Per certi versi, i criminali informatici non hanno mai avuto vita così facile. Gli strumenti a cui hanno accesso consentono loro di sferrare attacchi sempre più sofisticati, mentre le superfici di attacco delle aziende continuano a estendersi.

È un ciclo senza fine: emerge un nuovo vettore di attacco e un fornitore sostiene di avere la soluzione. Un CISO si sente obbligato ad acquistarla il prima possibile. Quelli che una volta erano meno di 10 strumenti di sicurezza, oggi sono diventati addirittura 80, tutti in grado di produrre dati, file di log e security analytics, che sommergono SOC e analisti di un’azienda.

Per questo motivo, gli strumenti di protezione possono effettivamente mascherare una violazione, producendo così tanti dati da non riuscire a visualizzare i dettagli critici che potrebbero indicare un attacco.

Le aziende hanno invece bisogno di modelli dinamici che non si limitino a considerare solo gli attributi fisici, ma anche quelli social e digitali.

Giunti quasi a fine 2024, possiamo evidenziare sei macrotendenze che hanno modificato il panorama delle minacce: cloud, lavoro da remoto, IoT, supply chain software, AI e social network. L’insieme di questi fattori sta amplificando i problemi che le aziende si trovano ad affrontare, dal ransomware al phishing, dall’esfiltrazione dei dati all’ingegneria sociale.

La capacità dei criminali di raccogliere dati, manipolarli e usarli contro tutti in modo mirato è destinata ad aumentare nei prossimi anni, a meno che non si intervenga subito.

Impariamo le mosse dei cyber criminali per anticiparle

Osservare più da vicino queste tendenze aiuta a mettere in prospettiva i rischi:

1. Cloud: in molte aziende la sua adozione è stata massiccia, ma soprattutto precipitosa, ben più di quanto i CISO avrebbero preferito. Il problema è che questi stessi CISO sono ora alle prese con i rischi legati al cloud, da massicci attacchi DoS e problemi di conformità, a minacce informatiche e sfide con una superficie di attacco non gestita.
2. Lavoro da remoto: è chiaro che molte aziende non torneranno alla modalità di lavoro pre-pandemia. Se da un lato il lavoro da remoto comporta certamente una serie di vantaggi, ci sono anche dei rischi: che si tratti di truffe lanciate via e-mail, utilizzo di dispositivi personali, di reti non protette o di una miriade di altri problemi, aggiunge un ulteriore livello di complessità alle attività di mantenimento della sicurezza di reti e dati.
3. IoT: con l’avanzare della digitalizzazione commerciale e sociale, si prevede che entro il 2027 ci saranno circa 30 miliardi di dispositivi IoT, ma alcuni di quelli adottati in aziende, industrie e infrastrutture critiche non sono sicuri. Nella fretta di creare valore, non si è prestata sufficiente attenzione alle implicazioni per la sicurezza di un numero così elevato di connessioni.
4. Supply chain software: uno dei tanti punti evidenziati dall’attacco di SolarWinds nel 2020 è che è molto difficile valutare il rischio end-to-end in una catena di fornitura. Poiché le supply chain diventano sempre più complesse e digitalmente integrate, la protezione da tutti i potenziali punti di rischio rappresenta una sfida enorme.
5. AI: con la crescita della nuova frontiera del cyber warfare, le aziende di tutto il mondo devono dare priorità al loro approccio di difesa dagli attacchi alimentati da AI. Ciò implica un’attenta valutazione della resilienza, perché il volume degli attacchi sofisticati è destinato ad aumentare nei prossimi anni.
6. Social network: in generale, gli individui condividono troppe informazioni personali sui social media. Per i datori di lavoro, i rischi sono aggravati dal fatto che i dipendenti mescolano lavoro e vita privata sulle piattaforme e app dei social media. Raccogliere dati postati volontariamente sui social media mette a disposizione dei cyber criminali uno strumento importante da aggiungere al loro arsenale.

Rischio, preparazione, recovery e resilience

Quindi, dove dovrebbero concentrare i loro sforzi i CISO? Un modo per comprendere le priorità è analizzare le questioni principali stabilite dal settore delle cyber assicurazioni, che ora ha più esperienza e dati da cui attingere per valutare il rischio di sicurezza.

Proteggere l’Active Directory

Una percentuale significativa delle violazioni riscontrate dagli assicuratori cyber inizia con il furto di credenziali, quindi è fondamentale identificare e risolvere eventuali punti ciechi.

Implementare la gestione di identità e accesso (IAM)

Per la maggior parte delle aziende, le password rappresentano ancora il tallone d’Achille della sicurezza.

Implementare almeno la multi-factor-authentication (MFA) e assicurarsi che le soluzioni fornite comprendano la gestione degli accessi privilegiati.

Applicare patch ai sistemi

Sono numerose le aziende che ancora non riescono a risolvere questo problema (e altre che probabilmente non lo faranno mai).

Si tratta di una questione particolarmente importante nei data center attuali, dove l’incapacità di applicare correttamente le patch ai sistemi è un grande indicatore di rischio.

Creare e testare piani di cyber recovery

Sebbene quasi tutte le aziende dichiarino di aver testato i propri piani di ripristino, sono relativamente poche quelle che lo fanno in modo corretto, se non del tutto.

Per molti, lo scenario abituale è quello di testare un’applicazione una volta alla settimana durante il weekend, ma nell’attuale ambiente di sicurezza, raramente sarà sufficiente.

Parte del problema è che, fino a tempi relativamente recenti, non esisteva un modo completo per testare tutto.

Fortunatamente, ora stanno emergendo applicazioni e servizi che possono contribuire a colmare questa mancanza di capacità.

Conclusioni

Dati i cambiamenti fondamentali del panorama delle minacce degli ultimi anni, è necessario adattare approcci, modelli e framework tradizionali di cyber security.

I responsabili della sicurezza devono pensare in modo più dinamico per proteggere l’intera superficie di attacco dai trend principali, in particolare dai rischi emergenti presentati dall’intelligenza artificiale.

In questo contesto, le aziende che concentrano la loro attenzione su rischio, preparazione, ripristino e resilienza saranno in una posizione molto più forte per tenere il passo con il significativo tasso di cambiamento nell’ecosistema della cyber security.