Il nuovo anno è ormai alle porte e le aziende si chiedono quali siano le previsioni in ambito cyber security nel 2024 per far fronte ai rischi emergenti e proteggersi.
Le minacce cyber stanno evolvendo velocemente in un panorama digitale che continua ad ampliare i propri orizzonti, da Internet of Things (IoT) all’intelligenza artificiale (AI), rendendo la cyber security più critica e complessa.
Nel 2024 emergeranno nuove tendenze e modelli di minacce informatiche destinate a orientare il settore verso nuove direzioni, ma ciò non significa che i classici spariscano. Anzi evolvono, grazie all’accesso alle nuove risorse ai tempi dell’AI.
“A fronte dello scenario contingente caratterizzato da un continuo aumento di attacchi cyber”, commenta Federica Maria Rita Livelli, Business Continuity & Risk Management Consultant, BCI Cyber Resilience Committee, BeDisruptive Training Director e membro del Comitato scientifico Clusit, “ecco le principali tendenze che caratterizzeranno il 2024 e gli anni a venire”.
“Intanto però è aumentata la consapevolezza degli impatti di business degli attacchi cyber e delle frodi”, evidenzia Alessio Pennasilico, Information & Cyber Security Advisor di P4i (Partners4Innovation) e del Comitato Scientifico Clusit, “nelle aziende c’è un committment del top management molto più alto rispetto al passato, il che si traduce in attività più tecnologiche o più organizzative. Inoltre, aumentano le aziende che si vogliono o si devono assicurarsi e quindi richiedono una serie di requisiti indispensabili.
“Per stare sul mercato”, continua Pennasilico, “i clienti B2b chiedono ai fornitori requisiti come l’implementazione della multi-factor authentication (MFA) per disinnescare una delle più diffuse minacce, il phishing, contro cui le aziende si muovono con attività di simulazioni e campagne di awareness per addestrare e formare i dipendenti e renderli consapevoli ai rischi“.
Ecco come mitigare i rischi, adottando una sicurezza informatica preventiva, predittiva e proattiva.
L’evoluzione della minaccia informatica ci insegna come combatterla
Indice degli argomenti
Agilità operativa: ecosistemi di sicurezza più solidi e integrati
L’attenzione si sta spostando verso l’agilità operativa e l’accelerazione delle operation, per consentire alle aziende di facilitare i propri ecosistemi di sicurezza, limitando il numero fornitori a un numero di vendor affidabili ed efficienti. La complessità dell’integrazione multisistema darà spazio ai fornitori in grado di integrarsi in modo efficiente e fornire tecnologia efficace.
“Nel 2024 assisteremo a una svolta importante anche nei processi di consolidamento dei vendor”, spiega Drew Simonis, CISO di Juniper Networks: “Infatti, se finora il pesce grosso mangiava il pesce piccolo, nel 2024 possiamo prevedere che il pesce grosso sarà mangiato da un pesce ancora più grande. Almeno uno dei grandi nomi del settore sarà oggetto di acquisizione, o da parte di un fondo di private equity o tramite una fusione. Tra gli acquirenti ci sarà una preferenza verso piattaforme con amministrazione semplificata e integrazione di funzionalità rispetto a soluzioni puntuali”.
Anche Palo Alto Networks conferma che i team di security dovrebbero offrire una piattaforma modulare sistematica come elemento di differenziazione per l’azienda, abbattendo il numero di fornitori – da oltre 30 a 2-3 partner di cybersecurity fidati operanti in un ecosistema.
Le imprese dovrebbero avvalersi di un partner IT innovativo, per consolidarsi e al contempo concentrarsi su risultati di sicurezza autonomi e in tempo reale, semplificando ed integrando in maniera più efficace.
La Direttiva NIS2: focus sulla cyber resilience
Nel 2024 a cambiare il panorama europeo della cyber security sarà la Direttiva NIS2, il cui impatto è previsto sulle aziende operanti negli Stati membri dell’UE.
“Non solo il mercato è preoccupato per i rischi cyber, ma anche il legislatore”, conferma Pennasilico, “impegnato a creare un contesto affidabile , stanno uscendo ulteriori normative – Nis2 per le aziende, il DORA per le banche e la finanza, Cra, Csa, regolamento macchine per gli impianti produttivi – che impongono requisiti di sicurezza molto forti”.
“I settori critici che si basano su un mix di tecnologie IT e OT sono particolarmente soggetti a un maggiore rischio di cyber attacco, in quanto le entità di questi settori sono spesso obiettivi primari per i malintenzionati. Proprio alla luce di questi rischi, entra in gioco il recepimento della nuova Direttiva NIS 2”, avverte Alessio Aceti, CEO di HWG Sababa.
