Secondo il report “New Threats, new mindsets: being risk ready in a world of complex attacks”, la prevenzione è ancora il pilastro della cybersecurity aziendale. Nonostante questo, però, se un attacco è già avvenuto, l’individuazione e il primo intervento sono cruciali: un rilevamento tempestivo riduce i costi medi di recovery di più del doppio – da 1,2 milioni di dollari a 456 mila dollari per le grandi aziende. Alla luce dei recenti attacchi avanzati e degli attacchi diffusi come WannaCry ed ExPetr, le organizzazioni dovrebbero chiedersi “ma cosa succede se la mia azienda viene colpita?”. Tuttavia, con il fatto che, secondo il report, le aziende hanno difficoltà addirittura a capire quando si verifica una falla nel sistema di sicurezza, questa è una domanda molto difficile a cui rispondere.
Attacchi complessi e crescente insicurezza
I criminali informatici, sono di vari tipi, come le armi da loro utilizzate: dai truffatori meno sofisticati che si prendono gioco delle aziende meno protette colpendo su larga scala, fino ai gruppi di hacker organizzati che prendono di mira obbiettivi strategici con operazioni in cui non sempre utilizzano malware. E se può essere relativamente semplice evitare un attacco effettuato da hacker inesperti bisognerebbe essere veramente preparati per fronteggiare un grave danno
Lo studio di quest’anno rivela che gli attacchi mirati sono diventati una delle minacce con la più forte crescita nel 2017, con un aumento dell’11% per le grandi aziende. Non si tratta solamente del numero di attacchi: due terzi degli intervistati (il 66%) ritengono che le minacce stiano diventando sempre più complesse e per il 52% è difficile spiegare la differenza tra attacchi generici e complessi.
Questo sta diventando un problema serio per le aziende, che stanno iniziando a capire che rischiano seriamente di subire un attacco al sistema di sicurezza (il 57% rispetto al 51% dell’anno scorso), ma nonostante questo non hanno ancora una strategia efficace per rispondere a queste minacce (42%). L’entità del problema è più preoccupante se pensiamo che lo studio ha mostrato che per il 63% riguarda gli esperti IT e, quindi, coloro che hanno più esperienza in questo campo.
Il miglior incident response mix: tecnologia, persone e processi
Sorprendentemente, e nonostante il livello di incertezza riguardo alle strategie, la maggior parte delle aziende (il 77%) ritiene di spendere a sufficienza o addirittura di spendere troppo per la protezione contro attacchi mirati.
Questo probabilmente è dovuto a come la protezione delle minacce viene percepita: a volte infatti sono viste solo come un problema tecnico da affrontare adottando e impiegando soluzioni di sicurezza informatica più avanzate. Un approccio più equilibrato agli incident response, invece, consiste nell’investire non solo nelle corrette tecnologie, ma anche in personale con specifiche competenze e in processi corretti.
La tecnologia è una delle parti più importanti di questo mix. Come dimostra lo studio, c’è un chiaro bisogno di misure di sicurezza che vadano oltre la prevenzione e che forniscano una soluzione più completa aggiungendo inoltre funzioni di identificazione e risposta. Per esempio, il 56% delle aziende è concorde col fatto che ci sia bisogno di strumenti migliori per identificare e rispondere alle advanced persistent threats (APT) e attacchi mirati.
Questo è particolarmente vero dato che la velocità di rilevamento è fondamentale per ridurre l’impatto finanziario di un attacco. Secondo la ricerca, nell’ultimo anno appena un quarto (il 25%) delle aziende ha scoperto di aver subito un grave attacco lo stesso giorno in cui è avvenuto. Eppure un’identificazione immediata riduce significativamente i costi medi di recovery – per esempio, da 1,2 milioni di dollari per le aziende che impiegano più di una settimana a rilevare la minaccia, a 456.000 dollari per quelle che identificano la minaccia immediatamente.
Il personale costituisce un’altra componente fondamentale. Il 53% delle aziende ritiene di aver bisogno di assumere più specialisti con specifiche competenze in sicurezza IT, vale a dire in SOC management (security operation centre), incident response e ricerca delle minacce – un dato che sale al 61% nelle grandi aziende. Non c’è da sorprendersi visto che una mancanza di personale interno aumenta l’esposizione dell’azienda ad attacchi mirati, e inoltre aumenta l’impatto finanziario medio di un attacco su un’azienda – da 930.000 dollari a 1,1 milioni.
Per poter essere in grado di combattere efficacemente le minacce informatiche, le organizzazioni hanno bisogno inoltre di pensare all’incident response come a un processo, non a un punto di arrivo. Questo significa che c’è bisogno di un incident investigation framework globale, composto da un monitoraggio costante, rilevamento avanzato e critical security event mitigation.
“Ora che le aziende stanno iniziando a capire che le falle alla sicurezza informatica sono un rischio reale per la loro attività lavorativa, devono dare all’incident response l’attenzione che merita. Non può più essere una piccola parte dei compiti dei responsabili della sicurezza, ma dovrebbe invece essere integrata in un piano strategico e un investimento al livello più alto. Per le organizzazioni, questo non significa non essere più esposti al rischio, ma aiuterebbe di sicuro a essere preparati qualora si verificasse un attacco e a poter resistere meglio”, afferma Alessio Aceti, capo dell’Enterprise Business Division presso Kaspersky Lab.