Protezione delle identità digitali, cloud security, DevSecOps, ransomware e supply chain attack sono alcune delle maggiori criticità del 2023. Ne abbiamo parlato con Mario Ognissanti, Principal GTM Practice Cybersecurity per NTT Italia, che fotografa la situazione attuale di cybersecurity, apre una finestra su quella futura e dà alcuni consigli pratici sulle condotte da adottare per rafforzare la posizione cyber delle aziende.

Cloud security

A seguito della trasformazione digitale è emerso l’ormai noto problema della cloud security. In parte perché si è ampliata la superficie di rischio, in parte per gli errori di configurazione o, più in generale, per un errato approccio alla sicurezza cloud. Ognissanti sottolinea che “alla base delle misconfigurazioni c'è una mancanza di controllo olistica delle infrastrutture cloud, che sono ambienti completamente diversi da quelli tradizionali. Workload, microservizi, ambienti containerizzati, necessitano di una gestione puntuale e di una configurazione coerente dal punto di vista della sicurezza. Chi gestisce quegli ambienti deve sapere individuare gli errori di configurazione che possono essere sfruttati dagli attaccanti a cui interessa avere accesso non tanto alle applicazioni, quanto ai dati di cui si servono”.

Detto così sembra che non ci sia via d’uscita, Ognissanti puntualizza: “c'è una selezione di tecnologie che aiuta a mantenere il controllo e a rendere coerente tutto l'ambiente cloud dal punto di vista della postura di sicurezza”. Non solo, “per imboccare la giusta rotta NTT approccia qualsiasi progetto di cybersecurity con la security by design già in fase di pianificazione”. Per fare questo “è necessario tener conto di tutti gli aspetti coinvolti nel passaggio delle infrastrutture da on-premise al cloud, indirizzando sia le fasi di transizione sia, successivamente, quelle di consolidamento” chiosa Ognissanti.

Mario Ognissanti, Principal GTM Practice Cybersecurity per NTT Italia

L’esperto indica anche alcuni errori da evitare; in primis “incorrere in design implementativi che possono complicare un'infrastruttura cloud già attiva, ed evitare i problemi di configurazione dovuti alla stratificazione di diversi servizi e tecnologie”. In altre parole, non integrare soluzioni che producono scarsa visibilità e controllo sui sistemi. In secondo luogo, prosegue Ognissanti, è necessario “avere una buona conoscenza dell'architettura cloud, per evitare lacune della sicurezza”. Quest’ultimo punto può sembrare scontato ma non lo è: “nel caso del cloud l'approccio tradizionale alla sicurezza non è sufficiente, in quanto il cloud computing utilizza logiche di rete e di utilizzo delle risorse più dinamiche rispetto a quelle classiche. Tali dinamiche aumentano la possibilità di errore nelle configurazioni ed estendono la possibile superficie d'attacco, quindi è necessario monitorare i processi, avere visibilità dei flussi e verificare anche le autorizzazioni di accesso alle applicazioni da parte degli utenti”.

Non solo: Ognissanti consiglia anche di utilizzare logiche di micro-segmentazione per poter indirizzare i problemi di sicurezza all'interno del cloud. Da affrontare e risolvere è infatti la questione della frammentazione delle applicazioni, di cui abbiamo toccato con mano la fragilità in molteplici cyber attacchi recenti: “le applicazioni cloud si compongono spesso di tanti servizi divisi in una miriade di workload diversi che comunicano fra di loro attraverso flussi software. I cyber criminali hanno imparato a sfruttare questa frammentazione come veicolo d'attacco, perché basta trovare una vulnerabilità in uno dei citati microservizi per estendere poi l'attacco all'intera applicazione, all'intero servizio, e comprometterlo”.

Ognissanti cita ad esempio le API, che sono uno degli strumenti più utilizzati dagli attaccanti per compromettere le applicazioni. Abbiamo visto diversi casi di compromissione nei mesi passati e ne vedremo tanti nel 2023, quando le API si confermeranno una criticità. L’argomento peraltro non è fine a sé stesso perché è strettamente legato al DevOps, ossia dall’elevata velocità di sviluppo delle applicazioni, che spesso non tiene conto dell'aspetto più importante, ossia quello della sicurezza. Per questo si parla sempre di più di DevSecOps, ossia di uno sviluppo software che abbia la security come elemento intrinseco.

Come mettere al sicuro chi ha già fatto la migrazione al cloud

Il discorso dell’implementazione secured by design è ovviamente applicabile a chi sta pianificando la migrazione al cloud. Per chi l’ha già fatta, spiega Ognissanti, occorre invece “definire una strategia di assessment, che richiede la consapevolezza degli obiettivi di protezione e l’allineamento con il business aziendale. Ci si affida agli esperti di settore, come NTT, per questo passaggio, perché non ha senso investire nella chiusura di vulnerabilità che non apporterebbero alcun danno all’azienda. Ci si deve invece concentrare sul core business e sulle tecnologie che lo alimentano”.

La parte fondamentale della procedura di assessment è il “journey to cloud, su cui sviluppare un piano di protezione che consenta di mettere in sicurezza l'infrastruttura cloud, fornendo visibilità completa e strumenti specifici con la capacità di analizzare tutto quello che accade, dalla creazione di workload alle utenze. È a questo punto che bisogna poi iniziare ad applicare le policy in maniera graduale, per indirizzare tutte le necessità emerse dell'assessment”.

