Data e Brand Security al centro del webinar dello scorso 9 giugno
I CIO di AUSED, insieme ad Antonio Pusceddu (Secureworks – parte di Dell Technologies) e Fabio Zezza (Dell Technologies, divisione DPS), si sono confrontati il 9 giugno scorso sui temi della Data Security. Un webinar incentrato non tanto sulle tecnologie ma sulla Vision che traina fortemente il tema della sicurezza dei Dati e del Brand aziendale, attraverso nuovi strumenti tecnologici proposti sul mercato da più vendor. A condurre l’incontro Mario Moroni, CIO di SC Sviluppo Chimica e Consigliere AUSED con il supporto di Alessandro Caleffi, ICT Director di ACS Dobfar Spa e Consigliere AUSED.
All’evento ha partecipato come ospite assai gradito il dottor Ivano Gabrielli, Vice Questore della Polizia di Stato – Direttore CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche), che ha esordito offrendo uno spaccato istituzionale, ricordando poi come la pandemia in corso abbia moltiplicato gli attacchi informatici a tutti i livelli, come dimostrato anche dal recente rapporto CLUSIT. L’anno in corso risulta infatti il peggiore di sempre, facendo assurgere il Ransom a emergenza internazionale. La Cyber Security è diventata un elemento primario in termini di investimenti poiché i perimetri da presidiare si sono amplianti. Allo stesso tempo anche gli sforzi della forza del CNAIPIC hanno subito un deciso aumento tanto che il reparto guidato dal dr. Gabrielli sta per vivere un “upgrade” divenendo a tutti gli effetti una Direzione Centrale, ovvero sarà a diretto riporto del Capo della Polizia.
Il dr. Gabrielli ha poi accennato a una vera e propria evoluzione del tipo di attacchi informatici che, partiti in modo indiscriminato, si sono sviluppati successivamente attraverso più stadi e verso nuove vulnerabilità. Attacchi che hanno visto colpiti in momenti diversi settori di mercato specifici, come ad esempio il mercato dell’energia e quello farmaceutico.
Dalla semplice compromissione di un pc, o attraverso la posta elettronica, si giunge ad attacchi in persistenza di criminalità organizzata in grado di infiltrarsi anche per diverso tempo nel sistema informatico al fine di ottenere credenziali importanti, disattivare sistemi antivirus, rimuovere back-up, distribuendo ransom e, non da meno, appropriandosi esternamente del know-how aziendale. Il tutto con l’obiettivo di chiedere un riscatto in moneta digitale all’azienda colpita. Per difendersi da questi attacchi è emerso dal dibattito come sia fondamentale strutturare meglio la data governance in azienda, ma occorra al contempo anche dotarsi di strumenti per il monitoring delle attività di rete in grado di identificare eventuali anomalie.
Il tema da affrontare non è più sicuramente di solo stampo tecnologico, ma è diventato fortemente strategico. Una domanda provocatoria emersa è stata capire se l’era del SIEM (Security Information and Event Management) sia terminata. Se ci si pensa, gli investimenti fatti dalle aziende in questi anni in cyber security sono stati molto rilevanti (si parla per l’Italia di 1,2B$ nel 2020, fonte NetConsulting Cube), quindi si è speso molto denaro (e molto tempo), ma in prospettiva ottenendo risultati marginali (si attendono infatti tra i 20 e i 25 miliardi di euro di danni legati ad attacchi cibernetici entro il 2024). Occorre quindi una nuova velocità. Ci sono aree di miglioramento urgenti e non più rimandabili che riguardano l’aumento della visibilità periferica della superficie attaccabile delle organizzazioni, la riduzione della complessità e la business continuity.
Dall’inizio dell’emergenza sanitaria il nostro paese ha prodotto una spinta verso i servizi di SaaS e IaaS in Cloud pari al 60% rispetto al 23% dell’anno precedente. Questo dato è da tenere fermamente in considerazione perché riguarda un pezzo importante della superficie attaccabile nelle aziende.
