Simulare gli attacchi per testare e verificare le tecnologie di difesa

Il tema della sicurezza è costantemente attuale. L’Internet of Things, la frammentazione delle superfici da proteggere, il ricorso al cloud sono solo alcuni degli elementi che hanno portato la cybersecurity a evolvere.

Davanti a minacce sempre più complesse è importante essere pronti con strumenti sempre più sofisticati e personale formato a una difesa più consapevole, per far fronte agli attacchi in modo vincente e, dove è possibile, prevenirli. Per un livello di sicurezza più elevato, accanto ai tradizionali strumenti di difesa, sempre più importanti sono i sistemi di simulazione di attacchi a un’infrastruttura. Inoltre, saper prevedere e valutare le conseguenze dei rischi, anche in termini economici, è determinante.

Per parlare di sicurezza, Cybersel, azienda specializzata nell’analisi e nella gestione del rischio informatico, ha organizzato, insieme a Soiel International, una tavola rotonda dal titolo “Simulare gli attacchi per testare e verificare le tecnologie di difesa”. L’evento, moderato da Paolo Morati, giornalista di Office Automation, ha visto la partecipazione di cinque aziende, tre delle quali hanno accettato di comparire in questo servizio con un intervento scritto.

Queste sono le domande che hanno fatto da spunto al dibattito:

1.Come giudica oggi lo scenario della sicurezza relativamente alle minacce odierne, agli strumenti di difesa implementabili e all’adozione di sistemi di simulazione di attacchi a un’infrastruttura? Quale ruolo possono giocare questi ultimi nella relativa strategia?

2. Quali sono i parametri, le variabili in gioco, e le sfide da affrontare quando si tratta di configurare le misure di protezione e come possono essere verificati in modo corretto?

3.Quali sono le metodologie più valide per valutare il ritorno degli investimenti delle soluzioni di sicurezza dell’infrastruttura e quali sono gli indicatori di riferimento che ritiene fondamentali in tal senso?

Gabriele Plutino, Cyber Security Officer in CSE (Consorzio Servizi Interbancari)

Gli strumenti di difesa sono svariati e l’affidarsi a uno di questi, di un qualsiasi top player, fornisce una valida contromisura almeno a livello tecnologico. Il punto nevralgico è il fattore umano, che può essere sia l’anello debole della catena, il primo ‘entry point’, sia la più importante linea di difesa. Per questo, a livello di sicurezza, si deve lavorare costantemente anche sulla formazione del personale. L’automazione può essere di aiuto, ma le persone sono fondamentali per una difesa adeguata, a tutti i livelli della piramide aziendale.

Un test di verifica tra i più interessanti è quello dell’adversary simulation che simula un attacco dall’interno. In base agli esiti di questa tipologia di test è possibile visualizzare eventuali falle del sistema. Un sistema di data loss prevention può correlarsi anche a un concetto di sicurezza in profondità. È fondamentale, infatti, non stare soltanto sul perimetro della superficie d’attacco, ma devono essere inserite linee di difesa in ogni strato, a livello networking, infrastrutturale, applicativo e così via. Allo stesso modo è necessario disporre di competenze interne adatte a usare al meglio le proprie tecnologie.

Una sfida che stiamo portando avanti è la gestione di un team eterogeneo. Spesso si ha difficoltà a trovare professionisti specializzati in questo settore perché la sicurezza, soprattutto a livello di governance, deve toccare più temi: dalla cyber threat intelligence ai VA/PT applicativi, dalla formazione aziendale alle frodi interne.

È bene anche ricordarsi che la protezione deve avvenire prima, durante e dopo un eventuale attacco. Devono essere considerati la mitigazione dei danni e il ripristino dell’attività nel minor tempo possibile. Le tre fasi hanno dinamiche e caratteristiche differenti, quindi anche gli interventi devono essere diversi. Un aiuto può giungere dalle dinamiche di attacco individuate dagli schemi resi disponibili dal MITRE ATT&CK (https://attack.mitre.org/). Basandosi su framework di sicurezza internazionali e già strutturati è possibile costruire valide basi di difesa.

Il ROI resta un tema delicato in ambito cyber. Capita spesso che si investa poco prima di un incidente e molto dopo che un incidente si è ormai manifestato. Per questo è importante il monitoraggio: per trasmettere il valore del proprio operato, utilizzando Key Performance Indicators e Key Risk Indicators; facendo anche una distinzione tra indicatori ex-post ed ex-ante, in modo da dare alla direzione un indice in più sullo stato di salute di un sistema e su quello che potrebbe accadere.

