Nell’anno della pandemia si registra il record negativo degli attacchi informatici. «Siamo ormai giunti a una condizione di costante, quotidiano allarme rosso. E continuerà ad essere così poiché il cybercrime, a fronte di elevatissime opportunità di profitto, presenta un rischio di gran lunga più basso rispetto ad altre attività illegali». È quanto afferma Fabio Florio, innovation center leader di Cisco, responsabile del Co-Innovation Center dedicato alla sicurezza informatica che la multinazionale americana ha inaugurato nel gennaio 2020 presso il Museo Nazionale Scienza e Tecnologia Leonardo da Vinci di Milano. Secondo l’ultimo Rapporto Clusit, l’evoluzione delle minacce e dei relativi impatti – sia da un punto di vista quantitativo sia, e soprattutto, da un punto di vista qualitativo – ha subito un’accelerazione impressionante. Sempre più attacchi vengono progettati con tecniche sconosciute e, quindi, difficilmente rilevabili, se non con tecniche di sicurezza avanzate. Fenomeno che, in virtù di una sempre più ampia digitalizzazione, tende a interessare in maniera progressiva il settore manifatturiero e industriale.
Secondo Florio, «i progetti di Industrial IoT devono essere fondati su un approccio security by design e prevedere la gestione del rischio informatico. Di questo le aziende devono esserne consapevoli. Spesso c’è poca disponibilità a investire in sicurezza, soprattutto nelle Pmi. E’ un costo che non si è disposti a sostenere. Finché non accade il peggio. Solo una volta colpiti arriva da parte del vertice aziendale la consapevolezza del rischio e la disponibilità all’investimento». Il manager di Cisco ci ha accompagnati in un viaggio virtuale nella cybersecurity, mettendo in risalto i rischi del crimine informatico e le misure da adottare per creare un sistema di difesa a prova di attacchi e frodi cibernetiche. In primo piano le iniziative avviate dal Cisco Co-Innovation Center per mettere in sicurezza lo smart working, la soluzione Cyber Vision per fornire la massima protezione dell’Industrial IoT, l’intelligence di Talos per il controspionaggio informatico, le tecnologie per neutralizzare il malware nelle reti d’impresa e supportare la data privacy.
Cybercrime, un rischio globale
Secondo l’ultima edizione del Rapporto Clusit, a livello globale sono stati 1.871 gli attacchi gravi di dominio pubblico rilevati nel corso del 2020, con un impatto sistemico in ogni aspetto della società, della politica, dell’economia e della geopolitica. In termini percentuali, nel 2020 l’incremento degli attacchi cyber è stato pari al 12% rispetto all’anno precedente e negli ultimi quattro anni il trend di crescita si è mantenuto pressoché costante, facendo segnare un aumento degli attacchi gravi del 66% rispetto al 2017. Il crimine informatico è diventato una vera industria. Eclettica, molto prolifica e ben strutturata, con una sua gerarchia e un suo modello di business. Le attività che hanno l’obiettivo di ottenere un profitto immediato sono diventate un fenomeno patologico, una vera e propria malattia che è andata negli anni cronicizzandosi. Nel 2020 gli attacchi sono stati messi a segno prevalentemente utilizzando malware (42%), tra i quali spiccano i cosiddetti ransomware – una tipologia di malware che limita l’accesso ai dati contenuti sul dispositivo infettato, richiedendo un riscatto – che sono stati utilizzati in quasi un terzo degli attacchi (29%) e la cui diffusione è in significativa crescita (erano il 20% nel 2019), sia in termini assoluti che in termini di dimensioni dei bersagli e di ammontare dei danni.
