La sfida della cyber security può essere affrontata e vinta solo facendo gioco di squadra. La parola d’ordine è, infatti, “ecosistema” e – lungi dall’essere una vision a cui tendere o men che meno una semplice buzzword – il concetto rappresenta il pilastro su cui va costruita qualsiasi strategia di difesa perimetrale, data protection e continuità operativa. Soluzioni, competenze e buone pratiche devono crescere di pari passo, tenendo conto sia del progresso tecnologico, sia soprattutto della continua evoluzione delle esigenze del business e delle minacce informatiche.
Punto di raccordo di tutte queste istanze, oggi, sono i centri di ricerca, che rivestono un’importanza fondamentale nel cogliere i segnali provenienti dal mercato, nell’indirizzare le specializzazioni e i verticali del mondo IT, nell’integrare la compliance normativa e, infine, nel fungere da trait d’union tra la generalità dell’ambito teorico e le molteplici specificità delle applicazioni pratiche della cyber security.
Indice degli argomenti
La struttura di un centro di ricerca: un lavoro di squadra
“Non dimentichiamo il ruolo che i centri di ricerca ricoprono rispetto alla gestione della parte progettuale. Nelle sue varie declinazioni, la cyber security, infatti, non è un prodotto, bensì un processo. Riuscire, quindi, a integrare step by step soluzioni e servizi richiede competenze specifiche anche rispetto al recepimento delle informazioni relative alla struttura dell’organizzazione, con cui il team deve allinearsi, e soprattutto in merito allo sviluppo di un piano d’azione coerente”. A parlare è Roberto Veca, Head of Cybersecurity di Cyberoo, che sottolinea l’importanza di una figura ormai essenziale nell’elaborazione e nell’esecuzione di qualunque strategia: quella del Project Manager, chiamato a rappresentare sul versante aziendale un gruppo di lavoro eterogeneo, composto da almeno altre tre tipologie di professionalità.
“Allo specialista tecnologico, che conosce approfonditamente tutto quel che concerne i sistemi di firewalling, gli antivirus e le soluzioni antispam, deve affiancarsi chi possiede le skill per compiere analisi approfondite sul contesto e fornire evidenze che restringano il campo sulle soluzioni più adatte a rispondere a determinate necessità. Parliamo in questo caso dell’analista, che di solito lavora a quattro mani con la terza figura imprescindibile del team, il ricercatore, anche per studiare i nuovi trend di attacco, identificando modalità di risposta e contromisure altrettanto innovative. A prescindere dalle loro funzioni, gli specialisti devono in ogni caso lavorare di concerto, facendo convergere tutte le attività verso il Project Manager che, interfacciandosi con il mondo del business, ha il compito di introiettare le informazioni relative a governance, risk management e asset aziendali, innestando sull’organizzazione un progetto di cyber security adeguato”.
I centri di ricerca oggi sono in grado di operare secondo la logica agile, con la capacità di gestire i processi di incident response completamente da remoto. Per comprendere appieno (e possibilmente prevedere) le potenziali minacce per il business, però, bisogna interfacciarsi con la realtà quotidiana dell’azienda. “Sia le attività di audit, a partire dalle interviste one-to-one, sia gli interventi di natura più pragmatica traggono giovamento dall’essere svolti on site”, conferma Veca. “Senza contare che sicuramente per molte aziende, parlo soprattutto delle PMI, risulta più comodo avere qualcuno a fianco quando si tratta di affrontare gli scenari più complessi”.
Avere uno specialista che lavora gomito a gomito con i responsabili dei sistemi informativi consente anche di velocizzare i tempi di implementazione di nuovi processi di cyber security e favorisce l’appianamento del gap, tra premesse teoriche ed esigenze pratiche, allineando alle concrete necessità di business dei clienti una serie di approcci che, in qualche caso, potrebbero tendere troppo alla sfera accademica.
“Le aziende non sempre riescono a recepire i dettami di analisti e ricercatori: giustamente devono prima di ogni altra cosa badare al proprio business”, precisa Veca. “Per questo è importante mantenere i piedi per terra, conoscere le realtà per cui si cercano soluzioni e collaborare strettamente con loro. Il rischio, altrimenti, è quello di non riuscire a sprigionare il valore intrinseco di prodotti e servizi anche di livello”.
