Cybersecurity, governance e best practice. Intervista a Cesare D’Angelo

Si susseguono giornalmente annunci di attacchi riconducibili al Cyber crime, alimentati dai venti di guerra che spirano dalla Russia

Foto di Donatella Maisto

Donatella Maisto

Digital Transformation and Sustainability Manager

Esperta Blockchain e digital transformation, tech-human need e sostenibilità nella sua accezione contemporanea. R&D Director di Blockchain Revolution

Abbiamo cercato, con la pubblicazione dell’articolo “Safer Internet Day e le criticità sulla Cybersecurity”, di comprendere strategie e regolamentazioni, così come di rappresentare tipologie di attacchi e di soluzioni in merito alla tematica Cybersecurity.

L’argomento è estremamente complesso, vasto e trasversale, perché impatta su tutti i settori produttivi, sulla PA e sui singoli cittadini. Per questo ci preme approfondire più che mai questo topic con chi, quotidianamente, si impegna a creare soluzioni, prodotti e servizi, per migliorare la gestione dei rischi legati alla Cybersicurezza, intervistando Cesare D’Angelo, General Manager Italy di Kaspersky.

Nel 2021 si è assistito ad un’accelerazione della trasformazione digitale dei processi aziendali, un incremento dello smart working, dell’utilizzo di dispositivi mobile e dei servizi cloud. Che impatto ha avuto tutto ciò sulla Cybersecurity Governance?

Con la crescente digitalizzazione, il lavoro a distanza e un maggior utilizzo dei cloud, gli ambienti IT sono diventati sempre più complessi e questa complessità può avere un impatto sulla visibilità delle minacce che prendono di mira le organizzazioni e sulla risposta agli incidenti. Infatti, lo scorso anno, per il 43% delle aziende europee garantire la sicurezza di tutte queste innovazioni ha rappresentato una delle principali sfide. La presenza di infrastrutture complesse è stata confermata anche da una nostra recente indagine qualitativa effettuata su un campione di quattordici realtà italiane medio-grandi, che operano in diversi settori (manufacturing, telco, servizi e retail). È emersa la presenza diffusa di un’infrastruttura di cybersecurity complessa, costruita nel tempo con soluzioni destinate spesso a risolvere problematiche specifiche. Complice la pandemia e la corsa alla digitalizzazione, nel 2020, sono state effettuate scelte in tempi rapidi per adeguare Vpn e sistemi di protezione degli endpoint, per arrivare nei casi più evoluti all’autenticazione multi-fattore e alla cyber threat intelligence. In questo contesto, poi, la preoccupazione principale dei responsabili IT è stata l’impossibilità di regimentare oltre una certa soglia il comportamento umano. Il timore che i dipendenti possano essere veicolo di un attacco, soprattutto ransomware, resta molto alto ed è per questo che si preferisce dover analizzare qualche falso positivo in più pur di non attivare meccanismi che potrebbero avere effetti devastanti sull’operatività e sul business.

Le notizie che ci pervengono dai Media in merito ad attacchi hacker sono sempre più numerose. La necessità di far fronte a un maggior numero di attacchi con infrastrutture sempre più complesse da proteggere e soluzioni eterogenee di sicurezza da gestire quali priorità impone?

Per contrastare la complessità delle infrastrutture e il numero maggiore di minacce la priorità è riuscire a prevenire gli attacchi. Per farlo è necessario aumentare la visibilità complessiva sulle cyber minacce e rispondere in tempi utili per evitare danni irreparabili. Un’infrastruttura complessa, con carichi di lavoro cloud e on-premise, VDI (Infrastruttura di desktop virtuale) e forza lavoro remota, richiede l’adozione di soluzioni con solide capacità di rilevamento e risposta e dotate funzionalità di Threat Intelligence. Kaspersky mette a disposizione delle aziende, per esempio, una piattaforma centralizzata di Threat Intelligence, CyberTrace, che permette ai team di sicurezza di condurre ricerche complesse su tutti gli Indicatori di Compromissione (IoC), di analizzare i rilevamenti ottenuti da eventi precedentemente esaminati e di misurare l’efficacia dei feed integrati grazie anche all’utilizzo di una matrice di intersezione dei feed. Inoltre, vengono proposte soluzioni con tecnologia EDR, che offrono una visibilità completa su tutti gli endpoint aziendali e strumenti di difesa avanzati, consentendo l’automazione delle attività di routine per rilevare gli attacchi ATP, assegnare loro la priorità, analizzarli e neutralizzarli; e servizi MDR (Managed Detection and Response), che offrono una protezione avanzata dal crescente volume di minacce, che eludono il rilevamento da parte dei sistemi di sicurezza, fornendo un valido supporto alle organizzazioni con risorse interne limitate.

Andando oltre, per poter mantenere sicuri sistemi specifici, è necessario un nuovo approccio in cui la protezione sia considerata fin dall’inizio dello sviluppo. Questo approccio “secure by design” aiuterà le aziende a raggiungere la Cyber Immunity dalla maggior parte dei rischi.