Il Co-Innovation Center
«Quanto successo con il covid ha rivelato le fragilità del nostro sistema economico e della società, ma anche le incredibili risorse che possiamo liberare e mobilitare se ci impegniamo insieme per generare nuovi modelli, competenze e innovazione», ha affermato Agostino Santoni, AD di Cisco Italia a distanza di un anno dalla nascita del centro. «Quando abbiamo aperto la struttura l’abbiamo fatto per creare un luogo in cui aggregare persone, partner, idee e progetti sui temi della sicurezza e della data privacy. Un’attività che sarà ancora più intensa grazie al protocollo d’intesa siglato con il Cini, il Consorzio Interuniversitario Nazionale per l’Informatica». Nel quadro di un accordo biennale, Cisco e il Cini metteranno a fattor comune le rispettive competenze per attività educative e di ricerca, collaborando anche sul fronte aziendale con progetti di co-innovazione che coinvolgeranno clienti di Cisco. Nell’impossibilità, causa covid, di utilizzare gli spazi fisici, nel suo primo anno di vita il centro ha organizzato soprattutto attività di formazione online – a studenti, professionisti e imprese – in collaborazione con la Cisco Networking Academy. Un’attività coerente con la missione originaria, che è la diffusione di conoscenza della cybersecurity a tutti i livelli poiché per contrastare il cyber crime serve innanzitutto una responsabilità e consapevolezza individuale. Nella fase di emergenza sanitaria, importante è stato il supporto offerto alle aziende per aiutare a mettere in sicurezza lo smart working, una modalità di lavoro che interessa ormai un grandissimo numero di dipendenti.
Messa in sicurezza dello smart working
Nel corso dell’ultimo anno molte aziende si sono rivolte al Co-Innovation Center per mettere in sicurezza lo smart working. Tema di grande attualità considerato che a oggi, secondo i risultati emersi dall’ultima indagine Cisco, un 35% delle aziende italiane ha adottato lo smart working per una percentuale di dipendenti che va dal 75% al 100%, mentre il 40% lo ha adottato per più della metà dei suoi dipendenti. «L’accesso diretto a internet con propri device ha aperto delle voragini di sicurezza, dice Florio. Abbiamo fornito loro supporto per realizzare connessioni Vpn dove le comunicazioni sono criptate e gli utenti vengono autenticati prima di stabilire una connessione alla rete aziendale. Con l’emergenza sanitaria ci si è accorti di quanto sia importante abilitare i dipendenti al lavoro agile garantendo l’accesso in sicurezza ad applicazioni e dati aziendali».
AnyConnect Secure Mobility Client è la soluzione che Cisco propone per rispondere a queste esigenze. Si tratta di un software modulare che, in particolare, consente ai responsabili della sicurezza, di avere la visibilità e il controllo per identificare gli utenti e i dispositivi che accedono alla rete dell’azienda. Centrale per lo smart working è anche il problema dell’identità digitale. «Circa il 90% degli attacchi avvengono perché vengono rubate le credenziali, username e pwd, spiega Florio. In questo caso ci si può difendere con sistemi di multi factor authentication (Mfa) come Duo che offre metodi di autenticazione per consentire a ogni utente di accedere alle applicazioni desiderate. Nel momento che si invia username e pwd si riceve su pc notifica per inviare msg push su mobile a conferma della propria identità».
Per la navigazione sicura in rete esiste poi Cisco Umbrella, il Secure Internet Gateway che analizza nel cloud ogni richiesta Dns (Domain Name System) effettuata e impedisce l’accesso a siti “malevoli”, evitando a priori che un utente possa accedere a un sito pericoloso. Infine per la protezione dei device è disponibile il Cisco Advance Malware Protection (Amp) che rileva, blocca e risolve le minacce avanzate. «Amp – aggiunge Florio – può inoltre aiutare a ottenere visibilità e controllo dei dispositivi remoti, consentendo di vedere da dove proviene una minaccia, dove è stata originata, cosa sta facendo e, se necessario, isolare gli endpoint compromessi».
Cyber Vision per un Industrial IoT a prova di hacker
Fino a non molti anni fa l’Ot era un mondo molto chiuso, con propri standard, difficile da attaccare e poco attraente per gli hacker, la cui logica di attacco tende a privilegiare target con ampi volumi di mercato. Nel momento in cui l’It è entrato in fabbrica tutto è cambiato. «Le risorse edge di un ambiente IIoT sono esposte agli stessi rischi di un ambiente It tradizionale. Esistono ormai attacchi che tendono ad assumere il controllo di uno o più dispositivi dell’infrastruttura IIoT allo scopo di interrompere o cambiarne il funzionamento, consentendo ai sensori di segnalare e accettare valori errati. Qualsiasi anomalia si presenti nei dispositivi e nelle connessioni deve essere rilevata, analizzata e risolta rapidamente prima che la sicurezza di un’azienda venga compromessa.