“Sebbene sia un passo positivo, la legislazione porterà a 12 mesi di confusione per le aziende interessate (quelle classificate come infrastrutture critiche di base) che dovranno capire come conformarsi alle nuove norme”, dichiara Zeki Turedi, CTO Europe di CrowdStrike: “L’obiettivo di questa nuova direttiva dell’Unione Europea è stabilire un livello più elevato di sicurezza e resilienza informatica all’interno delle organizzazioni dell’UE. Poiché gli Stati membri avranno tempo fino al 17 ottobre 2024 per recepire la NIS2 nella propria legislazione nazionale, è probabile che si crei una certa confusione, poiché i diversi Paesi implementeranno e reagiranno alla legislazione in modo diverso”.
“I termini cyber resilience e cybersecurity vengono spesso utilizzati indistintamente”, spiega Federica Maria Rita Livelli: “Tuttavia, ritengo che nel 2024 – e negli anni a venire – assisteremo sempre più ad una presa di consapevolezza della distinzione dei due termini. Di fatto, l’obiettivo della sicurezza informatica è la prevenzione degli attacchi, mentre il crescente valore attribuito alla resilienza da molte organizzazioni riflette la progressiva consapevolezza che anche la migliore sicurezza non può garantire una protezione al 100%. Pertanto, le misure di cyber resilience sono progettate per garantire la continuità delle operazioni anche a seguito di una violazione andata a buon fine. Ovvero si tratta di sviluppare la capacità di ripristino in modo agile, riducendo al minimo la perdita di dati e i tempi di inattività, rendendo sempre più anti-fragili le organizzazioni“.
Secondo Raphael Marichez, CSO SEUR di Palo Alto Networks, “le autorità e le aziende dovranno sfruttare la tecnologia per comprendere in modo proattivo la gravità e l’impatto potenziale dei nuovi requisiti, anziché valutarli in modo reattivo in un momento di crisi”.
“È essenziale”, continua Raphael Marichez, “che autorità e aziende definiscano programmi basati su tecnologie per la gestione della superficie di attacco, analisi e valutazione proattive delle minacce, e si avvalgano di contratti di collaborazione per la risposta agli incidenti con un’azienda di security affidabile”. Le autorità dovranno infine avere un approccio alla cyber security basato sulle minacce per valutare i report.
Compliance e galassia normativa dell’UE in termini di cyber security
“I Paesi e le organizzazioni stanno diventando sempre più consapevoli dei rischi per la sicurezza nazionale e per la crescita economica posti dalle minacce informatiche. Le potenziali ricadute sociali e politiche delle violazioni dei dati su larga scala sono anche un fattore importante nell’emergere di nuove normative in materia di cybersecurity (per esempio: DORA; NIS2, Cyber Resilience Act, Regolamento Macchine, AI Act eccetera)”, sottolinea Federica Maria Rita Livelli.
“Pertanto, sarà quanto mai fondamentale e strategico prepararsi ad essere conformi a tali normative”, continua Livelli, “che richiedono un approccio risk-based e resilience-based, quale calibrata sintesi dell’implementazione nell’organizzazione dei principi di risk management, business continuity e cyber security”.
Ma “anche le certificazioni come Iso 27001 stanno vivendo una seconda giovinezza”, aggiunge Pennasilico, “aiutano tantissimo infatti in ottica di accountability per dimostrare ai clienti e alle authority che si è adeguati. In certi contesti sono molto richieste: per esempio per chi eroga servizi cloud alla PA”. E queste sono conquiste dovute all’istituzione dell’ACN. “In Italia, dopo un lungo e travagliato percorso, l’ACN sta dettando un’agenda e un percorso, traghettando le organizzazioni nella direzione giusta”, conferma Pennasilico.
Verso una condivisione delle informazioni
“Il cambiamento culturale verso una condivisione delle informazioni più aperta e collaborativa è destinato a diventare una caratteristica fondamentale delle pratiche di cyber security nel 2024”, evidenzia Zeki Turedi, CTO Europe di CrowdStrike: “Attualmente esiste un divario significativo nella portata e nell’efficacia della condivisione delle informazioni dopo gli incidenti di cyber security”.
Ma “questa lacuna è in parte dovuta alla riluttanza delle vittime a condividere le informazioni, spesso alimentata dal timore di essere colpevolizzati, e dallo stigma che può derivare dagli incidenti informatici. Tale riluttanza non solo ostacola la comprensione collettiva delle nuove minacce, ma impedisce anche lo sviluppo di solidi meccanismi di difesa”.
Mancanza di professionisti con le competenze: anche quelle trasversali
Le organizzazioni che danno priorità alla sicurezza informatica sono più lungimiranti delle imprese che non lo fanno. I loro team “non solo investono in infrastrutture di sicurezza avanzate, ma promuovono anche cultura e consapevolezza informatica tra i propri dipendenti”, sottolinea Zeki Turedi: “Integrando solide misure di cyber security, tra cui crittografia all’avanguardia, autenticazione a più fattori e sistemi di monitoraggio delle minacce in tempo reale, è possibile creare una difesa formidabile anche contro gli attacchi più sofisticati. Un approccio proattivo alla cyber security rimarrà un fattore critico per ridurre i rischi, salvaguardare le risorse digitali e mantenere la fiducia durante il 2024″.
