La Cyber Resilienza è un concetto sempre più centrale e richiede un ripensamento della sicurezza. In questa fase storica, la capacità di risposta è diventata fondamentale, ma gli step che aiutano a raggiungere una postura efficace possono essere molteplici, come è emerso dalla discussione del tavolo “ADOTTARE UN APPROCCIO RISK BASED PER IL RILEVAMENTO, L’INVESTIGAZIONE E LA RISPOSTA” del Cybersecurity Summit 2023, lo scorso 11 maggio a Roma.
Come deve evolvere il monitoraggio di cybersecurity? Bisogna considerare da un lato che gli ambiti da controllare sono sempre più estesi (oggi riguardano anche le terze parti), dall’altro lato, che è indispensabile automatizzare le procedure, avvalersi di machine learning, ridurre il rumore di fondo di un’attività che ingloba l’analisi di moli sempre più ampie di dati. Il tema è stato affrontato da Nicola Sotira, Responsabile CERT di Poste Italiane. Emerge dal discorso un tema di fondo: i dati, la conoscenza, stanno diventando un patrimonio critico per la sicurezza.
TIG. Come rendere efficace la risposta, come aumentare la capacità di detection, sfruttando quello che oggi è offerto dalla tecnologia di cybersecurity?
Nicola Sotira. Il CERT di poste Italiane si occupa di monitoraggio e gestione incidenti, un monitoraggio oggi esteso anche alle terze parti: per rafforzare il monitoraggio utilizziamo l’AI, poiché la digitalizzazione richiede velocità da una parte, dall’altra una migliore user experience, per cui è diventato importante coniugare flessibilità ed esperienza utente garantendo la sicurezza. Inoltre, oggi si lavora molto di più sui dati, abbiano un data lake che colleziona più segnali. Lato supply chain, ad esempio, incrociando i dati che già abbiamo sui fornitori con quelli su chi accede all’azienda: nel caso ci siano anomalie negli accessi, sono rilevate immediatamente e vengono chiusi gli account in via preventiva.
Oggi serve un metodo operativo per garantire che non ci siano problemi e, se ci sono, intervenire velocemente con un eventuale blocco. La detection nel nostro caso è estesa sugli asset cloud, sul perimetro pubblico, con scansioni frequenti per incrementare l’individuazione di un possibile problema. Il tutto con strumenti per automatizzare le procedure: quando l’analisi del comportamento degli utenti, incrociata con sistemi aziendali, porta a notifiche in caso di anomalie, interviene l’operatore umano per evitare falsi positivi. Per far funzionare questi algoritmi serve una storicizzazione dei dati, che porta a ridurre il rumore, permettendo al modello di capire quando un comportamento anomalo può rientrare nella normalità. La soluzione può così ridurre il rumore per gli analisti, evitando di generare centinaia di alert al giorno e facendo in modo che gli analisti prendano in carico le situazioni più rischiose. In futuro, sarà critico il modello di data fabric sottostante, che permetterà agli algoritmi di lavorare al meglio: già oggi le cose funzionano bene con dati omogenei.
Secondo Marcello Fausti, Responsabile Cybersecurity di Italiaonline, alcuni compiti, come la Threat Intelligence, i security rating, stanno diventando fondamentali, andrebbero centralizzati e gestiti dalle istituzioni, perché diventino patrimonio comune e sia sempre possibile utilizzati con il trust necessario.
TIG. Come cambiano le priorità nel momento in cui il rischio si sposta sempre più sulla supply chain?
Marcello Fausti. Sappiamo tutti che dalla pandemia in avanti le cose sono cambiate e la velocità della trasformazione è diventata molto superiore. La velocità è diventata il mantra di tutti i dipartimenti di marketing: noi, lavorando nel mondo dei servizi digitali, viviamo questa situazione in modo esponenziale.
Per rilasciare nuovi servizi digitali velocemente c’è un solo modo: cambiare il modo di sviluppare e non sviluppare più, ma assemblare semilavorati già presenti in cloud. Oggi si assemblano intere piattaforme cloud, fornite da soggetti che diventano così partner dell’impresa. Il tutto è collegato da API, vero punto dove si concentreranno tutti gli attacchi nella nuova era: infatti, poiché non siamo abituati a sviluppare con regole di sicurezza, abbiamo con le API problemi terrificanti, che rendono una violazione molto semplice.
Cosa fare quindi? Innanzi tutto, prendere coscienza del fatto che il perimetro non c’è più, e che su un ecosistema di soluzioni, non abbiamo alcun controllo. È possibile riguadagnarlo? serve un processo e un approccio strutturato al rischio terze parti. Come controllo un fornitore? tramite un rating di sicurezza della società, per valutarne la postura, tramite scansioni non intrusive, l’assegnazione di uno score, individuando e segnalando cose da sistemare. Sono tutti aspetti da prevedere a livello contrattuale.
Abbiamo verificato quindi che il rating di sicurezza è uno snodo fondamentale. Però il mondo si sta affollando di fornitori di questo servizio, e chi fa questo lavoro dovrebbe avere un’eticità assoluta. O meglio, potrebbe essere compito di una funzione pubblica, perché noi abbiamo il problema che dobbiamo poterci fidare. Il Trust è diventato elemento chiave del mondo digitale.
Oggi più che di cybersecurity (come proteggersi, rafforzare la sicurezza) bisogna parlare di cyber resilienza, un concetto che è molto più spostato sulle fasi della risposta e della ripresa post incidente. L’obiettivo delle aziende, infatti, deve essere non tanto quello di aver previsto qualsiasi evento avverso, quanto – sempre più – di essere in grado di contenere un eventuale incidente, di mitigarne l’impatto, di ridurre al massimo esposizione mediatica, perdite di dati, danno economico e reputazionale. Ne abbiamo parlato con Giorgio Rocca, CISO di Banca Progetto.
TIG. Come far evolvere la risposta in ottica di Cyber Readiness?
Giorgio Rocca. La Cyber Readiness è la prontezza nell’amministrare tutta la sicurezza. Il concetto non è banale, oltre all’approccio puramente passivo nel costruire delle misure protettive, come avveniva una volta, il focus diventa oggi la capacità di riprendersi. Quindi un approccio non solo reattivo, ossia saper reagire all’attacco, ma anche proattivo, una strategia che metta in campo tutto per prevenire e mitigare l’attacco. Come farlo? il primo step per la sicurezza è non essere autoreferenziali: serve invece approcciarci con umiltà per identificare le mitigazioni più opportune. Poi, non intraprendere una strada sbagliata: se si prende un incrocio sbagliato dell’evoluzione digitale, si rischia un disastro.
Abbiamo sempre considerato security operation e security governance, ora bisogna aggiungere la security response, prevedere cosa può succedere se si subisce l’attacco. In termini di fattore umano, far leva sulla capacità dei singoli non solo di non cadere, ma nel caso avvenga, di comunicarlo velocemente all’ufficio sicurezza. Dal punto di vista del fattore tecnologico, la business continuity è fondamentale e va misurata in ottica di mitigazione dell’evento. Aggiungere il concetto di security response vuol dire avere un piano, ad esempio, delle simulazioni che mettano alla prova la capacità del reparto IT. Verificare di avere le procedure corrette per la gestione di una segnalazione, sapere in quali casi segregare o avviare un sito di disaster recovery.
A cura di:
Elena Vaciago, Research Manager, The Innovation Group
Riguarda il video completo della sessione “ADOTTARE UN APPROCCIO RISK BASED PER IL RILEVAMENTO, L’INVESTIGAZIONE E LA RISPOSTA”.