Il 2020 è stato un anno molto impegnativo sotto l'aspetto della cyber security. Abbiamo parlato a lungo di come la pandemia abbia spinto le aziende a intraprendere un percorso accelerato di digital transformation, che in mancanza di competenze ha creato gravi falle nella sicurezza. I cyber attacchi di per sé non si sono evoluti, ma i cyber criminali hanno dimostrato una grande resilienza nello sfruttare le numerose occasioni che gli si sono presentate.

Soprattutto, i cyber criminali hanno compreso che le alleanze strategiche sono la chiave del successo. Gruppi criminali hanno avviato collaborazioni incrociate fra di loro e con i gruppi APT. Sono esplose le rivendite sul dark web degli account compromessi, i servizi a pagamento quali Ransomware-as-a-service e Malware-as-a-service. Le informazioni che passano di mano agevolano nuovi attacchi, che ormai sono quasi sempre mirati. 

I ransomware si sono dimostrati molto remunerativi, grazie anche alla tecnica del doppio ricatto ideata dal gruppo Maze e ormai oggetto di numerose imitazioni. Per questo gli attacchi di questo tipo sono cresciuti. La scarsa formazione degli utenti, unita alle incertezze della pandemia, ha spinto al successo le campagne di phishing, che hanno sfruttato ampiamente il tema COVID per andare a segno.

Imperdonabili ritardi nell'installazione delle patch da parte delle aziende ha causato importanti data leak che hanno causato danni di immagine oltre che finanziari. Sul piano tecnico, è da annotare l'evoluzione del malware con tecniche di evasione più sofisticate. Gli antimalware tradizionali non funzionano più. È necessario l'impiego di Intelligenza Artificiale e machine learning, e una threat intelligence di alto profilo, per prevenire e fronteggiare adeguatamente le minacce. 

Fin qui i punti fermi di una parte degli insegnamenti del 2020, che devono necessariamente portare a importanti aggiustamenti di tiro.

Non ripetere gli stessi errori

La premessa per iniziare il 2021 con il piede giusto è non ripetere gli errori commessi in passato. Le aziende hanno molto da fare. Devono consolidare pochi fornitori di cyber security, di grande esperienza e competenza, che predispongano soluzioni di sicurezza adeguate alle nuove infrastrutture cloud ibride che sono state implementate. È imperativa una visione unificata di tutta l'infrastruttura, perché ogni punto cieco è una possibile falla da cui possono introdursi le minacce. Ove ci sia un cloud ibrido è obbligatorio tenere conto del shared responsability module nell'implementazione delle soluzioni di sicurezza.

Le molte PMI che non dispongono internamente di competenze specifiche possono fare affidamento sugli MSSP, che sono in forte ascesa e che possono offrire strumenti altamente raffinati e figure professionali qualificate. 

Dato che il perimento aziendale non esiste più, ogni endpoint dev'essere protetto con soluzioni di ultima generazione che facciano capo ai principi moderni di cyber security indicati sopra, soprattutto in relazione alle email. Una protezione adeguata non basta se manca una formazione idonea: dato che gli utenti sono il nuovo perimetro, ogni dipendente aziendale, a prescindere dal ruolo e dal grado di responsabilità, deve seguire un percorso di formazione continuativa durante tutto il corso dell'anno. 

Inoltre, è caldeggiata la valutazione di soluzioni per il controllo degli accessi di nuova generazione, come Zero Trust, per contrastare i problemi di sicurezza delle password, lo shadow IT e i movimenti laterali dei cyber criminali. 

Non ultimo, per fronteggiare i ripetuti attacchi che sfruttano le falle di sicurezza è fortemente consigliata l'adozione di soluzioni per l'automatizzazione del patching. Non si può più temporeggiare e rimandare l'installazione degli aggiornamenti di sicurezza a data a destinarsi. Nel 2020 ci sono stati casi lampanti: l'8 luglio Citrix ha pubblicato delle patch per vulnerabilità dei suoi apparati di rete, il 10 luglio era già attiva la scansione della rete per trovare i dispositivi senza patch. Un gruppo criminale, Nefilim, ha approfittato proprio di una falla nota di Citrix per attaccare con successo Luxottica. È accaduto lo stesso con F5 e con Palo Alto Networks. Questa tendenza si consoliderà, le patch devono essere installate tempestivamente.

Come si preannuncia il 2021

Il 2021 non parte sotto ai migliori auspici. Il COVID-19 sarà ancora in circolazione per buona parte dell'anno, quindi le persone saranno ancora vulnerabili alle campagne di phishing a tema coronavirus. E lavoreranno ancora da casa. Se le soluzioni consigliate per il 2020 non fossero ancora state implementate, dovranno essere implementate con urgenza. 

Anche perché la situazione è più complicata che nel 2020: è in arrivo il 5G. Significa che gli attacchi viaggeranno a velocità superiori. E che, compromettendo gruppi di dispositivi, gli attaccanti potranno sferrare offensive ben più devastanti di quelle viste finora. Il rischio non riguarda solo gli ambienti IT: la convergenza sempre più stretta fra IT e OT amplierà i rischi anche per il quest'ultimo settore, che comprende anche le infrastrutture critiche.

Il 2021 dovrebbe anche essere il primo anno di ampia diffusione delle auto elettriche. I cyber criminali hanno già dimostrato più volte di sfruttare ogni novità a proprio vantaggio. Le auto elettriche potrebbero essere la prossima frontiera degli attacchi, con colonnine compromesse che impediscono la ricarica e quindi l'uso dell'auto.

Un mix di vecchio e nuovo

Quelli che abbiamo segnalato non sono tutti gli elementi di novità. Sono sufficienti per far comprendere un concetto molto importante: oltre ai problemi che si sono verificati nel 2020 e di cui conosciamo l'insidiosità, nel 2021 se ne sommeranno di nuovi. Questo alza l'asticella del rischio e indubbiamente complica le cose per chi deve gestire una cyber security da cui sempre più spesso dipende la produttività (e la redditività) aziendale. 

La prospettiva non deve scatenare il panico. Serve una reazione ragionata e coerente, che deve partire da una dettagliata e onesta analisi del rischio. Con l'aiuto di professionisti competenti e di esperienza è necessario analizzare gli asset che vengono usati per la produttività, quindi sia quelli aziendali, sia le dotazioni domestiche.

Una volta definito il quadro completo bisogna adottare tutte le soluzioni funzionali al mantenimento dell'operatività aziendale. Devono essere chiamati in causa il controllo d'accesso, i permessi, le soluzioni per la tutela dei dati, i backup, la threat intelligence, eccetera.

È chiaro che non esiste la ricetta perfetta per schivare qualsiasi attacco. Anzi, bisogna agire nella consapevolezza che gli attacchi si verificheranno. Ma che con una difesa adeguata si potranno fronteggiare limitando al minimo di danni.