Tuttavia mancano i professionisti dotati di competenze. “Ne consegue che, per correggere questa situazione”, evidenzia Federica Maria Rita Livelli, “molte organizzazioni attueranno come strategia un continuo aumento degli stipendi pagati a coloro che hanno le competenze necessarie per trattenere i talenti e maggiori investimenti in programmi di formazione, sviluppo e miglioramento delle competenze“.
“Tecnologie come Edr, Siem e Soc richiedono organizzazione interna, competenze e requisiti”, conferma Alessio Pennasilico: “Il personale va formato nel modo corretto”.
Ma i professionisti della cyber security dovranno anche intensificare le competenze trasversali, sempre più essenziali. “Nel 2024, a fronte del continuo incremento dei cyber attack sofisticati”, ricorda Federica Maria Rita Livelli, “i professionisti di cyber security dovranno essere in grado di affrontare sfide sempre più complesse in quanto oltre alla responsabilità di contrastare le minacce informatiche si troveranno anche ad avere il compito di gestire aspetti sociali e culturali più complessi della mitigazione delle minacce”.
“Ciò porterà la necessità di dimostrare il possesso di competenze trasversali quali: la comunicazione interpersonale, gestione delle relazioni interpersonali e qualità di problem-solving. Ne consegue che le organizzazioni dovranno considerare una strategia di programmazione di una formazione ad hoc per risolvere il problema”.
La risposta è nei servizi MSP/MSSP
Secondo l’International Information System Security Certification Consortium (ISC), già 2022 il numero globale di posti di lavoro vacanti nel campo della cyber security ammontava a 3,4 milioni, una cifra salita nel 2023.
Ma la sicurezza informatica ha anche un problema di “burnout”. La società d’analisi Gartner prevede che quasi il 50% dei leader della cyber contribuiranno al fenomeno delle “grandi dimissioni nel campo della sicurezza informatica”, cambiando lavoro e lasciando posti vacanti.
Per fronteggiare lo skill shortage, ci sono i fornitori di servizi gestiti e di sicurezza gestita (MSP/MSSP). Gli MSP cresceranno nei servizi di rilevamento e risposta gestiti (MDR) e nei centri operativi di sicurezza (SOC), se, e solo se, saranno in grado di creare il team e l’infrastruttura per supportarli. Watchguard prevede che il numero di aziende che cercano di esternalizzare la sicurezza raddoppierà a causa sia dello scenario economico in contrazione sia della difficoltà nel reperire professionisti della sicurezza informatica.
Per supportare il picco nella domanda di servizi di sicurezza gestiti, gli MSP/MSSP dovranno rivolgersi a piattaforme di sicurezza unificate con una forte automazione (AI/ML), per tagliare i costi delle operazioni e compensare la difficoltà che potrebbero avere anche nel ricoprire i ruoli di tecnico della sicurezza informatica.
Corsi e master, quanto è importante una cultura cyber diffusa
Cyber security 2024: l’AI giocherà un ruolo chiave
“Ogni nuova tendenza tecnologica”, aggiunge Corey Nachreiner, CSO di WatchGuard introduce le previsioni degli esperti dei Threat Labs per il 2024, “apre la strada a nuovi vettori di attacco per i criminali informatici”.
Nel 2024 inizieremo a quantificare i vantaggi dell’uso dell’intelligenza artificiale in rapporto alle analitiche e agli schemi operativi. I benefici, frutto dell’uso dell’AI, offriranno un contributo all’alleggerimento di parte del duro lavoro che svolgono oggi gli analisti SOC (Security Operations Center). L’AI avrà inoltre un impatto sulla modalità in cui le capacità di reazione e mitigazione si traducono nella pratica operativa.
“L’IA generativa”, secondo Federica Maria Rita Livelli, rappresenta una “leva strategica sia per le organizzazioni sia per cyber criminali. Di fatto, se da un lato, man mano che l’IA aumenta in sofisticazione, continueremo ad assistere ad attacchi basati sull’IA più sofisticati e intelligenti (per esempio: social engineering, deepfake, malware automatizzati che si adattano in modo intelligente per eludere il rilevamento), dall’altro lato, l’AI sarà di supporto nel rilevare, eludere o neutralizzare le minacce grazie al rilevamento delle anomalie in tempo reale, all’autenticazione intelligente e alla risposta automatizzata agli incidenti. Insomma, per fare una trasposizione ardita, come in una partita a scacchi l’AI si converte in una ‘regina’ capace di giocare in attacco e in difesa a seconda del giocatore più capace”.
L’AI renderà più impegnativa l’attività dei CISO
WatchGuard stima che gli attori criminali sfrutteranno proprie le nuove tecnologie per sferrare attacchi. Dai trucchi di Prompt engineering che prenderanno di mira i Large Language Models (LLM) al Vishing che aumenterà grazie a chatbot vocali basati su IA.
Per contrastare le email di spear phishing, i deepfake ed altri attacchi abilitati dall’AI, secondo Raphael Marichez, CSO SEUR di Palo Alto Networks, “i I CISO dovranno concentrarsi sulla semplificazione e comunicazione del rischio per i progetti aziendali abilitati all’AI. Dovranno dare priorità alle iniziative che supportano funzionalità di valore elevato dove la cybersecurity ha il maggiore impatto sul business”.
