Il punto sulla cybersecurity secondo Deda Cloud

La cybersecurity è uno dei temi più caldi nell’economia degli IT di aziende ed enti visto il grande impatto che può avere sul business e data la frenetica evoluzione dello stato dell’arte, unita con la forte esigenza di starne al passo e la complessità oggettiva che ciò presenta. Per fare il punto in vista di fine anno abbiamo intervistato Fortunato Lodari, Red Team manager del centro di competenza Cybersecurity di Deda Cloud.

Partiamo dalle novità, cosa ha portato avanti lo stato dell’arte di recente?

In ambito cybersecurity tecnologie e paradigmi stanno migliorando la sicurezza informatica e la capacità di rispondere alle minacce in continua evoluzione. Intelligenza artificiale e machine learning vengono sempre più utilizzati per analizzare grandi quantità di dati e rilevare modelli anomali, esempio con l’analisi comportamentale che si basa sull’osservazione dei comportamenti degli utenti e dei sistemi per individuare attività anomale. L’approccio comportamentale consente di rilevare minacce anche in assenza di firme specifiche associate a malware noti. Si tratta di novità con una maturità già elevata e trovano grande utilizzo anche nei nostri servizi.

In più, è da citare anche la diffusione di ‘security as code’ in ambito SaaS, ovvero l’integrazione della sicurezza direttamente nel processo di sviluppo del software per ridurre il rischio di exploit. Sono sempre più diffuse anche le attività Penetration Test e di RED Team Exercise per verificare la postura di sicurezza delle organizzazioni.

Le attività di RED Team mimano il comportamento dei ‘threat actors’ e rispecchiano fedelmente la realtà, così ne derivano le indicazioni chiave. Questi sono solo alcuni esempi, l’evoluzione continua sia fronte cyber che infrastrutturale, dove anche le nuove tecnologie di storage e di recovery stanno presentando novità che aiutano a limitare i danni. Rimane importantissimo non fermarsi perché siamo tutti in competizione con i threat actors.

Sono novità corpose, ma cosa è stato assorbito dal mercato durante quest’ultimo anno?

Queste novità stavano guadagnando mercato già da qualche anno ma l’adozione di tecnologie emergenti richiede tempo per essere pienamente assimilata dalle aziende e implementata su scala più ampia. Ora l’assorbimento è molto alto da parte di chi si è sentito in pericolo da vicino, o perché ha subito danni o perché ha visto un operatore vicino a lui affrontare un attacco, e sono tanti. L’ideale sarebbe che questa sensibilità diventasse culturale e non emotiva, il risvolto sarebbe molto positivo.

Nel frattempo gli attaccanti continuano a evolvere: in quali direzioni?

Ci sono molte tendenze generali che sono state rilevate in passato e che potrebbero continuare a influenzare il panorama delle minacce informatiche. Un esempio è il Ransomware Evoluto as a Service (RaaS), per cui operatori super specializzati nella scrittura dei ransomware propongono le loro opere as a service a chi cerca nuovi modi per eludere le difese. Inoltre, incluso nel pacchetto offrono tutto il necessario per comunicare indisturbati con le vittime. Sono processi che vanno a industrializzarsi premiando le varie specializzazioni. Questo porta a risvolti ancora più pesanti per le aziende colpite perché gli attaccanti sanno estrarne ancora più valore.

Ora prima della cifratura dei dati avviene l’esfiltrazione e la minaccia di pubblicazione degli stessi su canali pubblici, con gravi conseguenze fornte norme vigenti. Si stanno affermando anche gli attacchi alla supply chain e quelli alle infrastrutture critiche come l’energia, il trasporto e le reti di distribuzione dell’acqua. Gli attaccanti cercano di far leva su impatti di scala nazionale o regionale per avere un potere di estorsione molto alto. Anche il phishing avanzato rimane una delle minacce più significative e si sta evolvendo con l’uso di tecniche più sofisticate, sfruttando più informazioni e nuove strategie.

Con queste novità da che parte si sposta l’ago della bilancia?

L’equilibrio è dinamico e in continua evoluzione. Le minacce informatiche si evolvono costantemente, diventando sempre più sofisticate e mirate, mentre le contromisure cercano di adattarsi per proteggere le reti, i sistemi e i dati. Spesso le novità tecnologiche quando integrate riescono a tenere la partita aperta, la differenza sul risultato viene poi fatta a livello locale nell’organizzazione, in quanto molte minacce si basano su azioni umane, e la formazione e la sensibilizzazione degli utenti sono diventate sempre più cruciali.

La consapevolezza (da coltivare), l’adattabilità e la collaborazione sono chiave per mantenere un ambiente digitale sicuro. Ci si può lavorare insieme a un buon partner, che arriverà con serietà a definire il percorso da fare, partendo da assessment e test e non propinando prodotti da scaffale. In prospettiva, bene è anche che il partner abbia le competenze per erogare un servizio di security operations center (SOC) di qualità, che fa la differenza nei momenti cruciali e non solo. Queste alcune riflessioni che possono aiutare a procedere con consapevolezza.