La cybersecurity in azienda comincia dalle case dei dipendenti. E la situazione, parliamoci chiaro, non è proprio rosea. Almeno questo emerge leggendo i dati dell’ultima ricerca sulla sicurezza cyber dei dispositivi digitali personali e domestici, presentata da Cisco pochi giorni fa.
Il problema più grosso è che i dispositivi personali, che sono insicuri anche per la scarsa consapevolezza del rischio della maggior parte degli utenti, sono usati spesso anche per lavoro, e quindi agiscono come un cavallo di troia per far entrare gli hacker nei server aziendali. Questo va a impattare profondamente la gestione della cybersecurity aziendale, dove ormai il vecchio concetto di “difesa del perimetro” è stato per forza di cose pensionato, favorendo nuove tecniche di difesa. Ecco che cominciano a imporsi nuovi approcci, come quello di una cybersecurity “resiliente”, che punti meno sulla prevention e più sulla detection/response/recovery; che non sia più costruita a settori stagni, a silos, ma diventi più integrata e connessa; e che infine non sia più alert-centrica ma piuttosto focalizzata sui contesti.
Di questi e altri concetti si è parlato in occasione della presentazione della ricerca sulla “Consumer Security” organizzata da Cisco Systems, l’azienda di S. Jose (da 51,56 miliardi di dollari di fatturato) leader mondiale nel networking e nei sistemi di cybersecurity. Durante l’evento, è stata descritta un’applicazione concreta di questi principi realizzata in Sara Assicurazioni, che ha adottato l’architettura Cisco Secure per implementare il modello Zero Trust della compagnia.
La sicurezza cyber fra le mura domestiche (ma anche fuori)
Il principale dato che possiamo estrapolare dalla survey è che solo poco più della metà delle persone coinvolte (in Italia sono un migliaio) è preoccupato che i propri dispositivi personali possano essere violati da hacker. Qual è il problema? Beh, il problema è che circa il 71% degli interrogati usa il suo smartphone anche per lavoro: per esempio, per ricevere o inviare mail aziendali. Quindi esiste una consistente fetta di popolazione che utilizza propri dispositivi in connessione all’azienda dove lavorano. E molti di questi dispositivi sono a rischio: non hanno a bordo antimalware, Vpn, o altri sistemi di sicurezza. Tanto che il 39% degli utenti ammette di usare il “buon senso” come unica arma di difesa contro gli attacchi. E con i gruppi hacker che perfezionano sempre più, per esempio, i loro attacchi phishing (avete presente le email nelle quali la “vostra banca” vi chiede di reinserire nome e password “per un controllo di sicurezza”? O quelle del corriere che vi avvisano di avere un pacco in giacenza per voi? Ecco, quelle) il buon senso non è sufficiente: basta un attimo di distrazione, e il cellulare viene compromesso, con tutto quello cui è collegato.
Ma le brutte notizie non finiscono qui. Per esempio, un altro fatterello interessante è che il 18% dei rispondenti non ha mai cambiato la password della sua rete Wi-fi. Un altro 25% non la cambia da almeno un anno. Atteggiamenti che rendono la vita più facile per gli hacker, che riescono a violare le password delle reti wireless spesso nel giro di pochi minuti. Aiutati anche dal fatto che, per esempio, un buon terzo degli utenti nutre una sconfinata fiducia nelle reti Wi-fi pubbliche che non richiedono autenticazione (che trovano in bar, hotel, ristoranti, eccetera), e le usa tranquillamente sia per scopi personali che per lavoro. Probabilmente, nessuno di loro ha riflettuto sul fatto che una rete Wi-fi chiamata “Ospiti Vip” potrebbe in realtà essere gestita un hacker con un notebook all’esterno della hall dell’hotel.