Infine “i CISO dovranno sfruttare le piattaforme abilitate all’AI per ridurre la complessità e aumentare l’efficacia della sicurezza, imparando al contempo dai colleghi le migliori pratiche”.
L’aumento degli attacchi verso strutture IoT
L’incremento della superficie d’attacco è una delle principali sfide in atto da anni. “Più dispositivi comunicano tra loro e accedono a Internet, maggiore sono i rischi di attacchi”, mette in guardia Federica Maria Rita Livelli: “Di fatto, il lavoro da remoto da parte di dipendenti che si connettono o condividono dati su dispositivi non adeguatamente protetti continuerà a essere una minaccia”.
“Spesso questi dispositivi sono progettati per la facilità d’uso e la praticità piuttosto che per operazioni sicure”, evidenzia Federica Maria Rita Livelli: “Inoltre i dispositivi IoT domestici possono essere a rischio a causa di protocolli di sicurezza e password deboli. Ancora, l’industria del settore ha – fino ad ora – posto poca attenzione all’implementazione degli standard di sicurezza IoT – nonostante molte vulnerabilità siano evidenti da molti anni: ne consegue che, essa continuerà ad essere un punto debole in termini di cyber security, anche se qualche miglioramento si sta verificando”.
L’incremento degli attacchi di social engineering
Nel 2024 gli attacchi basati sull’identità rimarranno l’arma principale dei cyber criminali, a causa dell’efficacia del metodo. “Come emerge dall’ultimo Threat Hunting Report di CrowdStrike”, stima Zeki Turedi “l’80% delle violazioni avviene attraverso l’uso di identità compromesse. Gli avversari non si affidano esclusivamente a credenziali valide compromesse, ma abusano di tutte le forme di identificazione e autorizzazione, comprese le credenziali deboli acquistate sul mercato nero, ed elevano le loro tecniche di phishing e social engineering”.
“L’ingegneria sociale è una criticità, per questo le aziende si stanno educando i propri dipendenti a riconoscere i modi più comuni utilizzati dagli attori del crimine informatico per ingannarli. Ciò rende la protezione dell’identità la più strategica da rafforzare nel 2024. Gli avversari continueranno altrimenti a prendere di mira questa debolezza, e il più delle volte avranno successo”, continua il CTO Europe di CrowdStrike.
L’automazione dello spear phishing
Anche gli esperti WatchGuard prevedono nel 2024 un incremento nel mercato emergente degli strumenti automatizzati di spear phishing, o un mix di strumenti sul dark web. Lo spear phishing permette agli attaccanti di violare le reti. L’automazione tramite AI/ML eviterà il lavoro manuale e renderà il già potente spear phishing a diffondersi ulteriormente.
Il vishing ai tempi dell’AI
Il phishing vocale (vishing), in crescita di oltre il 550% su base annua tra il primo trimestre del 2021 e il primo trimestre del 2022, si verifica quando un truffatore chiama una persona fingendo di essere un’azienda o un’organizzazione rispettabile o anche un collega (o il capo di qualcuno), per indurre la vittima ad acquistare buoni regalo o inviare denaro o criptovaluta o altro.
In una forma di questo attacco, un dipendente riceverà una chiamata urgente dal suo capo che gli chiede di spostare fondi su un conto.
Watchguard prevede che la combinazione di convincenti audio deepfake e LLM (Large Language Models) in grado di conversare con ignare vittime sarà alla base del boom del vishing nel 2024. Inoltre, potrebbe essere tutto automatizzato, senza la partecipazione di un attore “umano” della minaccia.
VR/MR per spiare l’utente in ambito domestico
Il visore Quest 3 ha aggiunto un sensore di profondità, per ottenere in automatico un layout più dettagliato dell’ambiente della vita reale, ma anche dei mobili e degli oggetti all’interno di
quell’ambiente.
I visori hanno anche introdotto funzionalità “passthrough” e realtà mista, per camminare per tutta la casa con il visore, usando il sensore di profondità per mappare potenzialmente in 3D il layout dell’ambiente circostante ovunque ci si muova.
Nel 2024 WatchGuard teme che un ricercatore o un criminal hacker sfrutterà una tecnica per la raccolta di dati dei sensori dai visori VR/MR per ricreare l’ambiente in cui gli utenti stanno giocando o facendo fitness.
QR Code: mai cliccare sui link casuali senza sapere dove portano
In pandemia i ristoranti hanno adottato il QR Code per mostrare il menù e i giornali per fare shopping dalle pagine delle riviste patinate.
Ma i codici QR incoraggiano cattive pratiche di sicurezza (cliccare senza sapere dove porta il link) e oscurano tecniche di verifica del collegamento ipertestuale (per verificare se è sicuro fare clic su un URL).
Watchguard si aspetta una violazione o un attacco hacker di forte impatto inizi dove un utente, seguendo un codice QR, atterra su una pagina malevola.
