Trace Id is missing

CISO Insider: Problema 1

Scarica
Condividi
Uomo che guarda un tablet in un magazzino.

Esplora l'attuale panorama delle minacce con un'analisi esclusiva e consigli da parte di leader della sicurezza

Sono Rob Lefferts, responsabile del team di sviluppo di Sicurezza Microsoft 365. Il mio team ed io (e i team di ricerca di Microsoft Security con cui collaboriamo) dedichiamo la nostra completa attenzione a individuare e contrastare le ultime minacce che le nostre società, i nostri clienti e l'intera comunità globale stanno affrontando.

Finora, abbiamo condiviso i nostri briefing sulle minacce solo internamente, ma abbiamo deciso di iniziare a renderli pubblici tramite CISO Insider. Il nostro obiettivo è fornire alle organizzazioni a livello mondiale le più aggiornate informazioni dettagliate sulla sicurezza e indicazioni per proteggere dal crimine informatico l'ambiente e i clienti in modo più efficace.

Il Problema 1 inizia con tre argomenti importantissimi per molti di noi:

  • Tendenze relative agli attacchi: gli attacchi si evolvono, ma gli strumenti di base offrono ancora una protezione preziosa
  • I rischi del business: Gestione delle minacce alla catena di approvvigionamento
  • Nuovi approcci per far fronte alla carenza di talenti nel campo della sicurezza

Il COVID-19 ha costretto le organizzazioni a ricorrere maggiormente alla flessibilità del luogo di lavoro e accelerare la trasformazione digitale, e questi cambiamenti naturalmente hanno reso necessarie alcune modifiche anche nelle tattiche di sicurezza. Il perimetro si è esteso ed è sempre più ibrido, estendendosi su più cloud e piattaforme. Anche se le nuove tecnologie sono state una manna per molte organizzazioni, rendendo possibile la produttività e la crescita anche in tempi così difficili, i cambiamenti hanno anche presentato un'opportunità per i criminali informatici, che lavorano per sfruttare le vulnerabilità trovate in ambienti digitali sempre più complessi.

L'aumento degli attacchi di phishing relativi al lavoro remoto è in cima alle priorità dei professionisti della sicurezza con cui ho parlato, e ciò è risultato anche dalla nostra ricerca. In un sondaggio condotto da Microsoft nel 2020, il 55% dei leader della sicurezza ha affermato che le loro organizzazioni avevano rilevato un aumento degli attacchi di phishing dall'inizio della pandemia e l'88% degli intervistati ha dichiarato che gli attacchi di phishing avevano interessato la loro organizzazione. Anch'io sento spesso parlare dell'aumento di attacchi ransomware, di come il malware rimanga una minaccia costante e di come la compromissione delle identità continui a essere una grave piaga che affligge i team della sicurezza.

Inoltre, sappiamo che gli attacchi stato-nazione sono sempre più aggressivi e persistenti. L'attacco alla catena di approvvigionamento NOBELIUM, sfruttando la piattaforma SolarWinds, è stato uno dei tanti nuovi attacchi che hanno riempito le prime pagine dei giornali nell'ultimo anno. Mentre nuove tecniche grossolane diventano spesso di tendenza, i CISO mi ripetono continuamente che anche questi attori di minacce avanzate, come la maggior parte dei criminali informatici, tendono a concentrarsi su attacchi a basso costo e a valore elevato.

"Se degli attacchi stato-nazione colpiranno me e la mia azienda, sarà una vera catastrofe. Può succedere, ho paura che succeda, ma non tanto quanto mi preoccupano le mie attività quotidiane, la mia sicurezza di base."
CISO di servizi finanziari

Per chiarire ulteriormente questo punto, abbiamo visto un aumento di autori di attacchi stato-nazione che utilizzano la tecnica del password spraying. Essere un leader della sicurezza significa gestire i rischi e le priorità, e molti leader mi raccontano che il rafforzamento dell'igiene informatica per prevenire le linee di attacco più comuni, in particolare nel crescente footprint digitale, è la loro massima priorità. I nostri dati e la ricerca supportano questa opinione: stimiamo che l'igiene della sicurezza di base protegge ancora circa il 98% degli attacchi (vedi pagina 124 nel Report sulla difesa digitale Microsoft, ottobre 2021).