 Il rischio cyber delle “terze parti”. Come è possibile migliorare la gestione di questo tipo di rischio e rendere le aziende più consapevoli su questo tema?

Sono sempre più frequenti gli attacchi che colpiscono le aziende tramite i fornitori con cui collaborano. I dati aziendali, infatti, vengono generalmente condivisi con più terze parti che includono service provider, partner, fornitori e filiali. Pertanto, le aziende devono tenere in considerazione non solo i rischi di sicurezza informatica che interessano la loro infrastruttura IT, ma anche quelli che possono provenire dall’esterno. Anche perché questi attacchi forniscono ai cybercriminali molte informazioni importanti su possibili obiettivi e continuano ad essere redditizi. Infatti, secondo le previsioni dei nostri esperti, gli attacchi alla supply chain saranno un trend in crescita anche nel 2022. Proprio per questo motivo, nel momento in cui le organizzazioni valutano le esigenze di sicurezza informatica per la loro attività, dovrebbero prendere in considerazione il rischio di una violazione, che coinvolge i dati condivisi con i fornitori, soprattutto tenuto conto la gravità delle conseguenze. Le aziende dovrebbero classificare i propri fornitori in base al tipo di lavoro che svolgono e alla complessità dell’accesso che ricevono (se trattano dati e infrastrutture sensibili o meno) e applicare i requisiti di sicurezza di conseguenza. Inoltre, le imprese dovrebbero condividere i dati solo con terze parti affidabili ed estendere i propri requisiti di sicurezza ai fornitori. Questo vuol dire che, nel caso di trasferimento di dati o informazioni sensibili, andrebbe richiesta ai fornitori tutta la documentazione e le certificazioni (come SOC 2), in modo da confermare il livello di condivisione, che può essere messo in atto. In casi molto delicati, il nostro consiglio è quello di condurre un audit di conformità preliminare di un fornitore prima di firmare qualsiasi contratto. Inoltre, per ridurre al minimo il rischio di eventuali attacchi e violazioni dei dati per le aziende, è necessario utilizzare un’efficace protezione per endpoint con funzionalità di rilevamento e risposta alle minacce. I servizi di protezione gestiti, poi, aiuteranno le organizzazioni nelle indagini sugli attacchi e nella risposta degli esperti.

Come è possibile coniugare continuità del business e cyber resilienza?

In un contesto in cui le minacce al business crescono e si evolvono giorno per giorno, i piani di continuità sono un elemento fondamentale per il successo a lungo termine di qualsiasi organizzazione. Garantire la continuità delle operazioni critiche, assicurarsi che l’attività non abbia superfici d’attacco, segmentare le operazioni di sicurezza, sono tutte azioni atte ad aumentare la cyber resilienza di un’azienda. Le aziende che hanno implementato la business continuity, in un’ottica di prevenzione, sono sicuramente più performanti e resilienti e in grado di affrontare le sfide informatiche che si troveranno a fronteggiare. È importante garantire la diffusione di una cultura della prevenzione e della pianificazione delle strategie di recupero per rendere le aziende maggiormente performanti. Affidarsi a specialisti esterni e soluzioni di sicurezza EDR consente di prevenire l’interruzione delle attività aziendali e migliorare la sicurezza così da avere tutti gli strumenti per fronteggiare le minacce complesse e mirate. Ovviamente, non va dimenticato il ruolo del fattore umano nella cyber resilienza di un’azienda. I dipendenti sono ancora oggi uno dei principali vettori di attacco per le aziende. È quindi necessario lavorare sulla diffusione della cultura della sicurezza, dei rischi e della resilienza all’interno delle aziende in modo da favorire sempre più il diffondersi di comportamenti prudenti nell’utilizzo dei sistemi aziendali per la loro salvaguardia.

User Id e Password possono essere considerati sistemi di autenticazione superati per ritenersi al sicuro da attacchi e frodi?

È vero che user ID e password non sono sufficienti da sole per potersi proteggere da attacchi e frodi ed è assolutamente necessario implementare soluzioni di sicurezza affidabili per garantire la sicurezza dei dispositivi, ma non possiamo ignorare che questi sistemi di autenticazione continuano ad essere oggetto di interesse per i cybercriminali. Lo scorso anno, infatti, i nostri esperti hanno osservato una crescita dell’attività di truffatori che rubano le password utilizzando malware speciali chiamati Trojan-PSW.