«La soluzione Cyber Vision permette di avere visibilità completa sull’infrastruttura edge garantendo la sicurezza di tutti i dispositivi e flussi di comunicazione. All’interno di una qualsiasi organizzazione focalizzata sulla trasformazione digitale, a livello operazionale e di business, è fondamentale valutare tutti gli aspetti di sicurezza. L’interconnessione in edge di nuovi dispositivi, sensori, attuatori e controllori, deve essere coerente a una protezione di reti, sistemi, applicazioni e analisi dei dati». Cyber Vision diventa quindi la risposta per implementare un sistema di difesa integrata in ciascun segmento It-Ot, garantendo disponibilità e affidabilità delle comunicazioni, dalla dimensione edge – operazionale e di produzione – dove i dati vengono raccolti, a quella del cloud dove i volumi di dati più corposi vengono convogliati ed elaborati. La soluzione analizza il traffico proveniente dai dispositivi connessi, crea policy di segmentazione al fine di prevenire movimenti di propagazione delle minacce negli ambienti operativi, ed è potenziato dalle attività di Threat Intelligence di Cisco Talos, fornendo così un’analisi in tempo reale delle minacce alla sicurezza informatica delle risorse e dei processi industriali che potrebbero impattare sui tempi di attività, la produttività e la sicurezza.
Talos, la cyber intelligence per il controspionaggio informatico
Le ultime minacce nel mondo del cybercrime sono sempre più ampie e complesse: exploit avanzati utilizzati in massicci attacchi ransomware, spam creativo e attacchi di phishing. La realtà è decisamente preoccupante. Gli attaccanti hanno tempo e risorse quasi illimitate per esplorare i sistemi digitali, scovare vulnerabilità, provare a eseguire i loro attacchi. Per Cisco la cybersecurity deve garantire la sostenibilità e continuità del business, creando un sistema immunitario per contrastare le possibili minacce digitali. Punto fondante di questa strategia è la threat intelligence che svolge una sorta di controspionaggio informatico fornendo un supporto imprescindibile di prevenzione e gestione del rischio.
Talos è il servizio che svolge questa attività a livello mondiale per tutti i clienti Cisco. Si avvale di sistemi di telemetria e di monitoraggio all’avanguardia che sono in grado di fornire un intelligence sulle minacce informatiche. «Chiunque acquisti un nostro prodotto ha embedded questo servizio, che consente di tracciare tutti gli attacchi che avvengono su tutte le reti Cisco del mondo, in media 20 miliardi di attacchi al giorno», afferma Florio. Talos rende quindi disponibile un capitale di informazioni da cui è possibile capire come questi attacchi evolvono e quali sono i sistemi più a rischio. Un servizio che serve a risolvere problemi contingenti e allo stesso comprendere le possibili evoluzioni di nuovi attacchi. «Il servizio – sottolinea Florio – è fornito dal più grande gruppo privato di cyber intelligence e ricerca sulle minacce informatiche al mondo: vanta un team composto da 350 persone tra ricercatori, analisti, ingegneri, sviluppatori e linguisti che riescono a controllare ogni giorno oltre 600 miliardi di email e a risolvere 170 miliardi di richieste DNS, riuscendo a monitorare circa il 2% del traffico mondiale».
Come creare un sistema di difesa
Si va dicendo da tempo che l’infrastruttura di sicurezza perimetrale non è più sufficiente; che si deve agire integrando un livello di sicurezza superiore. Ebbene, su questo fronte si stanno configurando tutta una serie di nuove e interessanti offerte, che fanno leva su tecniche di intelligenza artificiale in grado di compiere analisi predittive e comportamentali. «Introdurre un elemento di intelligence come Talos equivale ad iniettare all’interno del sistema informativo – il cui perimetro diventa progressivamente esteso ed eterogeneo in virtù di una sempre più marcata propensione a un utilizzo pervasivo di internet – un mezzo di contrasto ad alto potenziale, alla stessa stregua di quanto avviene nell’ambito della diagnostica medica. In questo modo è possibile tracciare quelle alterazioni altrimenti non identificabili da strumenti di accertamento convenzionali, mettendo così gli operatori nella condizione di stabilire una diagnosi e, infine, attivare il percorso di remediation più corretto ed efficace». Di fatto la security intelligence permette di introdurre un livello di monitoraggio del business aziendale, individuando le alterazioni “vegetative” di sistema e le disfunzioni comportamentali potenzialmente riconducibili a malware e attacchi cibernetici. «Nostri sistemi di monitoraggio sono in grado di capire se ci sono dei comportamenti o dei flussi di traffico anomali, rivelare se ci sono alterazioni rispetto agli standard giornalieri e agire di conseguenza».