La maggior parte dei leader della sicurezza con cui mi confronto concorda sui passaggi fondamentali per una strategia di sicurezza:

  • Implementare l'autenticazione a più fattori (MFA) e criteri di registrazione
  • Ottenere visibilità sull'ambiente
  • Formazione degli utenti
  • Mantenere il controllo della gestione delle vulnerabilità e degli aggiornamenti
  • Gestire e proteggere tutti i dispositivi
  • Proteggere le configurazioni di risorse e carichi di lavoro locali e sul cloud
  • Garantire il backup qualora si verifichino i peggiori scenari di recupero
"Alla fine, la maggior parte del tempo, è... una stupida password in un account con privilegi, o è qualcuno che non ha implementato un certificato in un particolare endpoint richiesto."
CISO del settore sanitario

Si può pensare che è facile parlare delle procedure di sicurezza fondamentali, ma è molto più difficile metterle in pratica, soprattutto quando un team è sovraccarico di lavoro e a corto di personale. Ma vorrei sottolineare che essere un leader della sicurezza consiste nel gestire i rischi e le priorità, e questo rende l'utilizzo di strumenti di base un approccio pienamente pragmatico. Troppo spesso, gli incidenti della sicurezza non riguardano tanto il SE ma il QUANDO. Ci sono centinaia di statistiche allarmanti sulla cybersecurity; ad esempio, ogni giorno vengono lanciati circa 4000 cyberattacchi solo negli Stati Uniti e vengono hackerati più di 30.000 siti Web in tutto il mondo.

Credo che la migliore linea di difesa sia l'adozione di un approccio bilanciato e l'investimento in prevenzione, rilevamento e reazione agli incidenti.

Anche se può sembrare difficile investire in nuovi livelli di prevenzione mentre si cerca ancora di tenere il passo delle crescenti esigenze in merito a rilevamento e reazione, trovare il giusto equilibrio tra questi due sforzi è essenziale e vantaggioso. Da uno studio del 2021 di Ponemon Institute e IBM Security è emerso che le organizzazioni senza un piano o un team di risposta agli incidenti hanno riscontrato un aumento fino al 55% del costo medio delle violazioni dei dati. I team della sicurezza che possono bilanciare una prevenzione solida con una strategia che include una risposta agli incidenti e investimenti in strumenti di rilevamento e correzione saranno pronti per affrontare qualsiasi imprevisto.

I risultati?

Adotta un approccio bilanciato: predisponi gli strumenti di base e definisci un piano per le possibili minacce.
  • Investire nell'igiene informatica di base ed estenderla all'ambiente digitale in crescita è una strategia fondamentale per proteggere la tua azienda da un attacco fin dall'inizio.
  • Anche se questi gravi attacchi non avvengono tutti i giorni, è importante essere pronti e preparati. Le basi sono fondamentali, ma le organizzazioni lungimiranti puntano ad avere un piano ben documentato e testato per le azioni da intraprendere dopo una violazione.

Passiamo alla prossima priorità per i CISO di questi giorni: le catene di approvvigionamento e le loro minacce intrinseche. Espandere il perimetro di sicurezza all'esterno dell'organizzazione di sicurezza e dell'IT a causa di una catena di approvvigionamento sempre più connessa e complessa è una realtà dell'ambiente aziendale di oggi. Un report di Sonatype di settembre 2021 ha rilevato un aumento del 650% rispetto all'anno precedente negli attacchi alla catena di approvvigionamento dal 2020.

Sì, hai letto bene: 650%!

E le nuove realtà aziendali, come il lavoro ibrido e le interruzioni della catena di approvvigionamento di tutti i tipi, che interessano tutti i settori, hanno esteso ancora di più i confini delle identità e della sicurezza.
1013

Numero medio di fornitori nella catena di approvvigionamento di una società

Fonte: BlueVoyant,

"CISO Supply Chain", 2020

64%

Aziende che affermano di esternalizzare più di un quarto delle loro attività quotidiane ai fornitori che richiedono di accedere ai loro dati aziendali

Fonte: (ISC)2, "Securing the Partner Ecosystem", 2019

Non c'è da stupirsi se i leader della sicurezza stanno dedicando una maggiore attenzione ai rischi relativi alla catena di approvvigionamento: non solo qualsiasi collegamento nella catena di approvvigionamento è essenziale per le operazioni di un'azienda, ma anche eventuali interruzioni nella catena possono causare una miriade di danni.

Man mano che i leader della sicurezza espandono l'esternalizzazione ai fornitori per app, infrastruttura e capitale umano, cercano framework e strumenti più efficaci per valutare e ridurre i rischi relativi ai vari fornitori. Perché quel 650% è spaventoso per tutti.

Come sostengono i CISO, le misure di controllo tradizionali possono essere efficaci per ridurre i rischi durante il processo di selezione o durante le verifiche, ma i loro team stanno lottando con i limiti tipici delle verifiche periodiche:

  • Le procedure di controllo dei fornitori spesso includono solo un questionario o un "elenco di controllo" che non prevede tutti i rischi relativi alla catena di approvvigionamento di oggi.
  • Dopo l'onboarding di un fornitore, è previsto un unico ciclo di controllo, spesso annuale o al momento del rinnovo del contratto.
  • Spesso, diversi reparti di una stessa azienda hanno diversi processi e funzioni, e non è chiaro come condividere le informazioni tra i team interni
"I fornitori chiave sono quelli su cui facciamo grande affidamento o quelli che ci supportano di più nel realizzare la nostra vision. Qualsiasi problema del fornitore avrà un impatto notevolmente dannoso sulla nostra organizzazione."
CIO, ricerca scientifica

Queste misure fanno sì che le organizzazioni non siano in grado di garantire la conformità e ridurre i rischi in tempo reale. Di conseguenza, è molto più difficile per i team della sicurezza rispondere ai comportamenti anomali, come mettere in quarantena software esterni compromessi o impedire l'accesso alla rete con credenziali di amministratore perse. Se gli attacchi recenti ci hanno insegnato qualcosa, è che anche la migliore igiene informatica e la massima attenzione nelle prassi di base per identificare, valutare e ridurre i rischi non possono eliminare del tutto la possibilità che le minacce penetrino nelle catene di approvvigionamento.

"Abbiamo controlli annuali con i fornitori principali e, a seconda del livello dei fornitori, possiamo ripeterli ogni due anni, ogni tre anni e ripetere una valutazione. Ma una valutazione fornisce solo delle informazioni temporanee. Non convalida i controlli dell'intero anno."
Membro del comitato consultivo per i clienti di Microsoft Supply Chain Management

Quindi come si possono gestire i rischi della catena di approvvigionamento garantendo comunque agilità e produttività? Molti leader della sicurezza affrontano le minacce relative alla catena di approvvigionamento in un modo molto simile a come gestiscono i cyberattacchi: concentrandosi sui solidi strumenti di base e migliorando la visibilità.

Esistono tantissimi tipi diversi di rischi associati all'ecosistema dei fornitori, quindi non abbiamo una standardizzazione chiara, "procedure consigliate" e nemmeno delle tecnologie precise per gestirli. Tuttavia, molti leader della sicurezza ricorrono a un modello Zero Trust per ridurre l'esposizione ai rischi e proteggere l'ambiente dalle vulnerabilità che si celano sempre dietro le minacce alla catena di approvvigionamento, come credenziali di utenti di terze parti compromesse, dispositivi infettati da malware, codice dannoso e altro.

Zero Trust è un approccio alla sicurezza proattivo integrato in tutti i livelli del patrimonio digitale che verifica in modo esplicito e continuo ogni transazione, afferma l'accesso con privilegi minimi e si basa sull'intelligence, sul rilevamento avanzato e sulla risposta in tempo reale alle minacce.

I leader della sicurezza affermano di essere riusciti a ridurre l'impatto dei più gravi attacchi alla catena di approvvigionamento e a migliorare l'efficienza generale delle operazioni relative alla catena di approvvigionamento implementando solide strategie basate su Zero Trust. Infatti, secondo un recente studio condotto da Ponemon Institute e IBM Security, le organizzazioni che hanno introdotto Zero Trust da più tempo hanno riscontrato una riduzione del 40% nel costo medio di una violazione rispetto alle aziende senza Zero Trust.
"Zero Trust ci ha permesso di creare un framework e definire modalità di accesso per proteggere tutte le risorse critiche nella nostra organizzazione."
Decision-maker della sicurezza in ambito sanitario
"Dopo avere riflettuto molto, almeno per quanto riguarda il controllo, ci siamo affidati a Zero Trust. Invece di farci mille domande e poi provare a capire come controllare tutto ciò che riguarda quel particolare ambito, è meglio fare il contrario e cominciare da zero, rendendo disponibile solo quello che serve davvero. Quindi penso che... Zero Trust stia avendo una nuova vita nel settore."
CISO di azienda di produzione di beni di consumo confezionati

Ipotesi di violazione

Mentre i primi due principi consentono di ridurre la probabilità di una compromissione, presumere una violazione aiuta le organizzazioni a prepararsi per rilevare e gestire velocemente una violazione predisponendo processi e sistemi come se si fosse già verificata. In pratica, significa usare meccanismi di sicurezza ridondanti, raccogliere dati di telemetria sul sistema, utilizzarli per rilevare anomalie e, ove possibile, collegare tali informazioni all'automazione che consente di prevenire, gestire e risolvere eventuali minacce quasi in tempo reale. Come sostengono i CISO, stanno investendo nell'implementazione di sistemi di monitoraggio avanzati in grado di rilevare cambiamenti nell'ambiente (come un dispositivo IoT compromesso che tenta di aprire connessioni non necessarie con altri dispositivi) per identificare e contenere rapidamente un attacco.

I leader con cui ho parlato di Zero Trust concordano sul fatto che sia un framework eccezionale per definire un'igiene informatica di base, inclusa la gestione della catena di approvvigionamento.

Vediamo come i leader della sicurezza impiegano i principi Zero Trust per proteggere le proprie catene di approvvigionamento.

Verifica esplicita

Effettuare una verifica esplicita significa esaminare tutti gli aspetti pertinenti delle richieste di accesso anziché fidarsi a prescindere basandosi su deboli garanzie come il percorso di rete. Nel caso delle catene di approvvigionamento, gli utenti malintenzionati in genere sfruttano le lacune nella verifica esplicita, ad esempio trovando account di fornitori con privilegi elevati che non sono protetti con l'autenticazione a più fattori o inserendo codice dannoso in un'applicazione attendibile. I team della sicurezza stanno rafforzando i loro metodi di verifica ed estendendo i requisiti dei criteri di sicurezza agli utenti di terze parti.

Utilizzo dell'accesso con privilegi minimi

Dopo aver applicato il primo principio, l'accesso con privilegi minimi aiuta a garantire che le autorizzazioni vengano concesse solo per soddisfare specifici obiettivi aziendali dall'ambiente appropriato e su dispositivi appropriati. Ciò aiuta a ridurre al minimo le opportunità di spostamento laterale limitando l'accesso di qualsiasi risorsa compromessa (utente, endpoint, app o rete) alle altre risorse nell'ambiente. I leader della sicurezza stanno dando la priorità a un approccio che fornisce a fornitori e terze parti solo l'accesso necessario, quando ne hanno bisogno, oltre a controllare e valutare continuamente le richieste e i criteri di accesso nella catena di approvvigionamento dell'organizzazione per ridurre al minimo il contatto con risorse e sistemi importanti.

"L'obiettivo è quello di migliorare la nostra postura di sicurezza generale, ma si tratta di ridurre i problemi dell'esperienza dell'utente finale semplificandogli la vita."
Decision-maker della sicurezza nel settore alberghiero

I risultati?

Il grande numero di fornitori e la varietà di sfide intrinseche delle catene di approvvigionamento distribuite rendono ancora più importante una gestione proattiva. Con le recenti violazioni dei dati globali, i leader della sicurezza sono impazienti di trovare dei modi per ridurre i rischi dei fornitori, e i principi Zero Trust stanno offrendo una solida strategia e un framework per gestire l'ecosistema dei fornitori.
  • Un approccio Zero Trust permette di garantire che solo le persone giuste hanno il livello di accesso appropriato nell'organizzazione, aumentando sia la sicurezza che la produttività degli utenti finali.
  • Esistono molti modi per introdurre Zero Trust, ma l'implementazione dell'autenticazione a più fattori deve essere una priorità assoluta dal punto di vista della gestione dei rischi e dell'ecosistema di un fornitore.
  • Valuta la fase di maturità Zero Trust della tua organizzazione e ricevi linee guida mirate, oltre a un elenco accurato di risorse e soluzioni per procedere nel percorso verso Zero Trust.

Tutti abbiamo sentito parlare delle "grandi dimissioni". Più del 40% del personale globale sta pensando di lasciare il proprio impiego quest'anno, e i leader della sicurezza e i loro team sono già sotto organico. Spesso parlo con i CISO su come vanno le cose in generale, e permettersi, trovare e fidelizzare grandi talenti è una delle loro principali preoccupazioni. E se un grande talento si dimette, devono trovarne subito un altro dello stesso livello o potenziare le competenze dei dipendenti rimasti. Una tecnologia più efficiente, integrata e automatizzate può essere utile, ma non è abbastanza.

La terminologia del settore della sicurezza è entrata nel linguaggio comune visto che le pagine dei quotidiani parlano regolarmente di cyberattacchi, e questi attacchi (e le relative notizie) possono avere un impatto notevole su un'azienda. Ma indovina un po'? Questa non è una brutta notizia dopotutto. Dato che la cybersecurity è diventata un argomento familiare in tutte le aree di un'organizzazione, il concetto secondo cui "la sicurezza è un dovere di tutti" sta iniziando a diffondersi nelle organizzazioni. Soprattutto con i modelli di lavoro ibrido e i perimetri di sicurezza ampliati in tutti i modi possibili, i leader della sicurezza si affidano sempre di più a soluzioni innovative per proteggere tutti, anche se devono far fronte alla carenza di talenti e a lacune nelle competenze. Oggi i leader della sicurezza all'avanguardia non "fanno di più con meno", ma "fanno di più con risorse diverse".

"È una sfida che stiamo affrontando tutti, è difficile trovare talenti, è difficile fidelizzare i talenti. È un'arma a doppio taglio: quando sviluppi un talento, diventa troppo costoso da mantenere quindi sorgono sicuramente delle difficoltà."
CISO di servizi legali

La carenza di talenti e competenze certamente non è un fatto positivo, ma c'è un piccolo raggio di sole: la creazione di una cultura della sicurezza sta diventando una realtà. Molti CISO affermano che uno dei modi più efficaci per affrontare la sfide della sicurezza insieme alle difficoltà relative alla gestione del personale consiste nel definire una cultura secondo cui la sicurezza sia un dovere di tutti. I CISO stanno promuovendo sempre di più questo concetto: l'intera organizzazione può assumersi la responsabilità della sicurezza, soprattutto mentre deve far fronte alla carenza di personale o a problemi finanziari.

I team di sviluppo, gli amministratori di sistema e anche gli utenti finali devono capire i criteri di sicurezza che li riguardano. La condivisione delle informazioni è fondamentale e i team della sicurezza cercano modi sempre nuovi di collaborare con gli sviluppatori, gli amministratori e i responsabili dei processi aziendali per comprendere i rischi e sviluppare criteri e procedure utili per l'intera organizzazione.

La carenza di talenti e le lacune nelle competenze (soprattutto nell'ambito della cybersecurity in continua evoluzione) stanno spingendo i CISO a cercare nuovi modi per rimanere al passo. Una strategia sempre più diffusa consiste nel delegare attività a dipendenti esterni al team della sicurezza. I CISO stanno cercando di sfruttare l'intera organizzazione, con particolare attenzione alla formazione degli utenti finali per renderli parte della soluzione e alla creazione di une rete di supporto tra team.

Migliorare le conoscenze degli utenti finali sulle minacce alla sicurezza (ad esempio, assicurandosi che comprendano il phishing e i segnali di attacchi leggeri) consente di aumentare gli occhi e le orecchie del team della sicurezza, soprattutto in una strategia di "punta di lancia", dove gli utenti finali spesso sono un punto di ingresso per un attacco. Non sto dicendo che gli utenti finali possono essere magicamente addestrati a controllare tutto, ma avere utenti preparati e in allerta può alleggerire notevolmente il carico di lavoro dei team della sicurezza.

"Forse avrai sentito dire che la sicurezza è una responsabilità di tutti. È bella, ma in realtà... solo finché non succede qualcosa. Per quanto riguarda l'IT, abbiamo delegato delle attività ai membri del reparto IT come rappresentanti della sicurezza. Abbiamo nominato membri di diversi team, specialmente i team di sviluppo, i team di architetti e i team dell'infrastruttura dove ricevono una formazione sulla sicurezza aggiuntiva. Partecipano ad alcune delle mie riunioni sulla sicurezza e hanno il ruolo di fare da tramite tra il loro gruppo e la sicurezza."
CISO di servizi legali

Un'altra strategia consiste nel delegare attività della sicurezza al personale IT. Fare in modo che il team IT lavori a stretto contatto con il team della sicurezza e garantire che l'IT sia sempre informato delle strategie della sicurezza sta aiutando molti leader della sicurezza a estendere la loro missione a tutte le aree dell'organizzazione.

Fornire indicazioni e supporto sull'automazione e su altre strategie di gestione proattiva delle attività e dei flussi di lavoro consente ai CISO di espandere i loro team e sfruttare l'IT per mantenere una postura di sicurezza solida.

"Se osserviamo il mondo della sicurezza, gli attacchi non vengono bloccati tanto dal personale della sicurezza, ma dal personale IT. Gli addetti alla sicurezza non eseguono aggiornamenti, per esempio. I membri del reparto IT si occupano degli aggiornamenti. La sicurezza non ha a che fare con la gestione dell'inventario delle risorse, l'IT sì.   Questo vale per tantissime cose e, a seconda dell'organizzazione, i firewall in genere sono gestiti da un team di networking, non necessariamente da un team della sicurezza. Quindi aiutiamo molto gli addetti alla sicurezza, miglioriamo le loro competenze e diamo loro gli strumenti per automatizzare una parte del lavoro che svolgono.
  Forniamo loro una motivazione, non semplicemente dei dati, e a volte questa motivazione li ispira e influisce sul loro lavoro."
CISO di servizi legali

I risultati?

Usare le risorse in modo creativo non è una novità. Ma sviluppare un team più ampio attraverso una formazione sistematica e collaborare con team adiacenti alla sicurezza è una strategia innovativa con cui i CISO stanno facendo fronte alla carenza di talenti e alle lacune delle competenze fondamentali.
  • Lavorare in sinergia con altri team e delegare attività a dipendenti che non fanno parte del team di sicurezza sono due modi per espandere la sfera di influenza e proteggere l'azienda.
  • Formare gli utenti in modo che sappiano riconoscere i tentativi di phishing e i problemi di sicurezza più comuni è una strategia che, secondo la maggior parte dei leader della sicurezza, vale tutto il tempo e gli sforzi che richiede.

Tutte le ricerche Microsoft citate si avvalgono di società di ricerca indipendenti per contattare professionisti della sicurezza per studi quantitativi e qualitativi, garantendo rispetto della privacy e rigore analitico. Le citazioni e i risultati inclusi in questo documento, se non diversamente specificato, sono tratti da studi di ricerca Microsoft.

Articoli correlati

Cyber Signals: Problema 1

L'identità è il nuovo campo di battaglia. Ottieni informazioni dettagliate sulle minacce informatiche in continua evoluzione e su quali passaggi compiere per proteggere meglio la tua organizzazione.
Scopri di più

Problema 2 di CISO Insider

In questo problema di CISO Insider, scopriamo cosa stanno riscontrando i CISO in prima linea (dai target alle tattiche) e quali misure stanno adottando per prevenire e rispondere agli attacchi. Vediamo anche come stanno sfruttando le funzionalità di rilevamento e reazione estese (XDR) e l’automazione per rafforzare le proprie difese contro le minacce avanzate.
Scopri di più

Problema 2 Cyber Signals: Economia basata sull'estorsione

Ascolta gli esperti sul campo sullo sviluppo di ransomware come servizio. Dai programmi e i payload ai broker di accesso e affiliati, scopri gli strumenti, le tattiche e i target preferiti dai criminali informatici e ottieni indicazioni su come proteggere la tua organizzazione.
Scopri di più