Il 2020 è stato un anno di importanti cambiamenti e di una forte crescita del rischio cyber. Come ha osservato di recente la Polizia Postale, presentando i risultati delle proprie attività di contrasto del cyber crime, i numeri dimostrano continue attività malevole e un’evoluzione delle minacce, che riguardano oramai sia i singoli di imprese di tutte le dimensioni e settori.
La situazione che si è creata dopo la pandemia da Covid19 ha obbligato tutti a ripensare le proprie misure per la cybersecurity: le priorità sono diventate (ne abbiamo parlato nel precedente articolo) mettere in sicurezza le persone che lavorano da remoto; ripensare ai meccanismi di autenticazione (visto la frequenza del furto di credenziali come ID e password negli attacchi cyber); estendere il disegno della sicurezza ai nuovi device IoT e alle smart home.
Il nuovo scenario, legato all’accelerazione dei progetti di digitalizzazione, offre però anche alcune opportunità interessanti ai responsabili della cybersecurity: vediamo le principali.
#1 Risolvere lo skill shortage con risorse remotizzate
La capacità acquisita nella gestione di un gran numero di Remote Workers durante la pandemia si trasformerà in una nuova opportunità da sfruttare nel New Normal: quella appunto di dotarsi di “risorse pregiate per la cybersecurity” in remoto dove queste non siano disponibili a livello locale. Avere risorse operative dalla propria abitazione ha insegnato anche gli svantaggi legati alla nuova situazione: dai maggiori problemi di sicurezza alla difficoltà di ricreare le stesse situazioni, che massimizzano creatività e capacità di innovare, che possono invece essere possibili in presenza fisica attorno a un tavolo, durante un pranzo e mentre si chiacchiera di fronte alla macchina del caffè.
Ciò nonostante, l’esperienza degli ultimi mesi ha dimostrato che la produttività è aumentata, e che feedback costanti e videocall possono in qualche modo sostituire la stretta di mano. Oggi si apre quindi la possibilità di andare a individuare talenti operativi da remoto, cercare nuove soluzioni a vecchi problemi svincolandosi dalla presenza in ufficio, e in alcuni casi, adottando anche servizi remoti a prezzi competitivi (Managed Security Services).
#2 AI e difesa cyber, come automatizzare il SOC
Come noto, il 2020 è stato un anno di grande crescita degli attacchi su Internet. La situazione che si è creata nei mesi della pandemia ha attratto i cyber criminali, che hanno individuato nuove opportunità per monetizzare le proprie attività indirizzate a compiere frodi online e a trafugare informazioni sensibili da rivendere nei mercati del dark web.
Nelle aziende questo ha anche significato dover, prima, monitorare un incremento di alert di sicurezza; poi, rispondere a molte situazioni per gestire i rischi legati a una superfice attaccabile più estesa e a un incremento delle vulnerabilità. Quindi, un notevole aumento dei volumi delle attività, che oggi richiede il ricorso a un utilizzo più ampio di automazione e intelligenza artificiale anche nel mondo della cybersecurity e del SOC (security operation center). Questo perché gestire un numero di alert così ampio sta diventando impossibile senza opportuni aiuti, e in aggiunta, automazione e machine learning, oltre a separare gli alert più urgenti da una marea di dati di minore importanza (o falsi positivi), facilitano una risposta più rapida in caso di attacco grave in corso.
Lo scorso luglio, partecipando all’evento Transform 2020, Sandra Nudelman, Chief Data e Analytics officer di Chase (una delle prime 4 banche americane), ha spiegato come l’istituto stia già oggi utilizzando AI e machine learning in più ambiti, sia nel marketing, sia per la gestione dei crediti, sia nel velocizzare alcuni processi bancari interni, sia anche nella cybersecurity per prevenire le frodi. Come riporta la trascrizione di VentureBeat, Chase utilizza supervised e unsupervised ML per individuare sia minacce note (sulla base di pattern identificati in precedenza) sia anche nuovi rischi cyber. Prevenire gli attacchi ha avuto come conseguenza un notevole impatto economico: come ha affermato Nudelman: “In questo modo siamo riusciti a diminuire i costi per frodi di circa 100 milioni di dollari all’anno”.
Nel prossimo future vedremo come le soluzioni AI/ML per la sicurezza diventeranno sempre più sofisticate e in grado di rispondere a nuovi bisogni delle aziende, sia nella direzione di trovare anomalie sia nell’automatizzare le contromisure più efficaci. Inoltre, in aggiunta all’automazione, sempre più spesso si sentirà parlare della necessità di orchestrare in modo efficace tutte queste attività: tecniche di Security Orchestration, Automation & Response (SOAR) aiuteranno ad automatizzare end-to-end tutta una serie di task, attraverso ambienti e piattaforme eterogenee, connettendo i vari sistemi e superando quindi una volta per tutte quelle barriere e quei freni che hanno finora limitato l’efficacia di molte azioni.
#3 Cloud Security: non solo sicurezza PER il cloud ma anche sicurezza DAL cloud
Oggi ci stiamo chiedendo tutti come avremmo fatto, nei mesi del remote e home working, senza l’aiuto di app, cloud, Internet, conferenze online, e-commerce e quant’altro. Si può veramente dire che il 2020 è stato l’anno del Cloud: chi già se ne era dotato, ha potuto rispondere all’emergenza senza grandi sforzi, chi ancora non l’aveva, è corso ai ripari.
Dal punto di vista dell’IT, però, non sono mancati problemi, nel gestire un numero sempre maggiore di istanze cloud, definire una strategia di multicloud e preoccuparsi di sicurezza di dati e applicazioni. In tanti si sono trovati con un multicloud che magari inizialmente non era previsto, quindi con costi elevati, mancanza di competenze, complessità da gestire. Si tratta ora di individuare la strada migliore per riprendere il controllo di tutto e soprattutto gestire la sicurezza, aumentare la visibilità, introdurre nuove misure e processi di cloud security. Non sarà un passaggio facile e neanche veloce: la cloud security richiede tutta una serie di skill che spesso mancano ai team di security. I principali cloud provider stanno predisponendo strumenti di security-as-a-service (SECaaS) che andranno presi in considerazione, in particolare:
- Cloud access security brokerages (CASBs) – soluzioni disponibili on-premises o hosted nel cloud, resident tra l’azienda e I suoi cloud provider, per garantire sicurezza, compliance, gestione di policy di sicurezza per applicazioni cloud.
- Controllo degli accessi e Single sign-on (SSO), per gestire in modo centralizzato le credenziali e le èpolicy legate agli accessi.
- Email security nel cloud: protezione delle mail direttamente nel cloud, per ridurre rischi legati a phishing, ransomware, malvertising, attacchi mirati.
- Website / App Security: misure e strumenti specifici per ridurre vulnerabilità e esposizione delle applicazioni hosted in cloud, dal sito web ad altre app aziendali.
- Network security: anche il controllo del traffico può essere esteso al cloud, con un disegno a più livelli della sicurezza, non più limitato al solo perimetro (firewall) aziendale. Il provider di Network security as a service effettuerà una serie di controlli, tra cui la threat detection e l’intrusion prevention nel cloud.
A CURA DI:
Elena Vaciago
