Com'è cambiata la cybersecurity a 15 mesi dall'inizio della pandemia? Se la situazione della security in Italia è migliorata, a che punto siamo a che cosa manca? Sono domande che è lecito porsi dopo avere assistito a un importante incremento di cyber attacchi ai danni di aziende, istituzioni e infrastrutture critiche. Le abbiamo girate a Denis Cassinerio, Regional Sales Director Sud Europa di Bitdefender. Ecco la sua opinione.

Nonostante l'incremento della superficie d'attacco, forzato anche dalla decuplicazione dell'adozione di sistemi di accesso alle informazioni, il mercato della security è cresciuto in dimensioni nanoscopiche. Gli attacchi ransomware sono aumentati in modo consistente, facendo capire che bisogna correre ai ripari.

Il risultato è che si è innescata una ricerca di servizi di cyber security, con un maggiore interesse rispetto al passato per le soluzioni di Detection and Response. Questo indica che il mercato è più preparato a recepire questo tipo di contesto. Allo stesso tempo, la vendita delle polizze assicurative di tipo Cyber è schizzata alle stelle, segnale che la percezione e la consapevolezza del rischio informatico sono aumentate. La logica di gestione del rischio cibernetico comincia a diventare oggetto della sostenibilità dell'azienda.

Denis Cassinerio, Regional Sales Director Sud Europa di Bitdefender

Dal prodotto al servizio

Sotto l'aspetto tecnologico, a 15 mesi dal COVID, alcuni concetti dell'abilitazione dei servizi di security stanno diventando più comuni anche fra gli specialisti di settore. Per esempio, si parla molto di più delle tecnologie XDR, e stanno nascendo più progetti per la protezione degli endpoint. Si nota inoltre una maggiore predisposizione dei clienti a “farsi gestire” con servizi di managed detection and response integrati nelle proprie soluzioni di security.

Tutto questo denota un cambiamento nelle priorità di investimento, con il passaggio dalla sola tecnologia all'integrazione di skill, processi e analisi del darkweb. Quest'ultimo è diventato uno step chiave, che permette di verificare come ancora sia debole la gestione delle identità e delle credenziali, che sempre più spesso vengono rilevate nel mercato illegale del web, con lo scopo di essere riutilizzate per sferrare attacchi informatici, in tempi brevissimi: Aggiungendo il monitoraggio del dark web, dove avvengono le compravendite di dati, è possibile svolgere un'azione efficace di rilevamento e prevenzione. L'associazione fra servizio e prodotto fa diventare la tecnologia secondaria (ma sempre fondamentale in termini qualitativi), quello che si cerca sono l'expertise e l'integrazione di servizi esternalizzati per far fronte alle necessità di sicurezza conseguenti alla trasformazione digitale.

Inoltre, le convergenze normative hanno avuto un peso maggiore che in passato. In diversi paesi d'Europa il recepimento della normativa NIS2 ha portato a una richiesta immeditata di soluzioni gestite per la security. Ci aspettiamo che si verifichi qualcosa di analogo anche in Italia.  

Altro cambiamento è l'esponenziale adozione di soluzioni flessibili offerte dagli MSSP (Managed Security Service Providers) . Un'altra riconferma della crescita della tecnologia come servizio. Bitdefender ha un'offerta che aiuta in particolare anche i clienti nella fascia medio bassa del mercato, che possono implementare soluzioni di Detection and Response a costi accessibili.

La maggiore consapevolezza e la crescente percezione della sicurezza come abilitatore di business aumenterà ancora di più nell'ottica degli attacchi alla supply chain.  Occorrerà una verifica sempre più approfondita delle applicazioni e l'abitudine di chiedere conto ai fornitori della sicurezza del codice prima di installare un programma, per avere la certezza di non cadere vittima di una release contaminata.

Le novità dell'offerta di Bitdefender

L'azienda ha di recente annunciato la Cloud Workload Protection Platform, che introduce una serie di controlli nei container. Le analisi di settore anticipano che in quest'ambito ci saranno forti spostamenti dalla virtualizzazione tradizionale all'utilizzo dei container. Bitdefender da una parte continua ad avere un occhio strategico sui datacenter, e quindi sull'evoluzione verso cloud e hybrid cloud. Dall'altra, con CWPP aggiunge un ulteriore tassello di una strategia a lungo termine.

I container offrono vantaggi indiscussi dal punto di vista della security, ma se aggrediti hanno anche degli svantaggi molto forti perché si moltiplicano i problemi legati alla vulnerabilità dei sistemi. Con la nuova soluzione anticipiamo una tendenza tecnologica che si svilupperà nel corso dei prossimi due o tre anni: il mondo dei container permette una scalabilità immediata, e la comunità che lavora nel settore dei datacenter sta cogliendo a pieno questa trasformazione. Si calcola che fra 2-3 anni il 70% di chi oggi ha delle infrastrutture in ambito cloud adotterà delle soluzioni container per sostenere il workload.

Attack chain: si può bloccarle sul nascere?