Comprendere il ciclo di vita di un attacco
Tutte le ricerche e le analisi effettuate sugli attacchi che sono andati a segno hanno dimostrato come gli attaccanti malevoli ripongano molta attenzione alle informazioni che collezionano. Questo consente loro di eseguire piani di attacco molto ben strutturati che includono diverse fasi quali ad esempio una perfetta comprensione dell’ambiente da infiltrare, escalation dei privilegi, accesso alle risorse, movimenti laterali e infine il furto delle informazioni sensibili. Un tipico attacco solitamente include almeno alcuni dei seguenti step: attività finalizzate all’individuazione di target interessanti; ricerca di vulnerabilità che possono offrire dei buoni punti di ingresso; furto di credenziali; l’accesso privilegiato alle risorse; acquisizione dei dati; cancellazione delle tracce che indicano la propria presenza e che possono far risalire all’autore dell’attacco. Spesso viene chiamato “ciclo di vita di un attacco” o “kill chain” e il suo successo dipende in gran parte dallo sforzo e dalla capacità di coordinamento che si riesce ad ottenere durante tutte queste fasi: fasi che coinvolgono molti elementi all’interno dell’infrastruttura IT come ad esempio le mail, le reti, l’autenticazione, gli Endpoint, le istanze SaaS, i database e le applicazioni.
SecureX, la Cisco Security Platform
Per mettere in atto un potente sistema di difesa in grado di neutralizzare un tipico ciclo di attacco serve un approccio coordinato per semplificare le integrazioni dei processi di protezione. E’ qui che entra in gioco SecureX, la soluzione che integra l’insieme di strumenti di security, propri e di terze parti, per unificare e correlare in un’unica dashboard le informazioni in merito alla protezione della rete, agli endpoint, al cloud e alle applicazioni. La dashboard può essere personalizzata per visualizzare metriche di operation insieme a feed che riportano informazioni su threat activity e threat intelligence. Questo approccio integrato, secondo quanto spiegato da Florio, consente di risparmiare tempo prezioso, necessario in genere per passare da una console ad un’altra, accelerando così i tempi di investigazione e operando azioni correttive con pochi click. Attraverso meccanismi di automazione è possibile aumentare l’efficienza e la precisione dei workflow di security che contengono pattern di attacchi, anticipando l’evoluzione delle minacce. «In termini di misure di prevenzione – aggiunge Florio – vale poi sempre la logica della segmentazione delle reti per evitare la propagazione del malware in più aree aziendali; consente di isolare l’area potenzialmente soggetta ad attacco per poi procedere a una sua decontaminazione».
Data privacy, costo vs investimento
Il covid ha risvegliato l’attenzione sulla security. Secondo l’ultima indagine globale sulla sicurezza effettuata da Cisco, che ha coinvolto 5 mila professionisti di aziende presenti in 25 paesi diversi, il tema sta salendo a livello di board che, spesso, chiede di avere un report settimanale su sicurezza e data privacy. «E’ un segnale positivo poiché significa che i vertici aziendali non considerano più la security un costo ma un investimento strategico, dice Florio. La data privacy, che obbliga le aziende a essere compliant al Gdpr, diventa elemento di differenziazione di business e leva per aumentare la customer satisfaction. Tutte le soluzioni che vengono oggi sviluppate prevedono che nel team di sviluppo sia presente un “private engineer”, un ingegnere che conosce i temi della data privacy. Quando si sviluppa un prodotto o servizio si devono prevedere i possibili impatti sull’utilizzo dei dati. In questo scenario si crea un legame sempre più stretto con il Digital Protection Officer». Insomma, se l’impegno economico per l’adeguamento al Gdpr è stato inizialmente considerato l’ennesima spesa di compliance, necessaria ma improduttiva, oggi diventa un’opportunità per stabilire un rapporto trasparente e di fiducia con i propri clienti. Il che vuol dire generare un valore per l’azienda. Per Florio, «La sicurezza impone di pensare in modo difensivo, per impedire che dati e risorse subiscano danni, ma per le aziende è anche una straordinaria opportunità per migliorare la propria reputazione e il proprio business».
