gestione del rischio, sono fondamentali per adeguare la strategia di sicurezza IT e la protezione di base.
Trovare le risposte: l’ago nel pagliaio
Porre domande come «La nostra azienda è interessata dal phishing e le misure di protezione funzionano?» è facile. Rispondere non lo è. Perché a tal fine il CISO ha bisogno di dati provenienti da varie fonti. Forse il log del firewall mostra che un malware ha cercato di raggiungere il server Command&Control dalla rete locale. Ma a chi appartiene il computer infetto con l’indirizzo IP registrato è riportato in un altro log, quello del server di autenticazione.
Idealmente, queste informazioni confluiscono in un dashboard centrale. Un simile Security Information and Event Monitoring (SIEM) o una piattaforma Security Analytics aiutano a ottenere una rapida visione d’insieme degli incidenti tecnici e trovano l’ago nel pagliaio dei file log. Ciò è letteralmente centrale per reagire agli incidenti rilevanti per la sicurezza. Ma anche per adattare le misure di protezione esistenti.
Conciliare le esigenze del business e della sicurezza
Al piano tecnico delle misure di sicurezza IT se ne aggiunge uno organizzativo che individua qual è il livello di sicurezza (security posture) necessario per i singoli sistemi. Quali sono gli ambienti critici per il business e in quali settori si possono eventualmente tollerare problemi?
E, non da ultimo, in considerazione delle disposizioni normative e delle leggi sulla protezione dei dati, il CISO deve sapere dove i dati vengono salvati ed elaborati. Solo dall’insieme di queste informazioni un responsabile della sicurezza può dedurre raccomandazioni d’intervento e formulare consigli strategici coerenti con la strategia aziendale. La sicurezza IT deve adattare le sue misure alle esigenze dell’attività operativa senza limitarne la capacità di agire: un equilibrismo.
E al più tardi quando, proprio come avviene ora, i collaboratori in home office accedono alle applicazioni aziendali dal cloud, si nota un’altra evoluzione: la classica protezione perimetrale, il muro di protezione intorno all’IT aziendale, è un concetto superato nell’era del cloud e del lavoro flessibile. Il CISO deve avere una soluzione pronta anche per queste sfide.
Prevenzione della sicurezza
La prevenzione è l’elemento fondamentale nella protezione dai cyberattacchi. Le vostre misure di protezione di base sono aggiornate? Analizzate correttamente la vostra infrastruttura.
Che cosa comprende la protezione di base?
Il ciclo di formazione Computer Information Systems Security Professional (CISSP) definisce sei misure per la Security Prevention:
- Aggiornare regolarmente sistemi e applicazioni
- Disattivare servizi e protocolli non necessari
- Utilizzare sistemi per il rilevamento e la prevenzione delle intrusioni
- Impiegare software antivirus e aggiornarli
- Proteggere le reti con firewall
- Definire processi per la manutenzione dei sistemi (Systems Management)
Newsletter
Desiderate ricevere regolarmente articoli e rapporti avvincenti su tematiche ICT di attualità?
Maggiori informazioni