Già, perché non c’è solo l’ambiente domestico a creare rischio cyber: il massiccio dispiego di tecnologia di connessione digitale in tempi di pandemia – si parla di un’accelerazione di 5 anni nell’adozione di tecnologie di rete e comunicazione a distanza – ha fatto sì che l’impiego di queste tecnologie diventasse generalizzato, e nel momento in cui la pandemia è passata e le persone hanno ripreso a muoversi, hanno amplificato il problema anche a livello mobile, con smartphone, notebook e tablet usati in giro per il mondo, tanto da non permettere agli esperti di sicurezza aziendali di circoscrivere, anche solo vagamente, un “perimetro” di protezione, nemmeno virtuale. Fortunatamente, non tutti i risultati sono completamente negativi. Per esempio, quasi l’80% dei rispondenti usa l’autenticazione multifattore (tipicamente, due fattori), che fornisce una maggiore resistenza alle intromissioni. A patto di non vanificare uno dei due fattori usando, per esempio, una password scontata.
Dalle persone alle aziende
Il problema della sicurezza dei dispositivi personali connessi si somma, per le aziende, a un quadro di cybersecurity piuttosto critico. Secondo Fabio Florio, business development manager e Cda leader di Cisco Italia, che ha mostrato dati dal Barometro Cybersecurity 2022 di NetConsulting Cube e del Clusit, «se nel 2021 phishing e malware erano i principali tentativi di attacco l’anno scorso, nel 2022 il phishing cresce ancora, e si segnala anche un aumento degli attacchi Ddos». Che sono quelli (Distributed Denial of Service) che bloccano un server bombardandolo con milioni di richieste, generalmente tramite una “botnet”, ovvero una rete di computer compromessi da malware che obbediscono agli ordini di un server gestito dagli hacker. Più sono numerosi i computer della botnet, più è probabile che l’attacco vada a buon fine e blocchi le risorse dell’azienda colpita. Ebbene, le botnet spesso sono costituite da dispositivi di ignari utenti infettati da trojan che li mettono al servizio della botnet stessa, spesso senza che il proprietario del device se ne accorga (se non per qualche strano rallentamento…). Ecco quindi che torniamo al punto di prima: i device personali non protetti sono pericolosi non solo perché permettono agli hacker di guadagnare l’accesso alle risorse aziendali, ma anche perché possono essere “reclutati” e usati per attaccare qualsiasi azienda. Tra parentesi, non parliamo solo di Pc: qualsiasi dispositivo che abbia un processore e sia connesso a Internet può essere utilizzato per scopi malevoli. Smartphone, tablet, console per videogiochi, televisori “smart”, perfino elettrodomestici: l’elenco si allunga sempre di più, con l’aumentare dei dispositivi connessi presenti nelle case. Secondo i dati, gli attacchi Ddos si sono messi a crescere in particolare dopo lo scoppio della guerra in Ucraina, per cui si può legittimamente sospettare che almeno una parte di essi sia organizzata da gruppi hacker in qualche modo collegati agli ambienti governativi delle nazioni in guerra.
Sempre secondo il Barometro, fra gli aspetti da migliorare nella gestione della cybersecurity ci sono le risorse (nel senso di aumentare il numero di persone addette), le competenze (da far crescere) e la sensibilizzazione di altri reparti aziendali al tema della sicurezza – anche se questo aspetto è migliorato dall’ultima rilevazione, fermandosi a un 44%, ovvero 25% sotto il livello precedente. Un terzo dei rispondenti ha indicato anche un problema di budget: in un periodo di crisi, la tendenza è di ridurre le spese, e di queste riduzioni cominciano a risentire anche i team di cybersecurity. Le aziende, comunque, hanno cominciato a muoversi sul fronte cybersecurity e i risultati ci sono. Quasi il 60% dichiara di disporre di un team di Threat Intelligence, anche se solo il 25% lo possiede al suo interno e per il 33% si parla di team esterni. Le aziende, comunque, stanno investendo in sicurezza. Fra gli ambiti d’investimento che nel biennio 2022/2023 avranno i maggiori incrementi troviamo l’ampliamento degli ambiti di utilizzo del Disaster Recovery (53%, +20% rispetto allo scorso anno),le soluzioni di Cloud Security (40%, +21%), le soluzioni basate su framework “Zero Trust” (al 34%, con un incremento del 79%) e, nelle ultime posizioni ma con un discreto incremento, le soluzioni di sicurezza per dispositivi Iot e ambienti di produzione connessi, che salgono al 19% con un incremento del 35%. Evidentemente, qualcuno nei reparti Ot comincia a rendersi conto che i rischi di attacco sono non solo reali, ma elevati. I dati Clusit, che mostrano come gli attacchi verso infrastrutture critiche, operatori di servizi essenziali e piccole amministrazioni locali siano cresciuti dai circa 500 al mese di gennaio 22 agli oltre 1300 di giugno 22 sono significativi. Nel solo manufacturing, l’incremento numerico è stato del 34% fra il primo semestre 2021 e lo stesso periodo del 2022. Ma va peggio alle istituzioni finanziarie (+76,7%) e soprattutto alle telco (+77,8%).
