In cybersecurity, gli attaccanti sono quasi sempre un passo avanti rispetto ai difensori. I loro vantaggi sono dovuti a molteplici fattori tecnici, organizzativi, storici e culturali. Per citarne alcuni, i cyber criminali sfruttano repentinamente le tendenze non appena si manifestano: pandemia, guerra, tasse, eccetera. Le aziende impiegano mesi a preparare strategie, approvare budget, implementare soluzioni. Molte aziende continuano ad avere un approccio reattivo invece che proattivo alla difesa informatica. Spesso la security è ritenuta una spesa e non un investimento, e viene adottata come aggiunta a posteriori dei progetti di trasformazione digitale, invece che come base portante.

Queste e altre criticità sono state più volte denunciate anche da Clusit, e nonostante gli appelli delle aziende di security, un cambio netto di mentalità pare ancora lontano, almeno in molti casi. Un tentativo differente, se non altro per la levatura degli autori, è quello contenuto nel report Defend Forward: A Proactive Model for Cyber Deterrence pubblicato da Cybereason in occasione del Cyber Defenders Council. È importante perché si ficalizza sul concetto di Defend Forward, l’approccio alla deterrenza informatica che ha avuto origine dal Dipartimento della Difesa degli Stati Uniti, e spiega come i responsabili della sicurezza possano adattarlo al settore privato attraverso sei principi guida.

Sono consigli formulati da 50 eminenti leader della sicurezza provenienti da organizzazioni del settore pubblico e privato in Nord America, EMEA e APAC, fra cui il generale Joseph Dunford, che per anni ha svolto un ruolo fondamentale nel riorientare la strategia di difesa informatica degli Stati Uniti.

Sei regole d’oro

Mettendo da parte i tecnicismi, le sei indicazioni degli esperti sono sintetiche e di facile comprensione. La prima è partire sempre dal presupposto di essere a rischio, e in funzione di questo pianificare gli scenari di attacco a cui l’azienda potrebbe essere soggetta. Tali scenari devono essere condivisi con il team dirigenziale affinché tutti prendano coscienza dei rischi.

La seconda regola parte dal vecchio insegnamento di Sun Tzu: conosci il tuo nemico. Nel caso degli attacchi informatici, è necessario conoscere le minacce, studiare gli attaccanti che con maggiori probabilità attaccheranno l’azienda. Conoscere i motivi e i metodi che userebbero per farlo, e di conseguenza le vulnerabilità nelle difese che potrebbero sfruttare.

Terzo punto è la collaborazione intersettoriale, finalizzata ad agevolare la condivisione dell'intelligence, necessaria per fronteggiare, prevenire e gestire gli attacchi di ultima generazione. Il quarto punto da seguire si riallaccia al precedente: utilizzare l’intelligence per guidare le decisioni di sicurezza in maniera strategica e tattica. Questo lavoro si converte poi nel quinto punto: una volta acquisita la capacità di analisi, i team di sicurezza possono gestire solo gli alert e i dati selezionati che richiedono effettivamente la loro attenzione.

Ultimo ma non meno importante consiglio: partire sempre dal presupposto di essere a rischio. È l'approccio corretto per creare programmi di security solidi, che promuovano la responsabilità e forniscono risultati aziendali e di sicurezza informatica significativi.