Come difendersi dalle cyber minacce? Partendo dalla percezione del rischio, adottando la
sicurezza come comportamento personale. Prima che informatica, quella da affrontare è una questione di educazione e di approccio culturale. Da qui si arriva poi alla sicurezza gestita, ossia a una difesa condivisa, organizzata e strutturata. In contrapposizione con il modello attuale, spesso raffazzonato, ricorrendo emergenza dopo emergenza per tappare le falle contingenti.
Sembra un messaggio catastrofico. In realtà quello lanciato da
Trend Micro, insieme alla
Polizia Postale e delle Comunicazioni per la Regione Lombardia e con il
Politecnico di Milano, è un messaggio di speranza. Consiste nella certezza che tutto è difendibile. A patto che la prevenzione porti a piani di investimento completi, e che i soldi stanziati siano poi investiti come previsto.
Vale sia nella maggior parte delle realtà italiane, ossia le piccole imprese, sia nelle infrastrutture e nelle grandi realtà. Soprattutto in un momento in cui ci sono stati corposi investimenti per spingere l'Industria 4.0. Connettere in rete i macchinari apporta grandi benefici produttivi, ma comporta rischi che avrebbero dovuto essere gestiti contestualmente. Per questo
Stefano Zanero, Professore Associato del Politecnico di Milano, ammonisce: "non esistono tool o checklist magiche che uno fa ed è tutto a posto".
Zanero prosegue, spiegando che i due elementi più importanti della difesa sono l'analisi del modello di minaccia e del livello di rischio dell'azienda. Non si può proteggere tutto, bisogna capire che cosa proteggere. Gli fa eco
Salvatore La Barbera, Dirigente della Polizia Postale e delle Comunicazioni per la Regione Lombardia: "si continua a parlare di perimetro, ma il perimetro non esiste più. Servono attenzioni differenti. Gli strumenti esistono, ma la sicurezza non dev'essere fatta in casa. Le minacce si diversificano, aumenta il numero di apparati da gestire. Serve qualcuno che giornalmente studi e analizzi tutte le situazioni".
A questo punto è fondamentale capire che cosa s'intende per minacce. Per semplicità le abbiamo sempre chiamate per nome:
ransomware,
spyware, eccetera. In realtà la questione è più complessa. Non viviamo più in un mondo con un numero definito di minacce ben connotate. Anzi, come suggerito dal titolo del report sulla cyber sicurezza presentato ieri, "il futuro è complesso, esposto e mal configurato, ma anche difendibile".
Complesso, perché il panorama delle minacce si è evoluto negli anni, dimostrando che i cybercriminali si adattano, cambiano costantemente tattiche e vettori di attacco. La conseguenza concreta è che bisogna
anticipare i criminali informatici, perché si muovono più velocemente delle patch. Si servono delle piattaforme di blockchain per le transazioni clandestine. Hanno capito l'importanza della reputazione per un'azienda, quindi sfruttano il
deepfake per andare a segno. Inoltre, come sottolinea La Barbera, i fenomeni sono sempre più fondati sulla
propagazione e sull'ingegneria sociale, che varca i confini di qualsiasi difesa convenzionale. Basti pensare alle
Business Email Compromise.
Esposto, perché quanto detto apre la strada ad attacchi e tecniche di vecchia e di nuova concezione, che lasciano esposti asset IT (Information Technology) e OT (Operational Technology). Come? Sfruttando i
dispositivi IoT a scopo di spionaggio ed estorsione, attaccando le
infrastrutture critiche e la
supply chain.
Malconfigurato. Un problema noto su cui abbiamo messo l'accento moltissime volte: le
migrazioni verso gli ambienti cloud e DevOps aumentano la superficie di attacco a causa di errori di configurazione e codici vulnerabili.
Però è
difendibile. Con strumenti di nuova generazione, come l'
Intelligenza Artificiale e il rilevamento predittivo. Con una visibilità completa, che serve per avere una disamina ottimizzata e prioritizzata delle minacce e per correggere i rischi. In quest'ambito i servizi gestiti di rilevamento e risposta forniscono competenze mirate, che correlano allarmi e rilevamenti per la scoperta delle minacce.
In più occorre un monitoraggio comportamentale che blocchi proattivamente
malware e tecniche avanzate. Oltre a un sistema di rilevamento e prevenzione delle intrusioni e tecniche di sandboxing, rilevamento delle violazioni e sensori per gli endpoint. Però gli strumenti da soli non bastano. Per questo si parla di sicurezza come comportamento personale. Parlando ad esempio delle Business Email Compromise, La Barbera sottolinea come queste tattiche funzionano perché colgono falle nei
comportamenti organizzativi delle aziende. La buona pratica di coinvolgere sempre più persone nella transazioni è vitale per sventare attacchi simili. Soprattutto quando sul tavolo c'è un pressante fattore tempo, che è un campanello d'allarme da ascoltare. Inoltre, La Barbera ammonisce contro l'uso di dispositivi promiscui non garantiti, come quelli personali. Una comodità non è sempre una sicurezza, anzi, spesso è vero il contrario.