Framework SASE: più sicurezza del cloud per ambienti ibridi e multi-cloud
Secondo Alessio Aceti, CEO di HWG Sababa, “è necessario che ogni nuova implementazione cloud adotti un approccio secure-by-design, per evitare che eventuali attacchi compromettano i progetti e gli investimenti”.
“Nel 2024 sempre più organizzazioni adotteranno ambienti multi-cloud attraverso soluzioni SaaS, IaaS e PaaS”, prevede Federica Maria Rita Livelli: “Inoltre, secondo la società di ricerca IDC, oltre il 90% delle aziende si affiderà a un mix di infrastruttura on-premise e cloud. Ne consegue che, man mano che l’Edge della rete si estende nel cloud, sarà sempre più necessario garantirne la sicurezza. Ovvero, si tratterà di implementare piattaforme di sicurezza cloud che si convertono in centro di comando, fornendo una visione e un controllo completi tra diversi fornitori di servizi cloud. Pertanto, si consoliderà l’adozione del framework SASE in grado di fornire servizi integrati di sicurezza di rete tramite il cloud“.
“Di fatto, SASE è progettato appositamente per le reti incentrate sul cloud e, con l’aumento dell’adozione del cloud, le aziende si sposteranno conseguentemente verso l’architettura SASE. Inoltre, l’accesso alla rete Zero Trust (Zero Trust Network Access – ZTNA) e SASE sono destinate a convergere attorno a un’architettura cloud-first condivisa e caratterizzata dal controllo degli accessi basato sull’identità. Pertanto, si ritiene che, man mano che il ZTNA prenderà sempre più piede, le organizzazioni, conseguentemente, integreranno il SASE. Interessante notare che, secondo Gartner, nel 2024, almeno il 70% delle nuove decisioni di accesso remoto sarà fornito tramite ZTNA o SASE, rispetto al 40% di oggi. Ovvero le organizzazioni si sposteranno verso framework SASE e ZTNA convergenti per una sicurezza coerente in tutti gli scenari di accesso, sia on-premise che cloud”.
Adozione diffusa di passwordless
“Recenti report hanno evidenziato come la gestione delle password sia ancora una urgente problematica da risolvere. Pertanto, si ritiene che, nel 2024, le organizzazioni inizieranno ad adottare una strategia passwordless, adottando sistemi di gestione delle identità e degli accessi (IAM), biometria“.
Sicurezza della supply chain
“La violazione di una terza parte, come un fornitore o un’organizzazione partner, può portare risultare maggiormente redditizia per un cyber criminale”, spiega Federica Maria Rita Livelli: “Di fatto, le terze parti hanno le proprie strategie e infrastrutture di sicurezza, che potrebbero non essere all’altezza di quelle dei loro clienti, convertendosi in veri e propri ‘cavalli di troia’ per gli aggressori, superando il grande apparato di sicurezza delle organizzazioni più grandi”.
“Anche se è difficile imporre un certo livello di sicurezza alle terze parti, le organizzazioni dovrebbero prendere in considerazione di effettuare verifiche prima di sottoscrivere contratti e creare una lista di controllo in termini di requisiti di gestione dei rischi cyber, continuità operativa, disaster recovery e cyber security che i loro fornitori devono garantire e riflettere tali requisiti come parte integrante del contratto”, evidenzia Livelli.
Cyber war e state-nation attack
“I conflitti in atto hanno messo in luce la misura in cui gli Stati sono disposti e in grado di sferrare attacchi informatici contro infrastrutture militari e civili. Un trend destinato a caratterizzare anche il 2024 e gli anni futuri”, continua Federica Maria Rita Livelli.
“Le tattiche cyber più diffuse”, secondo Livelli, “includono: attacchi di phishing progettati per ottenere l’accesso ai sistemi a scopo di interruzione e spionaggio; attacchi DDoS (Distributed Denial-of-Service) per disabilitare le comunicazioni, i servizi pubblici, i trasporti e le infrastrutture di sicurezza. Inoltre, è doveroso ricordare che, nel 2024, si terranno importanti elezioni in Paesi come Stati Uniti, Regno Unito e India; pertanto, si ritiene che assisteremo ad un aumento degli attacchi informatici volti a interrompere il processo democratico“.
Reti elettriche e idriche, l’infrastruttura del trasporto pubblico e della smart mobility sono nel mirino di attacchi cyber: “È fondamentale quindi un cambio di paradigma, e pensare alla sicurezza di questi ecosistemi sin dalla prima fase di implementazione, e non da quando i sistemi sono già attivi sulle nostre strade. Ad oggi, infatti, ci sono aspetti legati alla sicurezza che sono stati ignorati o non correttamente implementati”, aggiunge Alessio Aceti.