Un nuovo approccio alla cybersecurity
Contrastare attacchi così numerosi, e così variegati, non è più possibile con metodi “tradizionali”. Anche supponendo di disporre di personale qualificato il loro numero sarebbe sempre insufficiente ad analizzare e fermare in tempo utile tutti gli attacchi. Insomma, bisogna cambiare strada. Si comincia a parlare di “security resilience”: così come le aziende si sono imposte la resilienza nella finanza, nelle operation, nella supply chain e nell’organizzazione aziendale in generale, la resilienza nella security è trasversale a tutte queste, in quanto investe ogni settore dell’azienda stessa. Tanto che, in mancanza di security resilience, si finirebbe con il vanificare gli investimenti per tutto il resto. Ma cosa vuol dire security resilience per Cisco? «Vuol dire avere una nuova strategia di sicurezza – spiega Florio – che si sposta dalle soluzioni cosiddette point to point, dedicate ad aree molto specifiche, a una sicurezza molto più integrata, dove ci si muove dalla prevenzione alla detection/response/recovery, perché ormai non è più un tema di bloccare gli attacchi, ma di intercettarli e reagire velocemente. Il rischio non si può eliminare, ma si può mitigare, quindi bisogna essere bravi a scoprire se si è attaccati e a rispondere e recuperare molto velocemente. Ci si sposta da soluzioni basate su silos a soluzioni molto più connesse fra loro, e da quella che è la metodologia di fare riferimento ai singoli alert e minacce, a una logica più di contesto, perché è importante allargare il focus della sicurezza per capire effettivamente dove si è attaccati e in che modo».
Come funziona quindi la strategia di Cisco da questo punto di vista? Secondo Florio, «ci sono 4 fattori principali. Innanzitutto, la strategia che permette di scalare, perché nella sicurezza più si riesce a scalare, ad avere un perimetro di osservazione ampio, e più è possibile raccogliere informazioni e di conseguenza essere pronti a reagire. Ci avvaliamo della nostra esperienza, non solo nella cybersecurity ma anche nel networking. Abbiamo la piattaforma sempre più integrata, aperta e flessibile ma che è sempre più orientata a tracciare la telemetria di ciò che succede, non solo nelle reti ma anche nelle applicazioni, nei device e nel cloud. E ovviamente c’è tutta una serie di funzionalità core che sono diffuse in tutto il nostro portfolio, che è molto vasto e copre tutte le aree della cybersecurity. Tutto questo con grande focalizzazione sul cloud, che abbiamo visto essere una delle aree maggiormente utilizzate e maggiormente a rischio. E con tutta una serie di soluzioni che vengono integrate fra loro, dalla Secure Connectivity alla Network Security, allo ZeroTrust alla base della nostra strategia, poi la Cloud Application Security e anche la Threat Detection & Response. Abbiamo poi tutta una serie di innovazioni che stiamo inserendo in queste aree, dal “passwordless” alle nuove interfacce applicative di Cisco Umbrella, ai nuovi firewall per il network security eccetera. Il tutto si appoggia sulla Threat Intelligence di Talos». Per gli amanti della mitologia antica, Talos è il gigantesco robot cui Zeus aveva affidato la difesa di Creta da ogni minaccia. Che è, estesa a livello mondiale, anche la mission di Cisco Talos.
