La maggior parte degli attacchi cyber diretti contro le aziende sfrutta, direttamente o indirettamente, l’espansione della superficie di attacco che è intercorsa con la trasformazione digitale. Un passaggio che è stato lento e graduale, iniziato ben prima della pandemia, con la diffusione degli smartphone e dei dispositivi IoT. L’emergenza sanitaria ha solo svolto un ruolo di spartiacque sull’esistenza in essere del perimetro aziendale: prima tutto ciò che era connesso era protetto da solide barriere. Con l’avvento del lavoro ibrido le barriere si sono sgretolate e si è reso indispensabile gestire, anche sotto l’aspetto della security, qualsiasi dispositivo, dall’endpoint agli smartphone, passando per tablet, videocamere e qualsiasi oggetto connesso alla rete.

Inutile ricordare che questa trasformazione sta portando, e porterà, inestimabili vantaggi. Però la lettura è in chiaroscuro perché per beneficiare dei vantaggi senza brutte sorprese è necessario cambiare il proprio approccio alla security.

Gestione e monitoraggio

Prima di tutto, la rilevante quantità di dispositivi connessi dev’essere gestita. Ciò comporta l’ottenimento di una completa visibilità sulle superfici di utilizzo, siano esse interne o esterne alle aziende. Soprattutto quando si parla di dispositivi IoT, è difficile inventariare tutto e tenere aggiornati gli inventari. Da qui la necessità di meccanismi automatici che operino una scansione delle reti per individuare in maniera automatica quelli connessi. Una volta sbrigata questa incombenza si passa alla gestione, che deve essere necessariamente remota: lo stato di salute di dispositivi, applicazioni, risorse e dati, l’aggiornamento delle patch, i permessi di accesso e altro devono essere sempre verificabili, nel modo più semplice possibile per non sovraccaricare di lavoro il personale.

In questa fase è fondamentale che l'inventario degli asset sia integrato con una gestione delle vulnerabilità basata sul rischio. In altri termini, non tutto quello che è attivo ha la stessa importanza, quindi è bene individuare i “gioielli della corona” e fortificarli più e meglio del resto delle risorse per assicurare la business continuity. In una visione ideale, la gestione dev’essere automatizzata e includere anche il patch management e le attività di manutenzione dei servizi.

Security

Una volta sbrigata la prima fase bisogna passare alla messa in sicurezza. Prima di tutto occorre definire le policy di accesso alle risorse per qualsiasi endpoint, sia esso mobile, IoT o computer. A questo proposito il modello Zero Trust è quello che ha preso il sopravvento nell’ultimo biennio per la sua riconosciuta capacità di limitare gli accessi non autorizzati. Questo non esclude una pianificazione delle attività di formazione di tutto il personale, perché molti attacchi puntano sull’errore umano per andare a buon fine.

Nonostante tutto, un attacco può sempre superare la prima linea di difesa. È per questo che a chiudere il cerchio occorre una soluzione di prevention, detection e response di ultima generazione. Dev’essere capace non solo di riconoscere un attacco cyber alla minima avvisaglia, ma anche di porvi rimedio in maniera automatizzata.

I vendor di security offrono diverse opzioni, che ovviamente non sono tutte uguali, anche se quasi sempre vanno sotto al nome di XDR (Extended Detection & Response). Quelli più meritevoli di considerazione sono i prodotti che sfruttano l’Intelligenza Artificiale e il machine learning invece che appoggiarsi a banche dati che spesso non sono aggiornate, e che comunque non possono bloccare gli attacchi zero day.

Inoltre, è importante considerare l’opzione delle piattaforme uniche di gestione, che permettono tramite una singola console di configurare, monitorare e risolvere i problemi. Anche qui le soluzioni abbondano, l’importante è farsi supportare nella scelta del prodotto migliore per le esigenze verticali di ogni singola azienda.

I servizi

Ultimo ma non meno importante è il capitolo dei servizi. Molti vendor offrono SOC con esperti locali che sono attivi 7 giorni su 7, 24 ore al giorno, per affiancare ed assistere il personale interno dell’azienda. Sono una soluzione interessante per le aziende medio grandi che dispongono di una forza lavoro interna adeguata alle necessità. Per le piccole e medie realtà, che spesso hanno una sola persona che si occupa sia dell’IT che della security, l’opzione più consona da valutare è quella degli MSP/MSSP: in Italia il panorama è molto ricco di opzioni per tutte le esigenze e i budget, e svolgono sia una competente attività di consulenza per la scelta delle tecnologie da usare, sia le funzioni di SOC esterno.

Le informazioni su come scegliere l’MSP/MSSP più adatto alle proprie esigenze rimandiamo allo speciale sul tema.