La necessità di individuare le minacce in tempo quasi reale
L’utilizzo dell’AI da parte dei cyber criminali aumenterà la loro capacità di sviluppo e distribuzione di minacce efficaci. “L’AI rappresenterà un vantaggio significativo per i cyber criminali”, commenta Drew Simonis, CISO di Juniper Networks: “Mentre le organizzazioni lavorano per integrare la tecnologia nelle loro operazioni e non solo per alcune soluzioni puntuali, i cyber criminali hanno già iniziato a sfruttare l’AI in maniera creativa ed efficace in aree come il social engineering, il phishing, la scoperta delle vulnerabilità e l’automazione”.
Le organizzazioni devono dunque modificare l’approccio alle misure di cyber difesa, sfruttando nuovi metodi per il riconoscimento e il blocco tempestivo di tali minacce. Si affermeranno dunque misure in grado di individuare in tempo quasi reale un file potenzialmente malevolo o la variante di una minaccia già nota.
“I vendor non possono più permettersi di adagiarsi sugli allori, ma devono cercare di essere sempre un po’ più avanti”, continua Drew Simonis, “facendo leva sulle proprie tecnologie per individuare, tracciare e indirizzare le possibilità di utilizzo dell’AI da parte dei cyber criminali”.
L’investimento nel modello Zero Trust
Progettare un piano di deployment concreto per un approccio Zero Trust è un percorso piuttosto complicato. Zero Trust significa isolare le comunicazioni, richiedendo una validazione dinamica e continua per assicurare l’arrivo di una richiesta da una risorsa identificata, legittima e verificabile e che la risorsa abbia l’autorizzazione a ricevere l’accesso richiesto.
Le organizzazioni senza un percorso strutturato devono avere consapevolezza di un investimento cruciale per costruire piani per raggiungere lo stato di Zero Trust.
“L’approccio Zero Trust implica una verifica continua e si sta evolvendo”, avvisa Federica Maria Rita Livelli, “man mano che i sistemi diventano più complessi e la sicurezza viene integrata nella strategia aziendale. Inoltre, secondo il principio Zero Trust, non esiste un perimetro all’interno del quale l’attività di rete può essere considerata sicura”.
“Ancora, a fronte dell’evolversi del panorama delle minacce, tale principio si estende oltre la rete aziendale fino all’ecosistema di lavoratori remoti, organizzazioni partner e dispositivi IoT. Pertanto, molti professionisti del settore ritengono che, nel 2024, assisteremo ad un’evoluzione del principio Zero Trust che passerà dall’essere un modello tecnico di sicurezza della rete a qualcosa di più ‘adattivo’ e olistico, in quanto sarà possibile garantire l’autenticazione continua in tempo reale basata sull’intelligenza artificiale e il monitoraggio delle attività”.
WatchGuard prevede inoltre per il 2024 che i fornitori di servizi gestiti (MSP) raddoppieranno i loro servizi per contrastare il panorama di minacce e crescerà l’adozione di piattaforme di sicurezza unificate con forte automazione.
Le priorità nella cyber security? Best practice e buon senso operativo
La cyber security entrerà sempre più nei CDA: per una strategia proattiva
Nuove normative come la NIS2 richiedono più responsabilità da parte dei membri dei consigli di amministrazione in termini di cyber security. La disponibilità a potenziare le conoscenze in materia di sicurezza sarà un fattore chiave per promuovere la fiducia tra CISO e consiglio di amministrazione. Secondo Raphael Marichez, CSO SEUR di Palo Alto Networks, conviene “creare un framework di governance per la resilienza informatica approvato dal consiglio di amministrazione”. Inoltre, occorre “programmare briefing annuali regolari per il consiglio di amministrazione, coinvolgendo partner dell’ecosistema (per esempio, vendor strategici, clienti e/o fornitori), ed eseguire servizi di consulenza ed esercitazioni per il consiglio di amministrazione”.
Bisogna creare una cultura della resilienza informatica, facendo sì che la cyber security diventi il lavoro di tutti, implementando iniziative continue come programmi di educazione alla cyber a livello aziendale e attività più mirate come le simulazioni per i dirigenti. Si riduce il divario di competenze in materia di cyber security, per esempio attingendo a nuovi pool di talenti per coprire i ruoli aperti. Tutto ciò può aiutare le aziende a gestire la combinazione di personale IT e di cyber sovraccarico di lavoro e il panorama in evoluzione delle minacce. La condivisione delle minacce diventerà sempre più importante in futuro, in quanto consentirà una rapida mobilitazione delle protezioni.
“A fronte della galassia normativa della UE di prossima entrata in vigore, la cyber security, nel 2024, si convertirà sempre più in una priorità strategica che non può più essere isolata nel reparto IT”, commenta Federica Maria Rita Livelli: “come sostiene Gartner, entro il 2026 il 70% dei consigli di amministrazione includerà almeno un membro con esperienza nel settore, in modo tale da consentire alle organizzazioni di andare oltre la difesa reattiva. Ovvero le organizzazioni attueranno sempre una strategia proattiva“.