Il riferimento alle utenze chiama inevitabilmente in causa la questione della protezione delle identità. Partendo dal presupposto che l'identità digitale è il vero perimetro delle organizzazioni, oggi sempre più disgregate per via del lavoro ibrido, NTT sposa l’approccio ZTNA (Zero Trust Network Access). Le ragioni che adduce l’esperto sono quelle per le quali la maggioranza delle aziende - secondo i sondaggi recenti - sta considerando Zero Trust: i dati distribuiti a cui è possibile accedere direttamente dai propri dispositivi aumentano la superficie di rischio. E le piattaforme tradizionali di Identity Access non sono efficaci.

Al contrario, ZTNA “permette di proteggere i dati basando il controllo su diversi elementi contestuali dell'accesso, che tengono conto, oltre che dell'identità della persona, anche dei dispositivi utilizzati, della loro geolocalizzazione e da molteplici fattori”. Non solo, l’efficacia di questo approccio “parte dal presupposto che l'attaccante si è sempre in agguato, quindi la fiducia non dev’essere mai concessa in maniera incondizionata o permanente, per esempio basandosi sull’autenticazione dell'utente (singola o multi fattore). La fiducia deve essere continuamente valutata, senza per questo ostacolare l’esperienza d’uso, che è l’altro punto cardine di questa filosofia”.

Per questi motivi ZTNA sarà una tendenza non solo del 2023, ma anche nel futuro nell’ottica di sistemi passwordless.

Investimenti in cybersecurity

La consapevolezza alla luce dei gravi attacchi avvenuti gli ultimi anni, la disponibilità dei fondi del PNRR e anche gli annunci recenti del World Economic Forum sul partenariato pubblico-privato portano verso un innalzamento degli investimenti in cybersecurity. Il problema è in che cosa investire. Su questo argomento è molto interessante il paragone di Ognissanti: “la security è come la spesa per un'assicurazione: rappresenta un costo finché nulla accade. Le aziende si rendono conto che è stato un investimento solamente nel momento in cui riescono a mitigare un attacco”.

Quello che bisogna mettere a fuoco è il percorso logico da seguire. “La sicurezza di un'organizzazione parte nel momento in cui si definiscono delle strategie a medio e lungo termine che consentono di pianificare in anticipo le modalità di difesa rispetto a quelli che sono i propri fattori di rischio. Un’azienda deve calcolare la perdita effettiva che comporterebbe un certo tipo di attacco, e in funzione di questa determinare l’ammontare dell’investimento in cybersecurity. L'esempio più banale è quello del data breach: se in un attacco vengono trafugati dei dati, qual è il danno economico che ne deriva?”.

A questo punto si studiano le misure contenitive, con lo stesso approccio dei disastri naturali. Per calmierare i danni di un terremoto o di un’alluvione si colloca il duplicato dei dati in un datacenter situato in un’area con un fattore inferiore di rischio sismico o alluvionale. Lo stesso si dovrebbe fare con il piano di disaster recovery per i casi di data breach.

Ognissanti conclude che “la vera sfida delle aziende è proprio quella di bilanciare fra la spesa e l’aspettativa di beneficio”, ed è su questo argomento che molti clienti chiedono supporto a NTT sia a livello di analisi che di compliance. L’argomento riguarda sia le grandi aziende, sia le PMI, che diventano appetibili per i cyber criminali nel momento in cui sono parte della catena di fornitura. Con l’affermarsi degli attacchi alle supply chain, infatti, sono sempre di più le grandi imprese che chiedono ai piccoli fornitori di allinearsi a un determinato livello di sicurezza informatica. Esistono framework e persino certificazioni richieste per poter lavorare con determinate imprese.

Altre criticità per il 2023

La maggiore criticità per il 2023 sarà ovviamente il ransomware. Ovviamente insieme ai ransomware va di pari passo la piaga del phishing.È scontato, ma Ognissanti ribadisce che “è necessario alzare il livello di attenzione perché questo genere di minaccia, proprio per le modalità di attacco, è ancora il più diffuso e il più efficace sia per numero sia per target raggiunti. Oltre tutto, con la diffusione del modello Ransomware-as-a-Service gli strumenti di attacco sono facilmente reperibili nel dark web e possono essere utilizzati da chiunque”.

La prevenzione in questo caso non passa solo per i prodotti, ma anche e soprattutto per le competenze del personale, difficili oggi da reperire per il problema dello skill gap. Ognissanti consiglia a chi non disponesse di personale adeguatamente preparato di affidarsi a “operation center dei partner, con cui stipulare accordi sia per una protezione di livello superiore sia per la scelta degli strumenti”.

A influire sulle campagne ransomware non è solo la monetizzazione degli attacchi. Il contesto geopolitico mutato con la guerra in Ucraina ha portato gli APT a fare uso dei tipi strumenti del cybercrime e viceversa. Questo ha dei potenziali impatti devastanti. Gli APT, sovvenzionati dagli stati nazionali, hanno una capacità di fuoco di gran lunga superiore a quella dei gruppi di cybercrime, possono disporre di sistemi di attacco e di analisi superiori, oltre che di molto più tempo per lavorare alla preparazione di un attacco, di modo che sia molto più efficace.

In tempi non di guerra gli APT hanno sempre praticato campagne di spionaggio silenti per anni. Come abbiamo visto in Ucraina, la campagna ransomware può però essere declinata anche come tattica militare. Abbiamo visto il potenziale distruttivo dimostrato in Ucraina: se lo scopo è militare o politico l’attacco può bloccare i sistemi non per forzare il pagamento di un riscatto, ma semplicemente per metterli definitivamente fuori uso. Nel caso dello spionaggio, poi, Ognissanti conferma che in taluni casi la bonifica delle infrastrutture è tutt’altro che semplice, perché possono rimanere intatti degli artefatti che consentono successivamente di riattivare le backdoor e di proseguire con l’esfiltrazione dei dati a insaputa della vittima.