La violazione degli asset digitali è una minaccia incombente in tutte le organizzazioni, piccole o grandi, perché può provocare danni, l’interruzione dell’operatività e la violazione di previsioni normative.
A riguardo, il legislatore ha rilevato l’importanza di questa criticità ed è intervenuto con diversi provvedimenti: a livello europeo basta citare la Direttiva NIS 2 sulla sicurezza delle reti e dei sistemi informativi, il Regolamento generale sulla protezione dei dati (GDPR) e il Digital Operational Resilience Act (DORA).
In ambito nazionale troviamo il Codice in materia di protezione dei dati personali, il Codice dell’amministrazione digitale, le Disposizioni in materia di perimetro di sicurezza nazionale cibernetica e altri. In tal senso, vengono prescritte misure per la riduzione del rischio, attività di prevenzione e contrasto e, al contempo, stabilite sanzioni per le organizzazioni che non si adeguano e/o subiscono una violazione dei dati.
Tralasciando le previsioni normative, esaminiamo i principali rischi che possono causare una violazione degli asset digitali, indicando le eventuali azioni di mitigazione.
Indice degli argomenti
Credenziali rubate o password deboli
A tutt’oggi, il sistema di autenticazione più utilizzato per l’accesso alle applicazioni e alle piattaforme online è rappresentato dalle credenziali formate da userid e password.
Sebbene negli ultimi anni i controlli sulle password siano divenuti più maturi, incorporando funzionalità come la scadenza programmata, la sintassi più complessa per la generazione delle password, le casseforti di password, i vari gestori e le tecnologie di Single Sign-on, rimangono comunque suscettibili agli attacchi.
Nella maggior parte dei casi, ciò è dovuto ad una scarsa consapevolezza dei rischi alla sicurezza che induce gli utenti a condividere le proprie credenziali, a riutilizzarle in tutte le applicazioni o semplicemente a sceglierle scadenti e facilmente decifrabili, offrendo agli aggressori un modo semplice e veloce per entrare in un sistema informatico.
Per cui, anche il migliore framework di sicurezza può essere compromesso per colpa della condivisione di una password da parte degli utenti.
Per mitigare questo rischio, le organizzazioni dovrebbero investire in sistemi di Identity e Access Management più robusti, che prevedano l’autenticazione a più fattori e utenze con privilegi differenziati, oppure implementare un’architettura Zero Trust, che limita i danni di un’eventuale compromissione, migliorare le linee guida sulla gestione dell’identità digitale e aumentare la consapevolezza della sicurezza informatica tra gli utenti.
Insider threat: la minaccia nascosta
Le minacce interne sono una delle sfide più impegnative per la sicurezza informatica. Infatti, è molto difficile identificare e mitigare l’eventualità che una persona fidata, dipendete o consulente, utilizzi in modo inappropriato il proprio accesso autorizzato.
Inoltre, non è detto che siano sempre i dipendenti malintenzionati a causare una violazione della sicurezza; potrebbe dipendere da azioni negligenti che possono comportare lo sfruttamento di una falla di sicurezza, ad esempio un collaboratore che non rispetta le policy di sicurezza, una configurazione errata delle impostazioni di sistema e via dicendo.
Le minacce interne possono essere mitigate attivando tecnologie come la User Entity and Behavior Analytics (UEBA), poiché riescono a identificare le anomalie sfruttando l’apprendimento automatico, e le architetture Zero Trust, perché operano sul presupposto che la rete sia potenzialmente compromessa e che ogni azione debba essere preventivamente autorizzata.
Errori di Misconfigurations
L’errata configurazione (misconfiguration) dei sistemi, che può essere dovuta a errori umani o mancanza di conoscenza, è una delle principali fonti di violazione.
È indubbio che una configurazione errata nell’infrastruttura hardware o nel software possa creare una vulnerabilità. L’utilizzo di password predefinite, l’apertura di porte di rete, l’avvio di servizi inutili e non monitorati può comportare un degrado della postura di sicurezza di un’organizzazione.
Questo rischio si amplifica negli ambienti cloud, in cui le modifiche possono propagarsi rapidamente agli ambienti di produzione tramite pipeline automatizzate.
Per mitigare questi rischi, le organizzazioni dovrebbero rivedere regolarmente la propria infrastruttura, le configurazioni e monitorare che non vengano alterate. In tal senso, esistono procedure standardizzate e soluzioni software specializzati.
L’obsolescenza dei sistemi informatici
L’obsolescenza dei sistemi informatici, al pari della mancanza di aggiornamento, espone le infrastrutture digitali alle minacce connesse allo sfruttamento di vulnerabilità note.
È risaputo che i sistemi IT possono contenere delle falle (bug), a maggior ragione quelli complessi ed eterogenei, e infatti tutti i produttori di software rilasciano frequentemente e gratuitamente aggiornamenti e patch per risolverle.
Questo rappresenta un costo per l’organizzazione, ma risulta nettamente inferiore al danno causato dallo sfruttamento di una vulnerabilità nota.
La mitigazione di questo rischio consiste nel tenere aggiornati i propri sistemi tramite le soluzioni già fornite dai fornitori e, nel caso in cui si arrivi alla fine del ciclo di vita, è necessario valutare la possibilità di effettuare un cambio di release.
L’errore umano è sempre dietro l’angolo
L’errore umano, così come la negligenza, è un’altra causa di violazione difficilmente rilevabile e mitigabile.
Una persona che invia accidentalmente informazioni sensibili via mail, oppure fa clic su collegamenti malevoli o, addirittura, perde il proprio laptop, rappresentano tutti potenziali rischi che possono causare gravi incidenti di sicurezza per un’organizzazione.
Per mitigare l’impatto legato all’errore umano occorre muoversi su due binari: innalzare la consapevolezza dell’intera organizzazione al rischio cyber (non interventi spot, ma per l’intera vita aziendale) e, contestualmente, implementare controlli ad hoc, come le politiche di fuga dei dati, la crittografia, le tecnologie anti-phishing ecc., perché è inevitabile che, prima o poi, si verificheranno errori umani.
La “vecchia” minaccia del malware
Il malware è una minaccia presente sin dagli albori di Internet e si prevede che rimarrà tale. Gli attacchi malware diventano ogni anno più sofisticati perché i criminali informatici sfruttano le nuove tecnologie, come l’intelligenza artificiale (AI) e il machine learning (ML), per rinforzarli ulteriormente e, inoltre, si alleano tra di loro per sferrare attacchi più incisivi.
Per mitigare questa tipologia di rischi, è essenziale un approccio multi-crowd che combini: la consapevolezza degli utenti, i controlli anti-malware, il filtraggio delle e-mail e il rafforzamento dell’ambiente IT contro le vulnerabilità che consentirebbero al malware di colpire.
Inoltre, è necessario applicare regolarmente le patch di sicurezza, poiché i sistemi privi di patch sono in genere il modo attraverso il quale il malware ottiene l’accesso privilegiato all’interno di un ambiente per eseguire ulteriori attacchi. Infine, anche una politica di backup resiliente può fungere da difesa contro attacchi come il ransomware; ovviamente è importante mantenere i backup separati dall’ambiente circostante per evitare che l’infezione influisca sui backup.
Il social engineering per sfruttare la vulnerabilità umana
L’attacco di social engineering nasce prima di Internet, ma è stato amplificato nell’era digitale perché i criminali informatici si sono resi conto di quanto sia facile approfittare dell’anonimato offerto dalla rete.
L’ingegneria sociale si basa sull’inganno delle persone per indurle a divulgare informazioni sensibili o eseguire azioni che compromettono la sicurezza. I punti di forza di un attacco di questo tipo sono: la fiducia umana, il desiderio di essere d’aiuto, l’urgenza e la paura di mettersi nei guai.
L’attacco più comune di ingegneria sociale è il phishing, si presenta in varie forme come e-mail, messaggi di testo, chat, telefonate e via dicendo. Il metodo di attacco solitamente è sempre lo stesso, ovvero crea un senso di panico o urgenza nell’utente e lo induce a divulgare informazioni o a fare clic su un collegamento/allegato malevolo.
Il modo migliore per proteggersi da questo rischio consiste nell’innalzare la consapevolezza dell’intera organizzazione sui tipi di attacchi di ingegneria sociale esistenti ed emergenti e, inoltre, effettuare periodicamente dei test per valutare la postura e la capacità di resistenza dell’organizzazione.
Problemi connessi alla supply chain
La supply chain dei prodotti e dei servizi IT rappresenta una vulnerabilità molta rilevante nelle difese di un’organizzazione, alcuni lo definisco il punto cieco della cyber security.
La catena di approvvigionamento si riferisce ai partner, ai fornitori e agli strumenti coinvolti o collegati all’infrastruttura dell’organizzazione. Gli aggressori si sono resi conto che compromettere la supply chain consente di ottenere un varco nell’infrastruttura IT molto più rapidamente rispetto ad un tentativo di attacco diretto.
Per mitigare questi rischi, le organizzazioni devono includere i partner, i fornitori e le dipendenze software nell’ambito della gestione dei rischi per la sicurezza.
Inoltre, i partner e i fornitori di servizi, prima di connettersi all’ambiente di un’organizzazione, devono superare un controllo e soddisfare una base minima di requisiti di sicurezza.
Considerazioni finali
La cyber security è un campo in continua evoluzione ed è fondamentale essere consapevoli di quali possano essere i principali vettori di minacce in grado di compromettere gli asset digitali, le conseguenze e le relative misure di contenimento.
La sicurezza è un processo continuo perché occorre considerare che nel prossimo futuro appariranno nuovi potenziali rischi. Pertanto, le organizzazioni devono continuamente effettuare un assesment della postura di sicurezza, rivedere i piani di prevenzione e risposta, migliorare il proprio livello di sicurezza, dando priorità ai rischi maggiori, e implementare misure di mitigazione adeguate.
Una strategia globale di cyber sicurezza deve necessariamente implementare una serie di controlli tecnici, basati sull’uomo, coadiuvati dall’intelligenza artificiale per la mole di dati e controlli di cui occorre tenere conto.
Come è stato evidenziato, è fondamentale implementare controlli di sicurezza attivi come l’User and Entity Behavior Analytics (UEBA), per aiutare le organizzazioni a mitigare il rischio e l’impatto delle violazioni. Un UEBA automatizzato, basato su algoritmi di apprendimento automatico, consente di analizzare il comportamento degli utenti, rilevare anomalie e identificare potenziali minacce interne.
Inoltre, in ambiente cloud based, è fortemente consigliato l’adozione di una Zero Trust Architecture (ZTA). Questo modello di sicurezza presuppone che non ci sia alcuna fiducia implicita concessa alle risorse o agli account utente basandosi esclusivamente sulla loro posizione fisica o di rete (cioè, reti locali rispetto a Internet) o basandosi sulla proprietà delle risorse (aziendale o personale). L’autenticazione e l’autorizzazione (sia del soggetto che del dispositivo) sono funzioni distinte eseguite prima che venga stabilita una sessione con una risorsa aziendale.
La Zero Trust Architecture si focalizza sulla protezione delle risorse (risorse, servizi, flussi di lavoro, account di rete, ecc.), non sui segmenti di rete, poiché la posizione della rete non è più vista come il requisito principale della postura di sicurezza della risorsa.
Per questi motivi, nessun utente e nessun dispositivo può avere un accesso illimitato alle risorse aziendali: anche dopo essersi autenticato, i suoi privilegi di accesso verranno concessi in modo granulare e continuamente verificati.