CISO e stakeholder: verso una sicurezza olistica e integrata
“Nelle organizzazioni, la sicurezza evolverà oltre il tradizionale ruolo dell’assicurazione di qualità IT a favore di un approccio olistico che coinvolgerà l’intera azienda alla luce della digitalizzazione di tutti gli elementi dell’organizzazione stessa”, avverte Drew Simonis: “Sulla scia delle iniziative della SEC e delle norme sul risk management, le aziende guidate da CISO lungimiranti avranno un vantaggio e questa integrazione olistica porterà a una minore incidenza delle compromissioni. I CISO dovranno lavorare a stretto contatto con gli altri stakeholder per aiutarli a capire che spetta a loro gestire i cyber rischi“.
Serve inoltre una convergenza dei team IT e di sicurezza, sfumando i confini tra le responsabilità dell’IT e quelle della sicurezza. “Si presenterà quindi l’opportunità di migliorare la resilienza organizzativa facendo convergere i team IT e di sicurezza all’interno delle aziende”, auspica Zeki Turedi: “Tradizionalmente operanti in unità separate, questi team stanno scoprendo che i loro obiettivi e le loro operazioni quotidiane sono sempre più interconnessi. Questo cambiamento è determinato non solo dal rapido progresso della tecnologia, ma anche dall’evoluzione dei rischi per la sicurezza che hanno un impatto diretto sull’infrastruttura IT”.
La convergenza ha senso perché le singole minacce tendono a mettere contemporaneamente nel mirino le infrastrutture e la sicurezza, e dimostrando che serve una risposta comune. “Promuovendo una collaborazione più stretta, condividendo tecnologie e piattaforme, questi team che prima operavano separatamente possono ora unire le loro competenze per rafforzare le difese contro minacce informatiche sempre più sofisticate”, prevede Zeki Turedi: “L’avvento di nuove piattaforme di cyber security, studiate appositamente per i team IT, testimonia questa tendenza. Queste piattaforme sono progettate per integrarsi perfettamente con le operazioni IT, fornendo approfondimenti in tempo reale e risposte automatiche agli incidenti di sicurezza, riducendo così i tempi di risposta e migliorando la sicurezza complessiva”.
L’evoluzione del ruolo del CISO
Secondo Raphael Marichez, CSO SEUR di Palo Alto Networks, i CISO dovranno focalizzarsi sulla semplificazione e comunicazione del rischio per i progetti aziendali abilitati all’AI. La priorità andrà alle iniziative che supportano funzionalità di valore elevato dove la cyber security ha il maggiore impatto sul business.
I CISO, inoltre, “dovranno sfruttare le piattaforme abilitate all’AI per ridurre la complessità e aumentare l’efficacia della sicurezza, imparando al contempo dai colleghi le migliori pratiche”, sottolinea Raphael Marichez.
Il ruolo del CISO si evolverà verso quello di Chief AI Security Officer (CAISO), grazie a modelli di AI per aiutare la previsione di minacce in modo proattivo attraverso sistemi autonomi e in tempo reale. L’evoluzione del ruolo di CISO darà un’opportunità unica per raccogliere i responsabili aziendali e usare la cyber security come base fondamentale per creare progetti digitali abilitati dall’AI.
Secondo Palo Alto Networks, l’AI generativa accelererà la cyber security come fattore abilitante, attraverso definizione di metriche tracciabili, come la risoluzione degli incidenti e la protezione dell’AI dal poisoning o il degrado dei dati.
Trasferimento delle responsabilità di cyber security alle persone fisiche
“La sicurezza informatica rimarrà una priorità assoluta per i vertici aziendali e i consigli di amministrazione e vedremo più persone ritenute responsabili per gli incidenti di sicurezza informatica delle organizzazioni, con conseguenze per i dirigenti oltre che per le aziende nel loro complesso. Ne consegue che il Top Management dovrà approfondire sempre di più le proprie conoscenze in termini di cybersecurity attraverso una formazione ad hoc, oltre a garantire di estendere tale formazione anche a tutta l’organizzazione”, spiega Federica Maria Rita Livelli.
Corsa ai cyber armamenti: sempre più a favore degli avversari
“L’efficacia delle tecnologie di sicurezza sarà messa sempre più in discussione a causa dell’evoluzione dei metodi usati dai criminali informatici e della pressione verso una maggiore efficienza delle minacce”, avvisa Drew Simonis: “Tecniche come gli attacchi Living off the Land (che sfruttano strumenti legittimi già presenti nel sistema operativo della vittima per eseguire azioni malevole), il malware fileless e gli attacchi basati sull’identità domineranno lo scenario, riducendo il valore di tool molto amati, come la scansione delle vulnerabilità, e anche sfidando l’efficacia di innovazioni come l’Endpoint Detection and Response (EDR)“.
Conclusioni
Tutti concordano sul fatto che l’IA sta cambiando il gioco degli attacchi, costringendo le aziende a rafforzare la propria resilienza collettiva in un panorama delle cyber minacce in continua evoluzione.
“Crescono infatti gli attori delle minacce abilitati dall’IA”, spiega Yihua Liao, Head of Netskope AI Labs, “ma sempre più aziende si rivolgeranno all’intelligenza artificiale e agli algoritmi di apprendimento automatico in grado di migliorare l’intelligence sulle minacce, migliorare la prevenzione del phishing e rilevare modelli anomali in tempo reale”.
