Come reagire alle minacce informatiche

La difesa migliore è il rilevamento

Gli attacchi informatici portati a termine con successo dimostrano che le protezioni attuali non bastano più. Per questo, l’IT Security deve evolversi. «Assume the breach» è il nuovo paradigma, che tiene conto della realtà delle infrastrutture IT odierne. Quali sono le prospettive attuali.

Testo: Andreas Heer, Immagine: Adobe Stock, 

Non erano trascorse neppure sei settimane dall’inizio del 2021 e il Centro nazionale per la cybersicurezza (NCSC) già annunciava un record: per la prima settimana di febbraio, le segnalazioni di attacchi informatici erano state oltre 800. Quanto ai responsabili della sicurezza informatica a livello aziendale, anche loro non hanno tregua. «Negli ultimi mesi, registriamo un aumento degli attacchi DDoS e di altri attacchi con ransomware», spiega Stefan Marzohl. In quanto Head of Cyber Security Sales B2B presso Swisscom, lavora a stretto contatto con i clienti ed è ben al corrente della situazione.

 

 

Succede sempre più spesso che questo tipo di attacchi abbiano successo. A metà aprile, ad esempio, un’azienda della Svizzera orientale ha comunicato che doveva riavviare tutti i suoi sistemi IT per reagire ad un attacco con ransomware. La maggior parte di questi eventi non vengono comunicati esternamente. Tuttavia, questo non significa che le aziende non si diano da fare dietro le quinte. «Le aziende si rendono conto che le sole misure di prevenzione non bastano», commenta Stefan Marzohl. «Rileviamo una trasformazione che va verso un approccio Threat Detection & Response.»

Le minacce informatiche di sempre, ma attraverso nuove vie

Non sono le tipologie di attacchi ad essere nuove, bensì il contesto lavorativo. I collaboratori non lavorano più solo all’interno della rete aziendale, ma anche in mobilità e da casa. Molte aziende hanno spostato la loro infrastruttura su cloud. Questi cambiamenti comportano vantaggi, ma rappresentano anche nuove sfide per l’IT Security. I sistemi e le applicazioni, infatti, sono raggiungibili non solo attraverso una rete aziendale ben protetta, ma anche tramite internet. Questa situazione richiede un’architettura di security diversa, come spiega Stefan Marzohl: «Un esempio: all’interno della rete locale, le aziende possono implementare le policy di sicurezza tramite un firewall fisico. Oggi però si ha a che fare con diverse tipologie di firewall e sistemi di sicurezza: quelli aziendali e quelli nel cloud».

In questo contesto, gli eventuali errori di configurazione hanno conseguenze più gravi, perché i sistemi sono molto più esposti. Gli hacker, infatti, non sono più obbligati ad accedere alla rete aziendale, ma possono attaccare direttamente l’infrastruttura nel cloud. «In un ecosistema così decentralizzato, il policy management è una grande sfida», riassume Stefan Marzohl.

L’IT Security si trasforma

La logica conseguenza? Anche l’IT Security deve evolversi in parallelo alla trasformazione dell’infrastruttura informatica. Il paradigma attuale è «Assume the breach». Gli sviluppi più recenti portano verso un approccio Threat Detection & Response e un potenziamento del Security Incident Management. SIEM (Security Information and Event Management), SOC (Security Operations Center) e Security Incident Response (CSIRT) sono aspetti discussi con sempre maggiore frequenza anche al di fuori di settori sensibili come quello bancario e assicurativo.

Tuttavia, il monitoraggio permanente dell’infrastruttura e la reazione ai Security Incident richiedono specialisti preparati, che continuano a essere rari. Per questo motivo, è prevedibile che la domanda di competenze esterne sotto forma di Managed Security Services si manterrà alta, esattamente come la frequenza degli attacchi informatici stessi.

Maggiori informazioni: