Informati e consapevoli: la chiave per una strategia di cyber security davvero efficace
Repost di un mio articolo, pubblicato su https://www.cybersecurity360.it/ per conto di Deda Cloud
Ormai sia gli specialisti del settore sia il pubblico più generalista sono quasi abituati a numeri di data leak e data breach da record. Come dimenticare il data breach di Yahoo – rivelato nel 2017 – che nel 2013 coinvolse 3 milioni di account? Così come i casi di Adult Friend Finder, che nel 2016 causò l’esposizione dei dati di 412 milioni di utenti, e di Equifax, che nel 2017 portò alla violazione di oltre 160 account. Ultimo in ordine temporale, ma non di volumi, è quello di LinkedIn che nel giugno 2021 coinvolse 700 milioni account, il 92% degli utenti totali del social network, appena due mesi dopo che 500 milioni di profili erano stati messi in vendita su un popolare forum di hacker.
Come mostra questa breve lista, le fughe e violazioni di dati sono in costante aumento e interessano un numero sempre più importante di account e informazioni, tanto che è ormai difficile tenere traccia di tutte le notizie a riguardo.
Forse ancora più allarmante è il fatto che, spesso, i cyber criminali utilizzano tecniche piuttosto semplici e banali per portare a termine i propri attacchi, dimostrando così l’estrema vulnerabilità di numerose aziende nell’ambito della sicurezza informatica.
Anche se in certi casi questa vulnerabilità è in parte dovuta allo scarso interesse delle aziende, e quindi ad una loro negligenza, non è il caso di generalizzare. Negli ultimi anni, infatti, la sicurezza informatica sta conquistando un ruolo sempre più centrale per le organizzazioni, passando da essere una tematica considerata di nicchia a ordine del giorno nei Consigli di Amministrazione.
Molto più frequentemente, le insidie derivano da un approccio sbagliato alla security. Sono diversi, infatti, gli ambiti in cui vengono attuate strategie di cyber sicurezza inadeguate, spesso a causa di preconcetti, fretta di risolvere la questione o mancanza di fiducia verso partner e consulenti.
In particolare, sono quattro gli ambiti in cui è facile commettere degli errori che possono indebolire il proprio approccio alla sicurezza:
1. Il vecchio concetto di perimetro aziendale non esiste più
Un errore piuttosto comune è concentrare tutti gli sforzi del programma di security sul vecchio concetto di perimetro aziendale, senza accorgersi che, al giorno d’oggi, questo è più ampio e meno definito che nell’era pre-cloud, e che sarebbe quindi più corretto immaginare i dati che si vogliono proteggere come posizionati in contenitori logici, differenti tra loro ma interconnessi.
La superfice d’attacco è aumentata, perché è cambiata la modalità di distribuzione dei servizi da parte delle aziende. Non solo il multi-cloud o modalità ibride, ma anche l’introduzione di nuovi paradigmi e metodologie come il serverless computing e devops hanno contribuito a rendere inefficaci le strategie di security utilizzate in passato.
In fase di assessment, sia per i provider di servizi di security che per le aziende clienti è dunque diventato fondamentale interrogarsi sul reale perimetro dei dati aziendali.
Sottovalutare i rischi della supply chain o non affrontare il tema dello share responsability quando si valuta il cloud nelle sue declinazioni – IaaS, PaaS, SaaS – sono esempi di errori comuni. Identificare il threat model corretto richiede pensiero, brainstorming, collaborazione e comunicazione con i giusti interlocutori.
2. Prima la strategia, poi la tecnologia
In caso di mancato rilevamento di un possibile attacco, spesso la debolezza o la falla vengono ricercate nella soluzione di security adottata.
In realtà, nella maggior parte dei casi, il fallimento è da individuare nella strategia che si è scelto di implementare. Infatti, prima ancora della tecnologia proposta è opportuno individuare l’approccio alla sicurezza più corretto per la propria organizzazione.
Anche se la tecnologia svolge un ruolo fondamentale nei servizi di Managed Detection and Response (MDR), strumenti come Endpoint Detection and Response (EDR), Sonde Network, Security Information and Event Management (SIEM) e deception technology hanno il compito di completare la strategia di cyber security, ma non la determinano.
In altre parole, prima è necessario studiare l’approccio alla sicurezza più appropriato e solo in seguito possono essere selezionate le tecnologie che lo valorizzano al massimo.