Si tratta di stealer in grado di raccogliere informazioni di accesso e altre informazioni dall’account della vittima. I nostri esperti hanno analizzato i dati del 2020-2021, tra gennaio e settembre, relativi al numero di tentativi di infezione e utenti attaccati. Dalla ricerca è emerso che il numero di questi ultimi è cresciuto. Ad esempio, a settembre le vittime erano 160.000 in più rispetto ad aprile, con un aumento del 45%. Negli ultimi mesi, gli esperti di Kaspersky hanno anche notato un forte aumento del numero di tentativi di infezione: il terzo trimestre del 2021 (da luglio a settembre) ha visto una crescita quasi del 30%. Anche il numero totale dei rilevamenti è aumentato rispetto all’anno precedente, passando da 24,8 milioni a 25,5 milioni. Come dimostrano le statistiche, credenziali d’accesso, password, dettagli di pagamento e altri dati personali continuano ad essere oggetto di interesse da parte dei criminali informatici e dei dark market. Per questo motivo, è importante che gli utenti di internet continuino ad adottare tutte le precauzioni necessarie per proteggere i loro account. Ad esempio si può utilizzare l’autenticazione a più fattori, evitare di cliccare su link non sicuri inserendo le proprie credenziali e utilizzare una soluzione di sicurezza aggiornata.

Come evolveranno i sistemi di autenticazione in termini di sicurezza ed efficacia?

Negli ultimi anni abbiamo assistito ad una evoluzione dei meccanismi di autenticazione, in particolare, con l’inserimento di fattori multipli, che si tratti di OTP, informazioni biometriche o hardware. Di certo la quantità e l’alto valore delle informazioni contenute nei nostri dispositivi richiede una protezione maggiore della semplice password. Dobbiamo, anche, ricordare che nessun metodo di autenticazione è sicuro al 100%, lo dimostrano i tentativi (riusciti) di violazione dei sistemi basati su impronta digitale o gli attacchi Man-in-the-Browser usati per le frodi bancarie.

Quello che appare certo è che i criminali informatici continueranno ad attaccare le tecnologie di autenticazione sviluppando di conseguenza le loro tecniche. Sarà compito dei difensori adeguare le strategie di difesa di conseguenza.

Quali sono i dati più frequentemente “rubati”?

Diciamo che tutte le informazioni personali di utenti e aziende possono suscitare l’interesse dei cybercriminali ed essere più o meno redditizi. Oggi, poi, la quantità dei dati disponibili sul web è aumentata notevolmente rispetto al passato. Basti pensare a tutte le attività che vengono svolte online: acquistare abiti, allenarsi utilizzando un dispositivo che consente il controllo in tempo reale dei segni vitali, lavorare da remoto o effettuare transazioni bancarie sono solo alcune delle opportunità offerte dal mondo della rete. Le informazioni condivise online si diffondono molto più rapidamente rispetto a quanto potrebbe avvenire nel mondo reale e, una volta pubblicate, è quasi impossibile rimuoverle. Nel dark web si trova davvero di tutto e i prezzi a cui vengono venduti sono davvero molto bassi. Ad esempio, per le cartelle cliniche il costo varia da 1 a 30 dollari, mentre per comprare la scansione di un passaporto ci vogliono dai 6 a 15 dollari.

Le best practice della Cybersecurity nel 2022

Nonostante gli attacchi informatici siano sempre più frequenti e le imprese, soprattutto di grandi dimensioni, siano sempre più sotto l’occhio dei cybercriminali è possibile adottare delle misure per contrastare le minacce e minimizzare i rischi. La tecnologia e l’implementazione di un piano di gestione integrata dei rischi sono, ad esempio, elementi fondamentali per consentire alle aziende di essere più cyber-resilienti, soprattutto in presenza di particolari complessità. Ma la tecnologia senza un piano di formazione alla sicurezza informatica per i dipendenti può rivelarsi inutile: di fronte a un comportamento irresponsabile di un individuo, anche l’antivirus più potente rischia di essere inutile. La formazione dovrebbe, quindi, essere inclusa in qualsiasi piano di sicurezza aziendale e dovrebbe riguardare tematiche essenziali come la gestione di account e password, la sicurezza della posta elettronica, degli endpoint e della navigazione online. Inoltre, per proteggere i dati e salvaguardarli insieme ai dispositivi aziendali, è importante prevedere l’attivazione di una protezione tramite password, la crittografia dei dispositivi di lavoro e la garanzia di un backup per i dati, oltre che assicurarsi sempre che tutti i dispositivi, software, applicazioni e servizi siano sempre aggiornati con le ultime patch, per evitare che gli attaccanti possano sfruttarne le vulnerabilità. Inoltre, ribadiamo l’importanza della prevenzione attraverso strumenti come EDR e MDR, che aiutano a identificare e fermare gli attacchi nelle loro fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi. La sempre maggiore complessità degli attacchi non può più essere ignorata o sottovalutata e pertanto le aziende dovranno essere pronte a rispondere agli attacchi impostando un efficace piano di incident response, attraverso l’implementazione di una struttura difensiva adeguata, dotata delle più moderne ed efficienti apparecchiature. Kaspersky, ad esempio, offre i vantaggi di un security operations center (SOC) in outsourcing senza che i team interni debbano avere competenze specifiche nel threat hunting e nell’analisi degli incidenti il che può essere particolarmente rilevante per le aziende di medie dimensioni. Il servizio è arricchito da tecnologie di rilevamento e dalla vasta esperienza nel threat hunting e nella incident response di diversi team di esperti.

Cesare D'Angelo