L’enorme quantità di tool per la sicurezza è divenuta per molte organizzazioni ingestibile e la sua complessità ne rende difficile il coordinamento e il controllo. Durante il webinar si è arrivati così a parlare di soluzioni XDR (Extended Detection and Response), ovvero tool realizzati per la sicurezza informatica in grado di analizzare i dati acquisiti dai vari sistemi, alla ricerca di attinenze che permettono all’azienda una miglior visibilità sull’intera infrastruttura. Ciò consente ai reparti IT la rilevazione di minacce che difficilmente possono essere demandate ai controlli di tipo più classico. Le soluzioni XDR possono venire considerate come la terza generazione dei Managed Security Services: soluzioni che facilitano il processo e che mettono a capitale una serie di strumenti in una unica piattaforma, o quantomeno in un sistema semplificato. Una piattaforma che fa vigilanza attiva su tutta la superficie attaccabile, su tutti gli endpoint, fisici e virtuali, sui data center (on premise e remoti, ovunque si trovino e con qualsiasi sistema operativo) e su tutto il flusso di rete. In un esempio si è evidenziato come attraverso l’utilizzo della piattaforma XDR di una realtà aziendale con una rete di 1200 endpoint e 2,5 miliardi di transazioni al mese, siano stati analizzati 900.000 eventi sospetti con 25 detections. L’Intelligenza Artificiale dell’XDR ha poi lasciato all’uomo l’attività di monitoraggio, assessment, difesa e mitigazione, per sole 15 vere minacce confermate sull’intero enorme numero di log inseriti nel funnel della piattaforma XDR.
L’evento ha poi virato verso il perché sia utile munirsi in azienda di un VAULT, una sorta di cassaforte digitale. Occorre spostare, innanzitutto, il focus dalla cyber security verso la cyber resilienza. Il termine di resilienza informatica lo possiamo riassumere nella capacità di un sistema informatico di riprendersi il più velocemente possibile da qualsiasi tipo di avversità. Si tratta, in sostanza, di un processo che si erige nel tempo attraverso l’analisi e la valutazione dei perimetri di sicurezza in azienda. La cyber resilienza diventa fondamentale nelle infrastrutture critiche, nei processi aziendali e ovviamente nei sistemi IT, dove diviene altresì utile l’ingegnerizzazione dei sistemi di backup. L’incontro ha evidenziato come la resilienza informatica sia fondamentale per organizzare le difese che si ritengono più adeguate, predisporsi a fronteggiare minacce e vulnerabilità ed effettuare strategie legate alla mitigazione a seguito di una eventuale falla. Fondamentale è anche la ricorrente verifica delle misure adottate per apporre gli eventuali aggiornamenti. All’interno di una strategia di resilienza, le minacce informatiche in continua evoluzione possono essere affrontate grazie all’analisi adattiva, all’apprendimento automatico e agli strumenti di analisi, per rilevare, diagnosticare e accelerare il ripristino dei dati con la sicurezza di un VAULT. L’approccio alla sicurezza – è stato ribadito – necessità sempre più di un orientamento olistico, che includa guideline, revisione dei processi, formazione alle persone, ma anche strumenti di recovery più avanzati ed evoluti in grado di isolare i dati importanti per il business, sottraendoli alla superficie di attacco, ma anche conservandoli in maniera immutabile in un VAULT. In questo modo si garantisce la disponibilità, l’integrità e la riservatezza del dato stesso. Un ulteriore occhio è stato dato alla Cyber Recovery Solution e al CyberSense che aggiunge un livello di protezione a queste soluzioni in tempo reale, rilevando i danni che si verificano quando un attacco è riuscito a penetrare il data center. CyberSense è una componente software che fornisce una soluzione sicura e potente per combattere ransomware e altri attacchi informatici. Quando un attacco supera le difese in tempo reale e danneggia file o database, si ha la certezza che i dati puliti siano isolati nel deposito di Cyber Recovery e siano stati analizzati da CyberSense. Questa componente software controlla, di fatto, l’integrità dei dati e determina se esiste un danneggiamento. Ciò consente alle operazioni aziendali di continuare senza interruzioni e di contrastare gli attacchi informatici in modo indolore e rapido.
In conclusione lo stimolo del webinar di questo evento AUSED è stato quindi quello di invitare tutti i partecipanti a guardare con maggiore attenzione a queste due tecnologie, XDR e VAULT, come approccio evolutivo nell’ambito della sicurezza dei propri dati aziendali e del proprio perimetro. Anche perché queste soluzioni una volta venivano solo incluse in contratti e piattaforme complesse e articolate, mentre oggigiorno l’offerta di mercato è molto più variegata e le rende disponibili alla gran parte delle organizzazioni.