La mancanza di incidenti di sicurezza informatica non significa che non ci siano rischi: qui entra in gioco l’importanza del risk assessment. L’occhio attento del risk manager deve essere presente nell’individuare i processi critici e nel definire l’appetito al rischio. Certificare la propria impresa (per esempio con la ISO 27001), fare propri i framework di sicurezza internazionale, essere sottoposti a continui audit interni ed esterni, rende l’azienda più credibile agli occhi di tutti gli stakeholder.

Fabio Lanza, CTO e CISO di Atlantia

La sicurezza dell’ultimo miglio è quella più difficile di raggiungere perché, se non fatta, potrebbe invalidare gli altri investimenti. Tra le azioni fondamentali da compiere, per esempio, rientra l’aggiornamento costante delle configurazioni dei sistemi di difesa per far fronte alle minacce odierne e ai cambiamenti nell’ambiente e sulla superficie di attacco, l’aggiornamento tempestivo dei sistemi e degli applicativi per sanare le vulnerabilità e un investimento continuo nell’educazione delle persone.

Gli strumenti, sommati alle persone e ai processi, giocano un ruolo fondamentale per implementare una strategia di difesa approfondita (concetto identificato anche con la terminologia inglese ‘in-depth defense’) e dare visibilità sugli anelli deboli, che potrebbero essere esplorati da agenti malevoli durante un attacco.

Quando si tratta di configurare misure di protezione, uno dei fattori più importanti è il tempo, sia per identificare le vulnerabilità sia per sistemarle. Avere il 100% della superficie di attacco sotto costante monitoraggio delle vulnerabilità e un processo di patching strutturato che riesca a sanarle in modo tempestivo e periodico permette alle organizzazioni di possedere la reattività necessaria contro una buona parte delle minacce esterne. Le sfide possono essere varie; molto spesso sono affrontate valutando i potenziali costi complessivi. Bisogna operare con maturità, considerando le potenziali implicazioni di change management.

Credo che la metodologia più valida per valutare il ritorno degli investimenti sia l’analisi degli indicatori di sicurezza. I risultati ottenuti devono essere congrui con le aspettative iniziali e allineati con la strategia di gestione del rischio. Ogni società avrà un set di indicatori più importanti in base al proprio contesto. Per esempio, alcuni di questi indicatori possono essere la quantità di allarmi positivi scatenati, le compromissioni generate da e-mail di phishing e le quantità di vulnerabilità esistenti sull’ambiente.

Enrico Varriale,  R&D&T Management Navigation, Earth Observation and Telecommunications Italy,  CTO Department di Thales Alenia Space (TAS)

Lo scenario di sicurezza è legato al contesto economico e tecnologico, in cui alcuni temi critici sono la diffusione dell’Internet of Things, la frammentazione della superficie da proteggere e da cui ci si deve proteggere. Il settore spaziale ha infrastrutture e sistemi di release solitamente poco esposti verso le reti pubbliche; questo però non lo rende esente da problemi di sicurezza. Nel nostro settore si osserva un incremento e una tendenza alla digitalizzazione sia a livello di prodotti, sia di sistemi di produzione di soluzioni e infrastrutture. Tutto questo aumenta i rischi collegati alla gestione della cybersecurity. In questo contesto è sempre più importante garantire, oltre alla protezione, anche una cyber resilience in cui la capacità di gestire e rispondere alle minacce deve essere in linea con gli standard richiesti.

L’ambito ‘space’ è per certi versi avvantaggiato rispetto ad altri settori perché molto orientato su standard e policy di processi e di verifica ma, in virtù di una crescente complessità e stratificazione dei sistemi, aumenta anche la varietà degli schemi di attacco.

L’automazione del processamento dei dati e l’intelligenza artificiale possono essere elementi chiave nella trasformazione della cyber security. Tuttavia, nell’implementare una nuova tecnologia è sempre necessario avere un’accurata mappatura dei ‘blind spot’ delle soluzioni usate, sia per evitare un falso senso di sicurezza, sia per evitare di introdurre vulnerabilità di nuovo tipo; ci sono, per esempio, sviluppi anche nell’ambito degli attacchi rivolti a sistemi di intelligenza artificiale.

La cyber security deve essere affrontata in modo olistico, integrata alla governance, ai processi aziendali e alle attività quotidiane di management del rischio e in questo è essenziale un coordinamento efficiente degli organi di gestione.