Infatti, “l’intelligenza artificiale generativa sarà utilizzata per monitorare continuamente la rete e i sistemi di un’azienda per far emergere eventuali violazioni delle policy e rispondere automaticamente ai problemi”. “L’intelligenza artificiale generativa sarà utilizzata per monitorare continuamente la rete e i sistemi di un’azienda per far emergere eventuali violazioni delle policy e rispondere automaticamente ai problemi”, conferma Mike Anderson, CIO e CDO di Netskope.
I classici inoltre non stanno affatto scomparendo, ma, al contrario, si evolvono e progrediscono via via che gli attaccanti ottengono accesso a nuove risorse. Nel report Cyberthreat Predictions for 2024, il team dei FortiGuard Labs prevede l’evoluzione delle operazioni APT, mentre i gruppi di cybercrime sono pronti a diversificare i propri obiettivi e le proprie strategie, focalizzandosi su attacchi più sofisticati e dirompenti e puntando al denial-of-service (DoS) e all’estorsione.
I “conflitti territoriali” del cyber crimine proseguono, con più gruppi che si focalizzano sugli stessi target e distribuiscono varianti di ransomware, spesso entro 24 ore o meno.
Gli zero-day continuano a costituire un rischio cyber anche per le organizzazioni. A causa del valore degli zero-day per gli aggressori, Fortinet prevede l’mergere dei broker di zero-day tra la comunità CaaS, gruppi di cyber crime che vendono questa tipologia di minacce sul dark web a più acquirenti.
Stiamo assistendo a un crescente uso dell’IA da parte degli attori criminali per supportare le attività malevole in modi nuovi, che vanno dall’elusione del rilevamento del social engineering all’imitazione del comportamento umano nella CEO fraud (il vishing con la voce campionata dei superiori ed altri esempi). “Per contrastare questa frode, bisogna mettere mano ai pagamenti”, avverte Pennasilico.
Eventi geopolitici e di opportunità come le elezioni USA del 2024 e i Giochi della XXXIII Olimpiade, che si terranno a Parigi nel 2024, saranno presi di mira dai cyber criminali anche con nuovi strumenti, in particolare l’IA generativa.
Invece i settori dell’oil & gas, dei trasporti, della sicurezza pubblica, della finanza e della sanità saranno compromessi con attacchi basati sul 5G.
In questo scenartio complesso, almenometà delle aziende che operano in infrastrutture critiche, come i servizi finanziari o la sicurezza nazionale, avvierà progetti per valutare l’impatto dell’emergente computing quantistico sulla loro postura di sicurezza informatica. “Quando i computer quantistici saranno ampiamente disponibili, sarà opportuno valutare il rischio di soggetti minacciosi in grado di ascoltare di nascosto, catturare comunicazioni crittografate e memorizzarle per decifrarle in seguito”, afferma Raphael Marichez, CSO SEUR di Palo Alto Networks: “Mappare le applicazioni sviluppate in proprio e le tecnologie dei fornitori in cui la crittografia post-quantistica (PQC) sarà necessaria subito o nel 2025”.
Inoltre, almeno il 30% delle imprese darà priorità alla sicurezza delle applicazioni, quale grande cyber rischio nel 2024. “Valutare la postura di sicurezza all’interno, di e intorno alla pipeline del software engineering e definire un piano per gestirla alla stessa velocità dell’ingegneria”, evidenzia Raphael Marichez: “Rendere le misure di sicurezza strategiche in base alla Developer Experience (DevEx), come integrazione senza attriti nell’ecosistema degli sviluppatori, contesto tra code-build-run, controlli-as-a-code ed elevata automazione, utilizzando strumenti di sicurezza infrastructure-as-a-code”.
“Nel 2024 il percorso delle organizzazioni verso la cyber, a fronte degli attacchi cyber che continuano ad aumentare e diventano sempre più sofisticati, implicherà l’intraprendere un cammino sine die verso la conoscenza delle proprie infrastrutture hardware e software per raggiungere la consapevolezza dei propri punti di cedimento e garantire la gestione dei rischi e della continuità operativa, implementando i principi di risk management, business continuity e cyber security“, conclude Livelli: “Si tratta di coinvolgere tutta l’organizzazione e le terze parti per costruire un ecosistema sempre più anti-fragile in grado di garantire, grazie anche alla tecnologia a disposizione, una cyber security preventiva, predittiva e proattiva“.
Infatti “oggi non si tratta più di proteggere singoli castelli, ma piuttosto una carovana interconnessa”, aggiunge Steve Stone, Head of Rubrik Zero Labs. Gli aggressori intensificheranno i loro attacchi alle infrastrutture virtualizzate: “nel 2024 sentiremo parlare ancora di incidenti” come quello segnalato da VMWare in cui “gli aggressori hanno sfruttato le vulnerabilità del suo hypervisor ESXi e dei suoi componenti per distribuire ransomware”.