«Abbiamo visto che anche per gli utenti italiani la threat intelligence è importantissima, è in crescita l’utilizzo e la diffusione di soluzioni di questo tipo – prosegue Florio – Noi ci avvaliamo soprattutto di Talos, che è il gruppo di Cybersecurity non governativo più grande al mondo (450 ingegneri) e che ha il grande vantaggio di poter vedere tutto il traffico che viaggia su sistemi Cisco a livello mondiale: verso i nostri clienti ma anche nella nostra azienda. Questo permette loro di tracciare e soprattutto rilevare una serie di statistiche e informazioni fondamentali per arricchire le soluzioni di protezione». La forza del gruppo Talos non viene solo dal numero e dalla competenza dei suoi ingegneri, ma da un indiscutibile vantaggio competitivo del quale l’azienda si S. Jose gode nel networking: l’80% del traffico Internet viaggia su sistemi Cisco. «Non solo, ma 840mila reti al mondo sono Cisco. Anche 67 milioni di mailbox, 87 milioni di endpoint sono gestiti dai nostri sistemi di sicurezza. Abbiamo 300mila clienti, fra i quali tutte le Fortune 100» puntualizza Florio. Sempre in tema di numeri, Talos analizza ogni giorno circa 1,4 milioni di campioni di malware. Basta già questo a far capire che è impossibile contrastare una tale mole di attacchi con il solo impiego di personale, per quanto ben addestrato. Largo quindi a nuovi strumenti e all’uso dell’intelligenza artificiale: facciamo sì che le macchine si combattano fra loro.
Un caso di studio: Sara Assicurazioni
Lo scorso ottobre, Sara Assicurazioni ha annunciato di aver adottato la soluzione Cisco Secure allo scopo di implementare il modello Zero Trust all’interno dell’azienda. Nel suo processo di trasformazione digitale, la compagnia ha puntato sulla prevenzione delle violazioni dei dati e sull’identificazione del rischio informatico, per assicurare agli utenti un’esperienza d’uso trasparente, sicura e affidabile su tutti i possibili end-point. Con l’adozione di Cisco Secure, che segue il passaggio su cloud dell’infrastruttura digitale di Sara Assicurazioni, l’azienda ha ora un unico vendor che fornisce sicurezza a 360 gradi, sia nelle infrastrutture, nel controllo degli accessi e dei dispositivi degli utenti – dispositivi che, come visto in apertura, possono creare rischi di varia natura a infrastrutture aziendali non adeguatamente protette.
«Con l’aumento del lavoro da remoto, i nostri dipendenti e i nostri agenti oggi possono utilizzare qualsiasi dispositivo, qualsiasi tipo di connessione e lavorare da qualsiasi luogo – ha sottolineato Luigi Vassallo, chief operating officer e chief technology officer di Sara – la gestione delle minacce tramite più soluzioni era stressante per il nostro team di cybersecurity e ciò ha determinato la necessità di un approccio innovativo alla sicurezza. Avevamo bisogno di un partner forte, con una grande esperienza nella tecnologia cloud, in grado di proteggere l’azienda e i nostri utenti con una soluzione completa e di supportare architetture di sicurezza avanzate come quella Zero Trust. E questo partner non poteva che essere Cisco». Nella seconda fase del processo di digitalizzazione, sono state implementate funzionalità Xdr (eXtended detection & response) tramite SecureX e Cisco Secure Endpoint, ottenendo visibilità sulle minacce e tempi di analisi ridotti. «Al momento abbiamo circa 2.000 endpoint controllati dalla tecnologia Cisco, con 400 minacce intercettate negli ultimi 30 giorni – ha spiegato Vassallo -nello stesso arco di tempo, abbiamo analizzato circa 3 milioni di file diversi e bloccato 1.000 transazioni. Anche il tempo e l’impegno dedicati ai controlli delle minacce si sono ridotti drasticamente, con un aumento dell’efficienza di quasi il 20%». Tutto questo ha permesso a Sara Assicurazioni di elevare il suo livello di resilienza rispetto a quello di tre o quattro anni fa, tanto che oggi, oltre a poter offrire nuovi servizi contando su un approccio di sicurezza integrato, la compagnia può perseguire nuove opportunità di business con maggiore fiducia.
