Sono otto i trend per la cybersecurity che secondo trend Micro avranno un peso rilevante quest’anno. Eccoli, con i commenti degli esperti.
Autore: Redazione SecurityOpenLab
Ransomware, social engineering, lavoro da casa, cloud security, blockchain, vulnerabilità, integrazione IT/OT e piattaforma unica di cybersecurity sono i protagonisti delle otto previsioni di Trend Micro sui trend di quest’anno in ambito cybersecurity, dettagliate da Salvatore Marcis, Technical Director Italy Trend Micro.
I punti di partenza sono fondamentalmente due: il primo, sottolineato da Ed Cabrera, Chief Cybersecurity Officer Trend Micro, è che le superfici di attacco delle aziende continuano a crescere in maniera esponenziale. Per i cyber criminali è l’occasione giusta per sferrare attacchi, per le aziende è l’occasione giusta per adottare una difesa efficace. L’altro punto fermo – puntualizza Marcis - è che le soluzioni di sicurezza possono essere efficaci nella misura in cui minimizzano l’impatto, ma non possono impedire che l’attacco avvenga.
Alcune delle previsioni di Trend Micro riguardano elementi di novità, altre fattori ben noti che semplicemente si sono evoluti con l’introduzione di nuove tecniche e/o strategie da parte degli attaccanti. L’esempio più palese di quest’ultimo caso è il ransomware: gli esperti si aspettano che i criminali informatici smetteranno di bloccare l’operatività delle aziende.
Cercheranno invece un accesso persistente che permetta loro di esfiltrare quanti più dati possibili per poi rivenderle le informazioni sul darkweb. L’opzione del riscatto resta, ma legata alla promessa di non diffusione dei dati. I motivi di questo cambiamento sono molteplici, fra cui il fatto che gli attacchi vecchio stile stanno diventando sempre più rischiosi, e che oggi è il dato ad essere l’asset più importante per le aziende. A maggior ragione nel momento in cui la situazione economica porta a ridurre gli investimenti in ricerca e sviluppo: i dati che ci sono acquisiscono valore, la loro vendita comporta maggiori guadagni.
Sul tema ransomware è stato interessante il contributo nel dibattito di Stefano Vercesi, CISO di Pirelli, che ha chiamato in causa la consapevolezza dei rischi da parte della classe dirigente. A suo avviso le assicurazioni considerano ormai gli attacchi cyber un evento certo, per questo si stanno chiamando fuori dal settore o stanno rimodulando la propria offerta ponendo condizioni per assicurare il rischio cyber. Il nodo della questione non è quello assicurativo, quanto la certezza degli attacchi cyber: la consapevolezza dei rischi dev’essere condivisa da tutto il management, a tutti dev’essere chiaro che i rischi cyber sono rischi di business. La comprensione di questo concetto passa per i corsi di awareness, che nel caso del management non servono solo per gestire la piaga del social engineering di cui si parla a breve.
Sul fronte del social engineeering, gli esperti ricordano che si tratta di uno dei vettori più utilizzati sia negli attacchi ai privati che alle aziende. E che è spesso una delle chiavi di volta per attacchi vincenti alle supply chain. I filtri per la posta elettronica bloccano all’incirca il 99 percento dei messaggi malevoli, per il resto è l’awareness che deve intervenire. Detto questo, anche i migliori corsi, con simulazioni periodiche, possono aiutare molto ma non funzionare nel 100% dei casi.
Innanzi tutto, perché i messaggi oggi sono scritti talmente bene da non essere facilmente distinguibili da quelli falsi come avveniva un tempo. In secondo luogo, perché gli attacchi sono altamente mirati: oggetto, argomento nel testo e link/allegati sono spesso quello che il dipendente stava aspettando per terminare un task. Inoltre, non sono da sottovalutare la pressione e la stanchezza dei dipendenti in alcuni periodi chiave dell’anno, come la chiusura dell’anno fiscale, la candidatura a gare d’appalto e altro: è in questi momenti che il fattore umano ha la meglio e la guardia viene abbassata. È in questo momento che anche il tecnico più esperto può cadere in inganno.
Il lavoro da casa, nato per far fronte all’emergenza pandemica, è ormai una realtà diffusa e stabile che soddisfa molti lavoratori dipendenti, ma comporta un ampliamento del rischio in quanto ha cambiato profondamente il perimetro aziendale e richiede nuove policy di sicurezza aziendale, che si possono sintetizzare con l’applicazione dell’approccio Zero Trust. Il problema che denota Trend Micro è che le aziende stanno ancora rincorrendo tale approccio alla security.
La questione cloud è complessa: nella transizione digitale la stragrande maggioranza delle aziende non si è limitata a traslocare in un cloud gli asset che un tempo erano on-premises. Li ha ripartiti in molte piattaforme differenti (multicloud), ha aggiunto app e servizi web su piattaforme terze che hanno policy e procedure di gestione dati completamente differenti fra loro. La difficoltà oggi quindi non è più la generica migrazione cloud del 2020, ma la necessità di livellare la security in modo da garantire le stesse policy e gli stessi controlli su tutte le risorse cloud.
Il capitolo della blockchain è uno dei pochi in fase di ridimensionamento. È calato l’interesse per le transazioni NFT. La blockchain continuerà ad essere usata, soprattutto nelle transazioni finanziarie, ma lo sarà molto meno nella certificazione di provenienza dei prodotti.
Al contrario, le vulnerabilità restano sulla cresta dell’onda. Fa sorridere l’osservazione di Vercesi quando commenta: “nel 2023 siamo ancora qui a parlare di vulnerabilità”. Lo siamo e lo saremo ancora per molto perché permangono le difficoltà legate alla chiusura delle falle note dovute alla complessità nell’aggiornamento del parco applicativo. Nonostante gli automatismi e la riconosciuta importanza del patching, sono ancora troppi i sistemi esposti a falle che sono ormai risolte da mesi o anni. Il problema oltre tutto è acuito dalle vulnerabilità open source, di cui Log4j è stato un esimio rappresentante.
La sempre maggiore commistione fra IT e OT è un argomento di cui si discute da qualche anno ormai. È l’ingrediente fondante dell’Industria 4.0 ed è il passaggio chiave per la digitalizzazione dei processi produttivi. I vantaggi indiscussi che porta l’Industria 4.0 sono controbilanciati dai gravi problemi di sicurezza dovuti alla connessione in rete di soluzioni OT. Sia i vantaggi sia gli svantaggi aumenteranno con l’adozione del 5G. L’ideale sarebbe disporre di specialisti della OT security, ma lo scontro con lo skill gap è provante. Come sottolinea Vercesi, se oggi è difficile trovate uno specialista di IT security o di cloud security, trovarne uno di OT security rasenta l’impossibile.
A chiudere la carrellata di trend c’è ovviamente la piattaforma unica di security, di cui sentiamo parlare da oltre un anno. Equivale alla sicurezza a 360 gradi. Ci sono diverse proposizioni sul mercato, l’essenziale è che il prodotto sia in grado di racchiudere tutti gli aspetti della security in una sola console: analisi comportamentale, minacce, visibilità degli asset on-premises e in cloud, controllo e policy di accesso, permessi e molto altro. Inoltre, è fondamentale che sia in grado di condividere e ricevere informazioni da provider esterni come per esempio Cert-AGID, perché ricordiamo che la security non è competizione, è collaborazione.
Nonostante i buoni auspici e le promesse, tuttavia, è bene ricordare che tutte le piattaforme di security hanno un limite invalicabile: possono minimizzare l’impatto di un attacco ma non possono azzerarlo.