In TAS, il responsabile di sicurezza riporta direttamente all’amministratore delegato sia per le attività operative, sia per la gestione delle infrastrutture a supporto. Questo perchè si vuole assicurare una governance integrata e puntuale della cybersecurity delle attività produttive.

Una sfida è rappresentata dalla protezione lungo tutta la value chain del business. Nel settore spaziale, per la complessità del processo produttivo, spesso la supply chain coinvolge un gran numero di fornitori, ciascuno con le proprie specificità anche rispetto alla sicurezza. Tutta la supply chain deve essere protetta e l’attività di test è fondamentale a integrazione di una continua analisi dei rischi, che possono mutare specialmente su orizzonti lunghi di attività.

La prima linea di difesa è la capacità di far procedere, di pari passo, l’adattamento delle misure e delle contromisure agli aspetti legati alla policy e alla governance di processi produttivi e prodotti.

I KPI restano un elemento imprescindibile per misurare non solo il ritorno d’investimento, i rischi sui costi di sicurezza, ma anche per valutare l’efficacia delle misure messe in campo. Più della scelta dello specifico KPI è determinante la selezione del paniere di KPI posti in relazione all’analisi di rischio, nel processo continuo di evoluzione del life cycle di cyber security.

Mauro Lisa,  Responsabile Business Development e Tecnologie di Cybersel

Cybercel si dedica, da anni, alla valutazione del rischio cyber, occupandosi di protezione e valutazione dei rischi. L’analisi della superficie d’attacco, la gestione del rischio delle terze parti, sono temi importanti e molto sentiti. Spesso, l’utente finale è l’anello debole della catena, di conseguenza le aziende devono pensare a una protezione a più livelli, che riguarda anche gli utenti esterni. Un altro tema importante è quello della riservatezza dei dati, anche e soprattutto quando si parla di export. Quanti fanno analisi dei dati, in genere, valutano quanto una realtà sia robusta al proprio interno, quanto sappia difendersi dai ransomware, se esiste consapevolezza in materia di sicurezza. Non bisogna, però, dimenticarsi dei dati che escono dai perimetri digitali delle aziende.

Grazie agli strumenti di valutazione del rischio o simulazione di attacco che rendiamo disponibili tramite Picus, piattaforma per la validazione dei controlli di sicurezza, valutiamo sia la prospettiva ‘outside in’ sia quella ‘in out’, perchè la detect filtration non può essere trascurata, anche pensando al GDPR.

Il tema della sicurezza, della fuoriuscita dei dati, del perché e come renderli disponibili è molto sentito in contesti internazionali, ma meno sul territorio italiano.

Quando si misura il rischio è importante comprendere qual è il ritorno dell’investimento; dal momento che gli strumenti per misurare il rischio e gli oggetti per fare protezione costano, bisogna capire quali vantaggi si ottengono da tutto questo. Molti clienti hanno bisogno di numeri per capire quale sia l’impatto economico del rischio sull’azienda. Per soddisfare queste esigenze servono strumenti adeguati, come quelli proposti da Cybersel.

Dopo aver ottenuto dall’impresa cliente informazioni sulla postura di sicurezza e sui rilevatori economici aziendali, almeno una parte del rischio può essere rilevata e quantificata. Ci estendiamo però oltre, ci interfacciamo con strumenti di risk assessment interni all’azienda, che forniscono report e vulnerabilità, dai quali si può determinare il rischio di ciascun servizio e asset IT in termini economici.

Tra i metodi che utilizziamo rientra la metodologia Fair, riguardante l’analisi, la misurazione e la quantificazione del rischio. Siamo disponibili a supportare le aziende nel viaggio per quantificare se il rischio è alto, medio o basso, quanto costa il rischio cyber e quanto fa da ostacolo all’impresa. Importante è che il livello di rischio sia valutato anche all’interno di un’analisi che lo rapporti al business. Anche il rischio reputazionale deve essere quantificato in termini statistici. Per quanto riguarda la cyber insurance, è vero che nel momento in cui il proprio rischio cyber è assicurato si ottiene maggiore protezione, ma è necessario capire a quanto ammonta il costo assicurativo, in relazione alla tipologia di rischio effettivo.

I costi derivati da un incidente cyber difficilmente sono citati dalle aziende. Quando il riscatto è stato pagato, le imprese non sono disponibili a comunicarne l’importo. Il nostro software lo richiede, ma se l’informazione è fornita oppure no è un dettaglio implementativo.