È tempo che i team di sicurezza intraprendano un cambio di rotta. Abbiamo raggiunto un punto cruciale nella storia della cybersecurity, in cui il cambiamento generato da una serie di incredibili variabili esogene ha portato il settore a pensare in modo diverso e a riesaminare radicalmente l’approccio. L’ambiente di lavoro remoto è qui per rimanere, per questo abbiamo bisogno di assimilare ciò che abbiamo imparato nell’ultimo anno e di elaborare una precisa roadmap, delle vere e proprie strategie di cybersecurity che ci permettano di proteggere in modo proattivo la nuova forza lavoro distribuita. Si tratta di un’opportunità eccezionale, più unica che rara. Da qui, sorge spontanea una domanda: in questa nuova rotta per gli anni a venire, quale dovrebbe essere il focus degli esperti di cybersecurity?
Per rispondere, VMware ha intervistato più di 3.500 esperti di cybersecurity allo scopo di tracciare e, soprattutto, capire il panorama attuale delle minacce e l’impatto generato dagli avvenimenti dello scorso anno. I risultati hanno mostrato uno scenario in cui i cybercriminali hanno prosperato, e il volume e la sofisticazione degli attacchi sono aumentati. Con interi settori di business indirizzati verso il lavoro da remoto, le violazioni sono state una conseguenza inevitabile. Ecco, quindi, cosa è stato scoperto, e quali possono essere i prossimi passi che i responsabili della sicurezza dovrebbero intraprendere.
La visibilità è (ancora) tutto: dare la priorità al controllo della rete distribuita
La forza lavoro distribuita ha creato un problema di visibilità. Per tre quarti delle organizzazioni globali, il volume degli attacchi è aumentato, e il 78% degli intervistati (il 71% in Italia) ha dichiarato di aver subìto attacchi informatici a causa del maggior numero di dipendenti che lavorano da casa. Tuttavia, la vera portata degli attacchi è difficile da comprendere pienamente, dal momento che i difensori non sono in grado di avere piena visibilità di tutti i dispositivi mobili personali e le reti domestiche che, da un momento all’altro, si sono inseriti nell’ecosistema aziendale. Oltre a questo, il rischio posto da app e fornitori di terze parti ha aumentato il numero di punti ciechi. Di conseguenza, i team di cybersecurity hanno oggi più che mai bisogno di strategie di cybersecurity e di una supervisione contestuale e di una migliore visibilità su dati e applicazioni.
A questo proposito, il 63% dei professionisti (il 48% in Italia) intervistati concorda sul fatto che, le strategie di cybersecurity devono comprendere una una migliore visibilità su dati e applicazioni. Una priorità chiave deve essere quella di ottenere visibilità su tutti gli endpoint e i carichi di lavoro attraverso la nuova rete “work from anywhere”, altamente distribuita. Questa rete ha sicuramente caratteristiche e comportamenti diversi da quelle del passato, ed è quindi fondamentale, per i team di sicurezza, familiarizzare con le sue peculiarità e vulnerabilità. È necessaria una robusta intelligence “sul contesto” in modo che i team comprendano ciò che stanno osservando e abbiano la certezza di rimediare ai rischi che veramente contano.
Prepararsi agli attacchi ransomware con le strategie di cybersecurity
Lo scorso anno, i TTP tradizionali hanno subìto una forte recrudescenza degli attacchi, in particolare le minacce ransomware. Questo genere di attacco ha rappresentato la prima causa di violazioni tra le organizzazioni che abbiamo intervistato, ed è stato osservato un picco del 900% di attacchi durante la prima metà del 2020. Gli attacchi sono diventati multi-stage, con gli aggressori che, prima di lanciare richieste di riscatto, si concentrano nell’ottenere l’accesso alle reti senza essere rilevati, a generare esfiltrazione dei dati e a creare creazione di back door.