Il valore delle partnership sul piano del trasferimento tecnologico
Com’è la situazione in Italia da questo punto di vista? “Direi che siamo messi abbastanza bene, la cultura degli analisti è in genere molto buona, ci sono al lavoro belle menti e tendenzialmente i centri di ricerca, soprattutto quelli privati, sono allineati con le esigenze delle aziende, il che vuol dire che riescono a fornire tempestivamente le soluzioni e i servizi di cui il business ha realmente bisogno. Il centro di ricerca di Cyberoo, per esempio, è l’unico in Italia a sviluppare in modo end-to-end prodotti e servizi MDR (Managed Detection & Response, ndr). Puntiamo a una ricerca che risulti tanto approfondita sul piano teorico quanto applicabile alle realtà esterne: inutile essere all’avanguardia se poi non si riescono a vendere soluzioni appetibili per qualsiasi esigenza di business”.
D’altra parte, sempre secondo Veca, i centri di ricerca più istituzionali vengono considerati come un vero e proprio faro dal mondo privato, ma non di rado fanno fatica a sintonizzare le proprie linee guida con le necessità aziendali. “Servirebbe, a mio parere, un elemento di raccordo in grado di avvicinare ricerca, cittadini e imprese”.
Le partnership tra centri di ricerca, istituzioni e reti d’impresa costituiscono in questo senso un valido strumento sia per condividere informazioni di natura strategica, sia per introiettare nuove competenze, sia soprattutto per avvicinare le prospettive dei ricercatori a quelle dei manager. “In ambito cyber security lo scambio di insight è tutto, da soli si va poco lontano”, dice Roberto Veca. “Per quanto si possa disporre di persone competenti, bisogna saperle indirizzare, e in questo senso le collaborazioni rappresentano il valore distintivo di un settore che ha imparato che non basta lavorare per il cliente, ma bisogna condividere con lui ogni aspetto della progettazione”.
Trend futuri e contromisure per la difesa del perimetro aziendale
Un approccio del genere è d’altronde l’unico che si può adottare per far fronte alle sfide che dovranno affrontare aziende e Pubbliche Amministrazioni nei prossimi anni. “In prospettiva, lo scenario di risk cyber che ipotizziamo per l’immediato futuro ha a che fare con una crescita esponenziale delle minacce che vediamo oggi. Frodi informatiche, capacità di sfruttamento delle vulnerabilità, cyberwarfare e ransomware non faranno che moltiplicarsi e diventare più efficaci: nel giro di poche ore sarà possibile portare a termine attacchi anche complessi mirati alla violazione del perimetro aziendale e all’estrazione di dati”.
L’obiettivo, dunque, resta lo stesso, ma per Veca le modalità di intrusione saranno estremamente diverse. “Assisteremo alla comparsa di automatismi sempre più pervasivi, nascosti nell’attacco grazie ad avanzati sistemi di Intelligenza Artificiale (AI) e Machine Learning (ML), in grado di compromettere le macchine e di fare un’escalation in modo semiautomatizzato e ottimizzato sul target. Parliamo di iniziative basate su malware molto difficili da individuare, in quanto agiscono silenziosamente, apprendendo il linguaggio utilizzato nel network aziendale e immettendosi nelle conversazioni reali e nel traffico dati legittimo”.
Contrastare attacchi del genere significa sviluppare un approccio alla cyber security che possa integrare all’interno delle analisi e dei processi di monitoraggio delle minacce ogni evento, anche il più insignificante. “Inoltre, così come cresce il ricorso all’automazione tra gli attaccanti, anche le imprese devono automatizzare il più possibile i processi di sicurezza, cercando inoltre di ridurre il fenomeno dei falsi positivi in fase di detection, che costituisce ancora un problema grave nelle strategie difensive. Automatizzando le risposte all’interno di un ambiente eterogeneo, ovvero puntando sulle caratteristiche peculiari di una piattaforma MDR, diventa possibile astrarre il livello di personalizzazione dei vari player, abilitando una visione agnostica, e quindi più oggettiva, sull’intero ecosistema aziendale”, spiega Veca, che chiosa: “Non bisogna dimenticare però che gli attacchi non si fanno solo più complessi, ma anche più veloci. I cyber criminali stanno imparando a identificare e sfruttare le vulnerabilità dei sistemi in maniera sempre più rapida. Lo stesso devono fare le aziende, puntando su un patching quasi in tempo reale. Il che vuol dire non solo individuare i bug e risolverli, ma anche e soprattutto verificare che l’intervento non generi conseguenze laterali, a scapito per esempio della continuità operativa”.
Contributo editoriale sviluppato in collaborazione con Cyberoo