Profilo dell'esperto: David Atch
La carriera di David Atch nel campo della sicurezza e il suo approdo a Microsoft sono atipici: "Ho iniziato nelle Forze di difesa israeliane (IDF) in un ruolo legato alla cybersecurity per cui operavo nella difesa contro gli attacchi e nella ricerca delle minacce. Mi sono occupato molto di risposta agli incidenti, analisi forensi e interazione con i sistemi di controllo industriali".
Mentre prestava servizio nell'IDF, Atch ha conosciuto due colleghi che avrebbero poi fondato la società di sicurezza industriale IoT e OT CyberX. Successivamente, al termine del suo servizio nell'IDF, è stato reclutato da CyberX. "Scherzando, dico che non ho mai fatto un colloquio di lavoro. L'esercito non fa colloqui: ti recluta e basta. CyberX mi ha reclutato e poi Microsoft ha acquisito l'azienda, quindi non ho mai fatto un colloquio di lavoro formale. Non ho nemmeno il CV".
"Quasi tutti gli attacchi a cui abbiamo assistito nell'ultimo anno sono partiti da un accesso iniziale a una rete IT sfruttata nell'ambiente OT. La sicurezza delle infrastrutture critiche è una sfida a livello mondiale difficile da affrontare. Occorre puntare sull'innovazione per creare strumenti e condurre ricerche che permettano di scoprire di più su questi tipi di attacchi.
Il lavoro di Atch in Microsoft si concentra su questioni relative alla sicurezza IoT e OT. Comprende lo studio di protocolli, l'analisi del malware, la ricerca delle vulnerabilità e delle minacce stato-nazione, la profilatura dei dispositivi per capire come si comportano in una rete e lo sviluppo di sistemi che arricchiscono i prodotti Microsoft con la conoscenza dell'IoT.
"Viviamo nell'era delle connessioni: ci si aspetta che tutto sia connesso per fornire un'esperienza in tempo reale in cui il software IT si colleghi a una rete consentendo ai dati OT di fluire nel cloud. Penso che questo sia il futuro per Microsoft, ovvero dove tutto è connesso al cloud. Questo fornisce analisi dei dati più preziose, automazione ed efficienza che le aziende in precedenza non erano in grado di raggiungere. La velocità travolgente dell'evoluzione connessa di questi dispositivi e l'inventario e la visibilità incompleti degli stessi da parte delle organizzazioni spesso adattano le condizioni a favore degli aggressori", spiega Atch.
Detto questo, l'approccio migliore per combattere gli utenti malintenzionati che colpiscono IT e OT è Zero Trust e la visibilità dei dispositivi. Capire quali elementi si trovano in una rete e a cosa sono connessi è fondamentale. Il dispositivo è esposto a Internet? Comunica con il cloud o qualcuno può accedervi dall'esterno? Se sì, disponi dei mezzi per individuare l'accesso di un utente malintenzionato? Come gestisci l'accesso dei dipendenti o dei collaboratori esterni per individuare le anomalie?
Poiché gestire le patch potrebbe essere impossibile in alcune organizzazioni, o potrebbe richiedere molto tempo, e nella community degli operatori alcuni software non sono supportati, è necessario ridurre le vulnerabilità con altre misure. Ad esempio, un produttore non può semplicemente chiudere una fabbrica per occuparsi del test e dell'applicazione delle patch.
Devo aggiungere che non faccio questo lavoro da solo. Il talentuoso team di ricercatori ed esperti in rilevamento delle minacce e difesa mi consente di continuare a imparare ogni giorno".