Per affrontare questo problema ed evitare di essere vittime di ripetuti attacchi, le organizzazioni hanno bisogno di un approccio duplice, in grado di combinare una protezione avanzata contro il ransomware con una solida risoluzione post-attacco, per rilevare l’eventuale permanere degli avversari nell’ambiente anche ad attacco concluso. Questo significa che le strategie di cybersecurity delle aziende devono comprendere l’impiego di risorse che si occupino del rilevamento delle minacce e allo stesso tempo di rafforzare le difese dei più comuni canali di attacco, come la posta elettronica, che rimane il punto di accesso privilegiato per gli attacchi ransomware.
Colmare le lacune nella tecnologia e nei processi legacy
Il passaggio al lavoro da remoto ha messo in luce le debolezze della tecnologia e dei processi di sicurezza. Le organizzazioni che non avevano ancora implementato l’autenticazione a più fattori hanno scoperto che i dipendenti, lavorando da remoto, non potevano accedere alle reti aziendali senza introdurre rischi di sicurezza significativi.
Ora che il lavoro a distanza è diffuso, i team di sicurezza chiedono a gran voce investimenti strategici e strategie di cybersecurity per colmare il gap tra l’attuale ambiente di sicurezza e ciò che si rende necessario per proteggere la nuova forza lavoro distribuita.
Ripensare la sicurezza e renderla un servizio distribuito
Secondo il report di VMware, la causa principale delle violazioni informatiche è rappresentata dalle applicazioni di terze parti, a riprova di come il rischio di sicurezza diventi endemico quando l’ecosistema aziendale si espande e diventa esteso. Questo, insieme alla presenza di un ambiente distribuito, rafforza la necessità di ripensare gli approcci alla sicurezza e attuare strategie di cybersecurity.
Il problema della sicurezza informatica si è profondamente trasformato. Questo cambiamento di rotta è in corso da tempo, con la domanda di mobilità e flessibilità che hanno frammentato il perimetro aziendale. Gli eventi dell’ultimo anno, poi, lo hanno completamente cancellato e richiedono un intervento tempestivo con l’attuazione di strategie di cybersecurity. Sono finiti i giorni in cui l’IT si concentrava sulla protezione dei desktop di proprietà dell’azienda per i dipendenti che lavoravano in ufficio, connettendosi alle applicazioni aziendali in esecuzione sui server in un data center aziendale. Oggi i lavoratori da remoto si connettono ad applicazioni in esecuzione su infrastrutture che possono o meno essere gestite, possedute o controllate dall’azienda.
Con così tante nuove superfici e diversi tipi di ambienti da difendere, i controlli degli endpoint e della rete devono essere altamente adattabili e flessibili. Questo significa che le organizzazioni devono fornire una sicurezza che segua attentamente le risorse da proteggere. Per la maggior parte, questo significa che le strategie di cybersecurity debbano comprendere l’affidamento al cloud.
Sicurezza cloud-first, con le dovute cautele
Il passaggio a strategie di cybersecurity cloud-first è universale, nello sforzo per proteggere l’ambiente cloud-first. Tuttavia, questo passaggio porta anche determinate sfide. Il cloud non rappresenta certo una panacea per la sicurezza, e i controlli devono comunque essere monitorati dalle organizzazioni: se gli avversari vogliono attaccare su scala, il cloud è il luogo perfetto per farlo. Gli attacchi cloud-based, infatti, rappresentano il tipo di attacco più comunemente osservato a livello globale. Gli avversari sono pronti a sfruttare la trasformazione digitale intrapresa dalle aziende, ed è pressoché certo che vedremo attacchi cloud sempre più sofisticati nel corso del prossimo anno.
Il 2020 ha mostrato quanto sia importante la cybersecurity per la resilienza e la business continuity delle aziende in tutto il mondo. Le aziende sono in una posizione di forza per cogliere questa opportunità e andare oltre i silos degli approcci legacy e implementare strategie di cybersecurity unificate, adattate al contesto e intrinseche.
Di Raffaele Gigantino, Country Manager, VMware Italia
