La sicurezza informatica è ormai un asset sempre più importante per le aziende tanto da essere considerato un fattore abilitante per il business: subire una violazione significa avere ingenti danni economici e reputazionali oltre che non poter operare per diverso tempo. Ne abbiamo parlato con Massimiliano Galvagna, Country Manager di Vectra AI con il quale abbiamo analizzato i maggiori rischi, le debolezze delle imprese e come poter migliorare la sicurezza aziendale.
Come si sta evolvendo lo scenario delle minacce informatiche?
Il 2022 si è confermato come un anno molto complicato sia in termini di sofisticatezza delle minacce rilevate che per il numero di attacchi effettuati, così come per l’estensione a tutti i livelli dei target colpiti. Non sorprendono pertanto le continue notizie di imprese che hanno subito una violazione soprattutto a causa dei ransomware e, negli ultimi mesi, per attività malevoli con tematiche riguardanti la guerra Russia-Ucraina.
Dopo quanto tempo le imprese attaccate si accorgono di aver subito una violazione?
Fortunatamente in Europa il tempo medio si è abbassato del 20% rispetto agli ultimi anni e mediamente oscilla tra i 40 e i 50 giorni. Tutto ciò è imputabile ad una crescente maturità delle imprese nei confronti della security e all’introduzione di normative governative volte ad aumentare il livello di sicurezza nazionale come ad esempio l’instaurazione del CERT, organo che ha l’obiettivo di mantenere e sviluppare servizi di protezione preventivi e di diffondere la cultura della security. A tutto questo si aggiunge anche una maggiore collaborazione tra le imprese con l’obiettivo di condividere il know-how sugli incidenti così da fronteggiare al meglio le minacce.
C’è però un ulteriore fattore che contribuisce a ridurre il tempo relativo alla scoperta di una violazione, ma non si tratta di un aspetto positivo come i precedenti: gli attacchi ransomware sono pensati per essere il più distruttivi possibili in poco tempo, per cui appena riescono ad entrare in un’organizzazione manifestano subito i loro effetti, venendo così immediatamente rilevati.
Quanto costa ad un’organizzazione una violazione informatica?
La risposta è molto complessa ed approssimativa in quanto i dati disponibili fanno riferimento soltanto ai casi noti senza tenere conto delle numerose violazioni mai dichiarate. Il costo varia inoltre a seconda della dimensione e dal settore nel quale l’azienda colpita opera. Si tratta in ogni caso di cifre molto significative in quanto le violazioni informatiche colpiscono direttamente il business dell’azienda che deve fermarsi fino a quando l’organizzazione non potrà nuovamente erogare i propri servizi o continuare a farlo in modo sicuro. Oltre ai mancati introiti, l’azienda deve fronteggiare anche un danno d’immagine significativo che può comportare la perdita di numerosi clienti, oltre che il costo effettivo per i team che si dovranno occupare del rispristino delle attività operative.
In America si stima che il danno medio si aggiri attorno ad 1 milione di dollari, mentre in Italia, soprattutto a causa della differente composizione del tessuto imprenditoriale nostrano, oscilla tra le poche migliaia di euro fino ad alcune centinaia di migliaia di euro. Cifre in ogni caso ben superiori rispetto alla predisposizione di un sistema preventivo di protezione adeguato.
Quali sono gli anelli deboli della sicurezza informatica?
Sicuramente il fattore umano e quello tecnologico. Per quanto riguarda le persone, queste possono essere ingannate grazie alle sofisticate tecniche di social engineering. Pertanto, per ridurre tale rischio, le aziende dovrebbero accrescere l’awareness coinvolgendo maggiormente i dipendenti in corsi di formazione sulla sicurezza informatica. Dal punto di vista tecnologico invece, bisogna far riferimento alla complessità delle infrastrutture digitali e tener conto del fatto che il cloud e l’IoT hanno amplificato la superficie attaccabile. A tutto questo si aggiungono soluzioni di security spesso isolate che non si integrano con sistemi terzi e altri prodotti di sicurezza.
Come le imprese possono quindi proteggersi? Lo fanno in modo adeguato?
Oltre a colmare le problematiche appena citate, si osserva che le aziende hanno ben investito nella prevenzione, ma questo non è sufficiente in quanto le soluzioni di Prevention si occupano soltanto della prima fase di un attacco. Pertanto, qualora ci dovesse essere una violazione, l’impresa si troverà completamente alla mercè dei cyber criminali. Risulta quindi necessaria l’introduzione di soluzioni di Detection and Response, opportunamente integrate con quelle di Prevention.
Che ruolo ha la Threat Intelligence?
Si tratta di una componente fondamentale per ridurre i pericoli derivanti dagli attacchi informatici, in quanto fornisce informazioni molto utili sugli attaccanti, i loro obiettivi e le tecniche da loro utilizzate. Conoscendo infatti il nemico si potrà migliorare la Prevention e minimizzare la superficie di attacco e di conseguenza anche i rischi di una possibile violazione.
Quali sono le soluzioni che Vectra AI mette a disposizione delle aziende?
Vectra AI offre una piattaforma di Threat Detection and Response, integrabile con sistemi terzi, che sfrutta gli algoritmi di intelligenza artificiale per rilevare e contrastare gli attacchi in corso su infrastrutture eterogenee. Garantisce inoltre visibilità ed informazioni sulle metodologie di attacco, oltre ad analizzare il comportamento degli utenti, dei device e l’accesso ai servizi determinando così possibili attività sospette.
L’intelligenza artificiale sta diventando sempre più importante in ambito security. Sostituirà l’uomo?
L’AI ci aiuta e ci aiuterà sempre di più ad accelerare ed automatizzare l’analisi dei fenomeni malevoli e nella correlazione tra i diversi eventi di sicurezza, così da offrire una visione complessiva dei rischi e dei pericoli. Un compito questo che prima era affidato agli analisti ora maggiormente concentrati nell’intervenire, fornire consigli ed avviare strategie ancora più accurate poiché basate sulle migliori e più rapide analisi effettuate grazie all’intelligenza artificiale e al machine learning.
Le imprese possono essere protette al 100%?
La sicurezza al 100% non esiste e non la si potrà mai raggiungere perché il rischio 0 non esiste. È possibile però ridurre al minimo i pericoli, limitando la superficie di attacco, introducendo nuove soluzioni integrate, affidandosi ad analisti competenti, incrementando le policy e i processi di sicurezza interni, oltre che attraverso il training, la formazione e la creazione di ecosistemi tra imprese e Governi. Si potrà quindi ottenere un livello di protezione accettabile, limitando al minimo i danni di una violazione, e non avere un impatto negativo sul business.
