Cyber Risk, un tema tecnologico e culturale insieme
Da dove partire per valutare le soluzioni di security presenti sul mercato, che ormai integrano quasi sempre tecnologie di machine learning e intelligenza artificiale.
Garantire la sicurezza nei processi di trasformazione digitale è una istanza sempre più sentita, accelerata dall’emergenza Covid-19 che ha fatto fare alla società nel suo complesso un balzo in avanti inaspettato. Ormai la quasi totalità delle organizzazioni pubbliche e private, qualunque sia la loro dimensione il comparto in cui operano, sanno che devono attrezzarsi per mitigare il più possibile il Cyber Risk – che comunque non potrà mai essere completamente debellato – mettendo in atto una efficace pianificazione delle azioni necessarie per prevenirlo, combatterlo e, qualora un attacco andasse a buon fine, limitarne i danni il più possibile. Una sfida tutt’altro che semplice.
I consigli dei vendor
Tutti i principali vendor di security si stanno impegnando non solo nello sviluppo di soluzioni sempre più intelligenti e automatizzate, con il supporto fondamentale delle tecnologie di machine learning e intelligenza artificiale, ma anche nel fornire al mercato suggerimenti e consigli.
Ecco, ad esempio, tre fattori evidenziati da Edwin Weijdema, Global Technologist Product Strategy di Veeam Software. In primo luogo prestare attenzione al dark cloud, perché non solo le aziende ma anche i criminali informatici si stanno aggiornando. Si registra infatti un forte aumento di dark cloud dovuto alla migrazione dei criminali informatici verso il cloud, spesso per le stesse ragioni per cui lo fanno le aziende. Si va dalle cache basate su cloud, come di dati rubati come indirizzi e-mail e credenziali di autenticazione, fino alle informazioni personali identificabili come scansioni di passaporti, patenti di guida e fatture bancarie.
In secondo luogo bisogna essere consapevoli che non è sufficiente aumentare il budget di security per ritenersi al riparo: per rafforzarsi il più possibile è necessario investire su persone e processi, oltre che su tecnologie di ultima generazione. Le aziende spesso non sanno dove è meglio investire, se nella formazione dei dipendenti, nell’adozione (interno o esterno) di un SOC (Security Operation Center) o in tecnologia.
Ottenere un mix perfetto, secondo Weijdema, è praticamente impossibile, per cui è necessario disegnare le giuste priorità. In ogni caso bisogna assicurarsi che ogni membro dell’azienda mantenga alto il livello di attenzione, perché solo se tutti collaborano è possibile creare un vero e proprio ‘firewall umano’. E la collaborazione dovrebbe estendersi anche al di fuori dei confini dell’organizzazione, coinvolgendo clienti e fornitori, sino ad arrivare al tessuto sociale in cui si è inseriti.
Per quanto riguarda le tecnologie, infine, Weijdema suggerisce un approccio ibrido, preferendo modelli software-defined integrati e/o integrabili con servizi esterni: un approccio di sicurezza ibrido consente infatti ai team di sicurezza di essere in relazione con esperti di terze parti altamente qualificati e con le forze dell’ordine: più sicurezza e più know how per tutti.
Il ruolo dei SOC
A sua volta FireEye, in collaborazione con il Ponemon Institute, ha recentemente reso noto il ‘Second Annual Study on the Economics of Security Operations Centers: What is the True Cost for Effective Results?’ in cui vengono analizzati costi e benefici dei Security Operation Center (SOC), sempre nell’ottica di aiutare il mercato ad orientarsi.
Dallo studio emerge che le organizzazioni stanno affrontando un rilevante aumento dei costi derivanti dalle loro divisioni di security operations ma che, nonostante gli investimenti, sono ancora insoddisfatte della loro capacità di combattere efficacemente le minacce.
Più in dettaglio, più della metà del panel (51%) ritiene che il ROI (Return of Investment) del SOC stia peggiorando, e oltre l’80% ritiene che la complessità del SOC sia molto elevata.
Un altro aspetto analizzato dal report riguarda la soddisfazione degli addetti: nonostante un aumento generalizzato dei salari, l’aumento del carico di lavoro e le crescenti complessità fanno sì che l’85% del campione ritenga che lavorare in un SOC sia gravoso e molto difficile.
Le tecnologie più promettenti
Solo sistemi in grado di rilevare, correlare e analizzare tutte le interazioni aziendali alla ricerca di qualunque anomalia (il ‘campanello d’allarme’ che può preludere a un attacco), sono in grado di ridurre i costi e nel contempo incrementare i livelli di sicurezza e la soddisfazione degli addetti.
Secondo lo studio di FireEye le soluzioni su cui le aziende oggi sono maggiormente orientate a investire sono i sistemi XDR (Extended Detection and Response), Soar (Security Orchestration, Automation and Response), MDR (Managed Detection and Response) e Siem (Security Information and Event Management).
La frontiera forse più interessante, su cui si stanno concentrando gli investimenti di vendor consolidati e start up, è l’XDR, che rappresenta di fatto l’evoluzione dell’EDR, Endpoint Detection and Response. I moderni ambienti IT, infatti, sono sempre più complessi ed eterogenei, per cui non è più sufficienti portare visibilità e capacità di risposta automatizzata solo agli endpoint ma bisogna essere in grado di estenderle a tutti i livelli e ovunque risiedano dati e applicazioni, andando ad agire su tutto lo stack tecnologico dell’organizzazione.
Anche secondo Gartner le soluzioni XDR migliorano l’accuratezza dei rilevamenti e l’efficacia delle risposte in caso di attacco, anche se il suggerimento principale rivolto dagli analisti di Gartner a CIO e CISO è quello di adottare una mentalità strategica, basata su una valutazione continua e adattiva del rischio e della fiducia (Continuous Adaptive Risk and Trust Assessment, Carta), perché in questo modo è possibile valutare in modo più accurato le offerte dei vendor e capire come costruire una difesa disegnata intorno alle proprie specifiche esigenze applicando i concetti di previsione, prevenzione, rilevamento e risposta.
Cresce la consapevolezza delle aziende italiane
Tutte le soluzioni di security suggerite sono oggi alimentate da machine learning e intelligenza artificiale perché superfici di attacco, dati e applicazioni crescono a ritmi vertiginosi (basti pensare a 5G e IoT), e solo così è possibile avere un quadro completo degli asset aziendali e del loro utilizzo al fine di garantirne la governance ed evitare spiacevoli intrusioni.
Ma qual è il livello di maturità delle aziende italiane in merito all’intelligenza artificiale applicata alla security? Secondo l’edizione 2020 dell’Osservatorio Information Security & Privacy del Politecnico di Milano il 44% dei Ciso ne ha una conoscenza almeno discreta. Abbastanza ampio, inoltre il consenso sulle capacità dell’IA di garantire più sicurezza rispetto ai sistemi tradizionali e agli operatori umani (rispettivamente 86% e 85%) e rendere il personale addetto più efficiente (82%), anche se la maggior parte del campione ritiene che l’IA non possa sostituire completamente il giudizio umano nel contesto della security (89%) e il 77% pensa che sia necessario dotarsi di professionisti specializzati in questa disciplina.
In ogni caso l’impiego di algoritmi di intelligenza artificiale e machine learning per la gestione della sicurezza informatica è in forte crescita, soprattutto per quanto riguarda il monitoraggio di sistemi e persone, l’identificazione dei tentativi di phishing, la gestione degli incidenti e la prevenzione delle frodi, senza dimenticare la ricerca di vulnerabilità in fase di sviluppo software.
