Intervista a Stefano Volpi, Area Sales Manager, Global Security Sales Organization (GSSO), Cisco
Quali trend osservate sul fronte dell’evoluzione delle minacce Cyber e quali sono oggi le principali criticità che le aziende si trovano ad affrontare?
La diffusione delle minacce Cyber è sempre più ampia ed efficace negli obiettivi che si pone. Inoltre si assiste a una evoluzione degli attacchi, divenuti molto sofisticati, come gli APT, che oltre a sfruttare specifiche vulnerabilità si basano sullo studio del comportamento delle persone, sono persistenti nel tempo e sempre più difficili da rilevare. Abbiamo poi un perimetro più ampio da tenere sotto controllo, che spazia dal Cloud, all’Internet of Everything, al BYOD, con una frammentazione delle applicazioni e una complessità crescente nella gestione. Infine, sta cambiando rapidamente anche il modo con cui i dipendenti fanno uso dell’ICT. La collaborazione tra le persone è istantanea, gli ambienti sono sempre più aperti, la Cybersecurity dovrebbe essere intesa come l’elemento abilitante di tutto questo, ma non è sempre così. In realtà le persone sono sempre di più l’anello debole della catena.
Quali sono oggi i comportamenti da parte delle persone che possono mettere in crisi il disegno della Cybersecurity?
Abbiamo condotto di recente una ricerca, contattando circa 1.000 dipendenti di aziende italiane, e il risultato è che il 54% dei dipendenti intervistati non è a conoscenza delle recenti violazioni alla sicurezza di alto profilo (come ad esempio Heartbleed). Inoltre se circa 1 dipendente su 2 (il 56% degli intervistati) rispetta moderatamente le policy di sicurezza IT aziendale, una persona su 14 le elude invece consapevolmente, motivando questa scelta con il fatto che i blocchi sono un ostacolo al completamento di attività, alla collaborazione, all’innovazione in azienda. Siamo in un momento storico in cui arrivano in azienda i nativi digitali, giovani che hanno imparato a scrivere con il computer invece che con la penna, che hanno dimestichezza nell’utilizzo delle tecnologia ICT e sono dotati di conoscenze e mezzi per bypassare le policy. Il bilanciamento tra abilitazione e protezione del business richiede invece un cambio fondamentale nel modo in cui approcciamo la sicurezza IT. Sarà necessario adattarsi ai comportamenti degli utenti come parte di un approccio favorito dalla visibilità, incentrato sulle minacce e basato su una piattaforma. Le imprese che persistono con l’utilizzo di soluzioni di sicurezza tradizionali saranno esposte a maggiori rischi, poiché tale approccio crea delle brecce nella sicurezza a beneficio degli hacker.
Come deve cambiare l’approccio delle aziende al tema del controllo del rischio Cyber?
Oggi le aziende devono essere consapevoli che è praticamente impossibile bloccare in modo preventivo qualsiasi attacco. Bisogna tener conto di 3 aspetti: il Prima, il Durante e il Dopo, ossia, non come in passato soltanto un approccio difensivo e di gestione dell’incidente in corso, ma anche volto a comprendere cosa fare Dopo, quando l’attaccante è entrato e sta svolgendo varie attività all’insaputa dell’organizzazione.
La situazione oggi è complicata perché i volumi in gioco, la frequenza degli attacchi, il traffico da monitorare, in ingresso e in uscita ma anche all’interno del data center, tutto sta esplodendo. È fondamentale avere definito processi in grado di verificare
- Prima: che le difese siano correlate agli effettivi rischi e che siano contestualizzate con la realtà dell’azienda. Per difendere al meglio le infrastrutture è necessario però conoscerle, avere una visibilità e una conoscenza complessiva degli ambienti da proteggere, rete, endpoint, macchine virtuali, device mobile, cloud, per poter prendere decisioni basate su informazioni corrette.
- Durante: avere strumenti che riconoscono l’attacco nel momento in cui avviene, ma non soltanto questo. Gli attacchi possono essere persistenti nel tempo ed essere rivolti a più punti deboli. Le aziende devono dotarsi di una security intelligence in grado di correlare segnali che arrivano da più parti e analizzare serie storiche di dati.
- Dopo: bisogna evitare situazioni in cui i sistemi sono stati compromessi e l’azienda non è in grado di rilevarlo o di attuare le corrette misure di remediation.
Per attuare strategie di questo tipo, è fondamentale dotarsi di soluzioni unificanti in modo da avere massima visibilità su applicazioni e infrastrutture, essere in grado di analizzare tutti i movimenti in modo dinamico e potersi concentrare sui rischi veramente importanti per l’azienda.
Quali sono le novità sul fronte dei prodotti Cisco per la Cybersecurity?
A settembre abbiamo rilasciato la nuova versione del firewall Cisco ASA serie 5500 dotato dei servizi FirePOWER che provengono dall’acquisizione di Sourcefire. ASA, grazie all’integrazione delle funzioni di controllo delle applicazioni, il sistema NGIPS (Next-Generation Intrusion Prevention Systems) e la protezione antimalware AMP (Advanced Malware Protection) fornisce una visione completa del contesto, i controlli dinamici per valutare le minacce, per correlare l’intelligence e ottimizzare le difese in modo automatico. In questo modo le aziende hanno una visione completa del contesto (inclusi utenti, dispositivi mobile, applicazioni utilizzate dagli utenti, comunicazioni tra macchine virtuali, vulnerabilità, malware, URL) e si dotano di una difesa integrata dalle minacce durante l’intero ciclo di un attacco – prima, durante e dopo.