Quasi sempre un attacco inizia con una email malevola o con l'uso di credenziali rubate. Annientare questi due fattori permetterebbe di bloccare sul nascere una percentuale consistente degli attacchi. Sembra facile a dirsi, ma non lo è altrettanto da attuare. Il primo problema, secondo Cassinerio, è che il più grosso fallimento dell'informatica sono le password. Ci sono molte alternative, fra cui la biometria, ma rendono semplicemente più difficile il percorso di ricostruzione delle identità, oggi messo sotto scacco dall'Intelligenza Artificiale e da tecniche di hacking molto raffinate.

Dal deep fake agli attacchi che partono dai profili social per poi risalire all'identità delle vittime, le alternative per orchestrare un attacco di successo sono molte. La realtà è che ostacolare questi attacchi è molto complicato con gli strumenti che abbiamo a disposizione oggi, e a volte diventa persino anti economico. Significa fare in modo che tutti attuino comportamenti corretti nella gestione dell'identità, sviluppare skill e dinamiche che richiedono fondi non sempre disponibili.

Quando si passa ai payload poi è un'impresa impossibile. Agli attaccanti basta un errore sul codice, una vulnerabilità zero-day o un plug in installato inavvertitamente per andare a segno. E questo lavoro viene fatto da un'organizzazione criminale che è sempre di più as-a-service, con figure che hanno una specializzazione verticale sul singolo aspetto dell'attacco. Quando poi si parla di APT si va anche nell'ambito di Nazioni che dispongono di gruppi criminali associati e di risorse economiche, ormai praticamente infinite.
Oltre tutto, quello del cybercrime è un mercato in crescita. Statistiche riferiscono che entro il 2024 il 70% della popolazione digitale americana avrà accesso al dark web: sono potenziali utenti da reclutare. Per questo diventa strategico non considerare più l'azienda fine a sé stessa, ma tutto quello che c'è attorno. In pratica, bisognerà passare dal monitorare una superficie d'attacco lineare all'analisi di una superficie sferica e multidimensionale.

È anche per questo che Bitdefender ha implementato servizi di monitoraggio del Darkweb: incrociare i dati del lato oscuro del web con quelli di telemetria sta diventando strategico per individuare vettori e ricerche di sorgenti di attacco per definizione non indicizzabili Nell'offerta Bitdefender questa associazione si crea anche con l'impiego strategico di diversi moduli all'interno della piattaforma Gravity Zone, supportata dal nostro SOC. Inoltre, alcuni moduli come Endpoint Risk Analytics (ERA)  fanno leva sulla riduzione del rischio. ERA considera tre elementi principali: le misconfigurazioni dei sistemi (50% delle cause degli attacchi), vulnerabilità applicative di sistema operativo e rischio umano. In chiave roadmap, si assoceranno a quest'ultima anche i training di awareness alla persona, in funzione del livello di rischio.

Cyber Security Operations Center e Piano Nazionale di Ripresa e Resilienza

Oltre al cambio di rotta delle aziende private, in Italia è alle porte anche un cambiamento importante voluto dalla politica. Il Governo italiano ha iniziato a investire in sicurezza informatica con il il Piano Nazionale di Ripresa e Resilienza, associato al Perimetro di Sicurezza Nazionale Cibernetica. Abbiamo chiesto un'opinione a Denis Cassinerio.

"Non credo che abbiamo bisogna di un'agenzia nazionale sulla cyber security, se non per facilitare le assunzioni e la retention di esperti, credo invece che abbiamo bisogno di discutere in Parlamento a partire dal nostro Primo Ministro, del fatto che la cyber security è un pezzo importante del Paese. Questo non viene fatto abbastanza. Purtroppo le tecnologie in Italia non sono mai state al centro dell'attenzione politica. In altri termini, non siamo la Silicon Valley, ed i piani di certificazione andranno a complicare ancora di più il rapporto pubblico-privato nella adozione di tecnologie innovative ed efficaci per la protezione cibernetica nazionale ed Europea.

Lo stesso sistema di certificazione nazionale, guidato dal CVCN, per come vuol essere implementato in futuro, è un ulteriore aggravio di costi per chi può aiutare l'Italia a crescere sulla security. L'idea di base è quella di certificare i prodotti a seconda delle singole trattative, con scarsa visibilità su come ottimizzare gli investimenti fatti e certificazioni già incassate nelle trattative precedenti. Questo potrebbe rendere anti economico supportare la Pubblica Amministrazione italiana. All’estero le cose sono più semplici sebbene qualitativamente significative ed assicurano velocità alla PA. Basti pensare che il percorso di certificazione, obbligatorio, potrebbe durare 120 giorni dopo l’assegnazione della gara della infrastruttura critica. Impensabile considerando che la velocità in ambito Cyber non è trascurabile. Costi e balzelli sostenibili solo dai Big Player non europei, ovvero una contraddizione in termini rispetto la strategia europea di valorizzazione delle risorse del nostro continente. 

La stessa concezione di perimetro poi è sbagliata, è un ossimoro. Il perimetro non esiste in una security che deve affrontare attacchi multidimensionali. Sul PNRR, inoltre, c'è un accantonamento di fondi a schema in cui la voce cyber non compare. Se si pensa alla vastità di problemi ed esigenze di digitalizzare un intero Paese, porterà a degli investimenti diluiti, senza creare un paradigma nuovo. Quello che servirebbe è un approccio organico alla cyber".