Una strategia di cyber resilienza è un approccio complessivo per proteggere la propria organizzazione dalle minacce cyber, nonché per garantire capacità di risposta e ripresa efficace in caso di eventi dannosi. La cyber resilienza si basa, in modalità end-to-end, sulla prevenzione, mitigazione e gestione degli incidenti informatici, al fine di ridurne al minimo l’impatto negativo sulle attività aziendali. In questa intervista con Marcello Fausti, Responsabile della Cybersecurity del Gruppo Italiaonline, approfondiamo le sfide che le odierne organizzazioni incontrano nell’incrementare la propria cyber resilienza e aumentare costantemente le proprie capacità di rilevamento e risposta ad attacchi informatici diventati sempre di più la norma.

Qual è la strategia di Cyber Resilience seguita dalla Sua azienda?

Negli ultimi anni abbiamo fatto un significativo passo in avanti, adeguando strategie, pratiche e tecnologie. Questo è stato relativamente semplice: le difficoltà incontrate sono state soprattutto di natura organizzativa, ossia, riuscire a fare in modo che i processi di sicurezza permeino a regime tutta l’azienda. Il tema della reazione, in materia di resilienza, è molto controverso: non se ne può parlare a “cuor leggero” perché gli impatti potrebbero essere importanti, serve un’organizzazione perfettamente allineata e processi perfettamente recepiti. Questo in moltissime aziende è piuttosto difficile da ottenere. In aggiunta, spesso l’IT operation può offrire un supporto limitato, per problemi banalissimi di capacità, disponibilità di risorse e di tempo per portare a regime i processi. In generale, si investe tanto in tecnologie e poco invece in competenze.

In generale, quali sono gli step per incrementare la Cyber Resilienza?

L’ideale è disporre diun team dedicato al monitoraggio e alla risposta, e puntare ad avere una completa visibilità su dati, applicazioni, sistemi. Bisogna aver predisposto un piano per la gestione di incidenti di cybersecurity, e disporre di soluzioni tecnologiche dedicate, con un forte ricorso all’automazione. Può essere utile utilizzare servizi gestiti di fornitori terzi, avere attività di formazione specifiche per la gestione di incidenti, effettuare periodicamente test/simulazioni di incidenti. Noi stiamo anche collaborando in modo esteso con il business in modo da aumentare il controllo, controlliamo la cyber resilienza dei fornitori dell’azienda ed utilizziamo un framework specifico sulla Cyber Resilienza per misurare i nostri risultati e migliorare continuamente.

Parliamo di rilevamento e risposta agli incidenti di sicurezza: quanto è importante il tema secondo la Sua esperienza?

Di recente, abbiamo assistito a un fatto piuttosto importante: l’adozione da parte dell’ACN della tassonomia NIST che è molto orientata all’impatto dell’incidente. Se non si riscontra un impatto, infatti, sostanzialmente non l’incidente non viene registrato. Questa cosa ha effetti positivi (meno lavoro di registrazione e più chiara focalizzazione sull’impatto) ma anche qualche piccolo effetto negativo. In particolare, mi riferisco al fatto che con l’approccio NIST il numero di incidenti registrati rispetto agli anni precedenti diminuisce; non registrando gli incidenti lievi, inoltre, si rischia di perdere informazioni importanti, a volte utili a ricostruire il contesto di un evento malevolo.

Con altre tassonomie (es. Enisa) vengono considerati incidenti anche alcuni eventi di sicurezza importanti (come, ad esempio, un movimento nel darkweb che fa capire che si può essere oggetti di attacco) utili anche a supportare la comunicazione con il management che deve essere messo in grado di valutare questi rischi attraverso una rappresentazione complessiva dei problemi.

Quali sono gli aspetti da perseguire nelle attività di rilevamento e risposta a incidenti cyber?

Fino a qualche anno fa le aziende non si accorgevano di avere visitatori indesiderati, ora invece, chi ha maturato capacità avanzate di detection, riesce ad accorgersi del momento in cui un attacco sta prendendo forma. L’essenziale è quindi anticipare la fase di detection, possibilmente intercettare un attaccante quanto non è ancora dentro ma quando si sta “avvicinando”. A questo scopo, la Threat Intelligence è molto efficace, aiutando – ad esempio – ad intercettare i movimenti che ci riguardano nel dark web sia in fonti aperte che in fonti chiuse. L’attività di mitigazione, quindi, può iniziare ben prima che l’attacco sia stato sferrato. Non dimentichiamoci che il tempo di reazione è fondamentale!

Altro tema: gli attaccanti cercano costantemente nel darkweb informazioni su aziende partner o fornitori, perché questi rappresentano un punto di ingresso indiretto molto importante. La gestione della sicurezza delle terze parti è inclusa direttamente nelle clausole contrattuali, ma può essere aiutata con un attento monitoraggio del darkweb.

… e parlando di strumentazione per la detection?

Oggi molti strumenti sono alimentati da AI e machine learning per guardare sia al perimetro aziendale sia al cloud, con strumenti di anomaly detection che funzionano su base statistica e con algoritmi AI, che dopo un training consistente diventano molto efficaci. Tutti gli strumenti di sicurezza (ad es. firewall, sonde IPS) sono una strumentazione utile al monitoraggio che, essendo alimentati da IoC (indicatori di compromissione) inviati tramite la threat intelligence, consentono di riconoscere istantaneamente eventuali movimenti che si verificano.

Un altro tema molto importante da considerare è quello relativo alla protezione del perimetro pubblico. In questo caso, visto che il phishing è una delle minacce più pericolose, è importante monitorare tutti i domini simili a quelli di proprietà della nostra azienda, creati dagli attaccanti a scopo di phishing. Noi, con le attività AI, intercettiamo circa 20 domini al mese, da controllare e, nel caso siano domini creati ad hoc per attività di phishing, chiederne il takedown al service provider e al Registrar.

Quali problemi incontrate nelle attività di rilevamento e risposta a incidenti di sicurezza?

Ormai le attività di rilevamento hanno raggiunto un livello di maturazione piuttosto elevato. In questo ambito, infatti, l’AI ha supportato le aziende nel fare un salto molto importante in termini di efficienza, mantenendo bassi i costi e riducendo il bisogno di ricorrere a una squadra dedicata. Le attività di monitoraggio sono in genere ben rodate, i problemi sorgono invece nelle fasi di remediation, quando emerge una sorta di conflitto di interesse tra sicurezza, velocità di risoluzione ed efficienza del business.

Se ad esempio un incidente comporta la necessità di una modifica architetturale, per motivi di velocità della gestione tecnica del business o per indicazioni del marketing, potrebbe non essere semplice, o addirittura possibile, introdurre le opportune contromisure.

Può accadere che le soluzioni di sicurezza siano – in qualche modo – limitanti: le aziende, però, dovrebbero ragionare su come individuare una corretta via di mezzo. Quindi, una sfida importante è trovare il giusto trade off tra esigenza di business ed esigenze di sicurezza.

Un’ulteriore difficoltà, invece, è legata alla presenza di legacy in azienda. Non è detto che mettere in campo tecnologie sempre nuove sia sempre la strada migliore: se applico la tecnologia solo su progetti nuovi, il legacy rimane non protetto.