Intervento di Marcello Fausti, Responsabile Cybersecurity, Gruppo Italiaonline, in occasione della WebConf: L’ESPERIENZA DELLA CYBERSECURITY IN TEMPI DIFFICILI: COSA ABBIAMO IMPARATO dello scorso 10 settembre 2020.
Come abbiamo affrontato il tema dell’emergenza Covid in Italiaonline e quali problemi abbiamo avuto?
Sostanzialmente abbiamo risposto come hanno fatto tutti, acquistando PC portatili per chi non li aveva (ad esempio gli operatori di back office), o aumentando la capacità delle VPN (con 2FA via SMS) per permettere a tutti i dipendenti di lavorare da remoto in modo sicuro.
Bisogna considerare poi, che – al momento del lockdown – avevamo già una sufficiente dotazione di strumenti di monitoraggio su tutto il perimetro e di anti-APT sulla posta elettronica e sulle postazioni di lavoro. Inoltre, non abbiamo avuto problemi con i tool di collaborazione: avendo tutta l’infrastruttura di posta e di collaboration in cloud, abbiamo potuto sfruttarne la scalabilità e abbiamo potuto abilitare ulteriori controlli di sicurezza con semplici configurazioni e senza dover attivare processi di ingegneria che di solito sono lunghi e costosi. I primi take away dall’esperienza fatta sono quindi:
- Non bisogna aver paura del cloud; i vantaggi in termini di scalabilità, semplicità e velocità sono troppo rilevanti per essere ignorati, anche dal punto di vista della sicurezza;
- La visibilità è necessaria tutti i livelli: una moderna infrastruttura di sicurezza deve avere capacità di visibility sugli end point, sulla rete corporate ma anche e soprattutto sul cloud se l’azienda (e ormai tutti lo fanno), ha posizionato in cloud sistemi di business. Peraltro, oltre a collocare i sistemi di business in cloud se uno avesse anche una strategia ordinata per il cloud, per chi fa la sicurezza sarebbe sicuramente meglio (e qui torna il concetto di consolidamento, non tanto lato fornitore ma lato risorse a cui si accede in cloud).
L’altra domanda che ci si è posti durante la web conference di questa mattina è stata se il rischio cyber è aumentato negli ultimi mesi. Poiché la superficie digitale attaccabile è aumentata in maniera esponenziale (abbiamo messo tante persone a lavorare da remoto) la risposta è semplice e banale: sì. Faccio un esempio: nella prima settimana di settembre siamo stati interessati (come tante altre aziende) da una campagna di phishing generata a partire da mail «reali» scambiate da nostro personale con clienti o fornitori, probabilmente derivate da breach dei medesimi. La campagna aveva l’obiettivo di diffondere il malware Emotet, testa di ponte per il ransomware Ryuk o per il banking trojan Trickbot. La particolarità di questa campagna è stata quella di usare tecniche di social engineering piuttosto evolute, in quanto le mail di phishing apparivano come reply a mail effettivamente inviate dal mittente ad una sua controparte.
Questo caso testimonia l’aumento della complessità delle campagne di attacco che, assieme all’aumento esponenziale della superficie digitale nel periodo Covid, incrementa significativamente il rischio Cyber. Quindi, ne deduciamo che:
- Il rischio cyber cresce; il phishing è la minaccia principale; la mail si conferma il principale vettore di attacco.
- Di fronte al phishing, la formazione e l’allenamento dei propri collaboratori ad affrontare queste situazioni è fondamentale. Inoltre, sarebbe meglio smetterla di parlare dell’elemento umano come l‘anello debole della catena: se adeguatamente formato ed allenato, l’elemento umano può essere l’elemento più forte della catena. Sta a noi formarlo e allenarlo a riconoscere queste situazioni.
- I filtri anti-malware e anti-APT esistono e funzionano; non si può prescindere dall’averli attivi, anche le PMI dovrebbero averli, e dovrebbero funzionare sempre alla massima efficienza.
L’ulteriore considerazione riguarda il fatto che normalmente gli uomini che fanno sicurezza sono ossessionati dalle vulnerabilità. Cosa servirebbe allora per far evolvere l’approccio tradizionale?
Di fronte all’aumento della complessità, che deriva dall’aumento esponenziale della superficie digitale, non è più sufficiente occuparsi solo di vulnerabilità. Intendo dire che la complessità va affrontata lavorando su tutti gli elementi del modello di gestione del rischio cyber e considerare anche le minacce (gli attaccanti), i vettori di attacco, le tecniche di attacco e gli impatti potenziali. Non è sufficiente, quindi, limitarsi a studiare le vulnerabilità, ma è importante abbracciare un approccio più ampio in cui rientrano anche gli attaccanti, le loro motivazioni, gli strumenti di cui dispongono e le loro tecniche di attacco tipiche.
Sulla base di quest’analisi è possibile costruire degli scenari di rischio che vanno monitorati nel tempo. Sono i TOP RISK (diversi da azienda ad azienda) che devono diventare una specie di ossessione. La loro analisi, inoltre, deve tener conto dell’impatto di business che è il punto di contatto tra la gestione tecnica e la gestione manageriale dell’azienda. È il modo in cui uno dei rischi connessi alla digitalizzazione delle aziende rientra nella più complessiva gestione dell’Enterprise Risk.
Questo approccio è fondamentale per dotarsi di una strategia che ci permetta di sopravvivere in un contesto così complesso. I top risk vanno gestiti tramite controlli che vengono realizzati tramite progetti e sono periodicamente discussi con il management, con il quale vengono prese le decisioni chiave per l’azienda; credo che questo sia un importante salto di qualità.
Quindi:
- Bisogna far evolvere l’approccio passando dalla gestione di vulnerabilità alla gestione di scenari di rischio.
- È utile dotarsi di un servizio di Threat Intelligence scelto tra quelli che fanno più al proprio caso.
- I TOP RISK vanno monitorati costantemente e la loro valutazione deve essere oggetto di reporting periodico al management.
Chiudo con un’ultima notazione, anche questa tipica del nostro mondo negli ultimi 10 anni: facciamo tutto in casa o ci facciamo aiutare dall’esterno, acquistando servizi gestiti?
Questo è un altro tema “storico” per chi si occupa di sicurezza informatica che – spesso – è restio ad accettare l’idea di dare troppa visibilità all’esterno di ciò che accade in casa propria.
A parte, però, la giusta riservatezza, credo che per affrontare lo scenario che ci troviamo di fronte, siano necessarie competenze elevatissime e in quantità considerevoli. Le PMI, ma anche molte grandi aziende, non possono permettersi team di questo tipo e quindi – gioco forza – devono rivolgersi a società specializzate nell’erogazione di servizi di questo tipo. Cosa serve quindi?
- Scegliere il/i propri partner con cura, considerando sia le competenze di cui dispongono che la relazione di trust che si riesce a stabilire.
- Una volta fatto ciò, è necessario adattare i propri processi all’interazione con il/i partner selezionato/i, evitando sia eccessive deleghe di responsabilità sia possibili zone d’ombra, perché ci sia un’attribuzione di responsabilità chiara soprattutto per processi critici come – ad esempio – la gestione degli incidenti.