Infrastrutture e attacchi più complessi: come reagiscono le aziende italiane

La complessità delle infrastrutture non accenna a diminuire ma alcune integrazioni come soluzioni EDR e threat intelligence sono segnali positivi di una maggiore consapevolezza da parte delle aziende

Con la crescente digitalizzazione, il lavoro a distanza e un maggior utilizzo dei cloud, gli ambienti IT sono diventati sempre più complessi e questa complessità può avere un impatto sulla visibilità delle minacce che prendono di mira le organizzazioni e sulla risposta agli incidenti. Infatti, lo scorso anno, per il 43% delle aziende europee garantire la sicurezza di tutte queste innovazioni ha rappresentato una delle principali sfide. Il problema delle infrastrutture complesse non riguarda solo la difficoltà di implementare strumenti di sicurezza ma anche il fatto che sia più difficile rintracciare i segnali di un attacco e rispondere in modo tempestivo per ridurre al minimo i possibili danni.

In questo scenario come si stanno muovendo le aziende in Italia? Qual è la percezione dei pericoli e le misure che sono state messe in campo per contrastare questo stato delle cose?

Per rispondere a queste domande Kaspersky ha deciso di sponsorizzare un’indagine qualitativa  realizzata da Indigo Communication su un campione di quattordici realtà italiane medio-grandi che operano in diversi settori come manufacturing, telco, servizi e retail.

Come era prevedibile l’indagine ha confermato, innanzitutto, la presenza di un’infrastruttura di cybersecurity complessa, costruita nel tempo con soluzioni destinate spesso a risolvere problematiche specifiche. Complice la pandemia e la corsa alla digitalizzazione nel 2020 sono state effettuate scelte in tempi rapidi per adeguare Vpn e sistemi di protezione degli endpoint, per arrivare nei casi più evoluti all’autenticazione multi-fattore e alla cyber threat intelligence. Sono relativamente rari i casi di realtà che hanno scelto un’opera di consolidamento di tutte le soluzioni adottate, mentre nessuna azienda tra quelle intervistate si è spinta verso una logica full cloud o mostly cloud.

Dall’indagine è emersa l’adozione abbastanza generalizzata di soluzioni EDR (Endpoint Detection & Response) e del Siem (Security Information and Event Management) come misure per automatizzare alcuni processi basici di rilevazione di anomalie. Allo stesso modo, è ormai consolidata la scelta di avvalersi di un SOC (Security Operations Center) in linea di massima in forma ibrida, con la componente di livello 1 e 2 quasi sempre affidata all’esterno.

Le fonti di maggiore preoccupazione

La preoccupazione principale dei responsabili IT e della sicurezza è l’impossibilità di regimentare oltre una certa soglia il comportamento umano. Il timore che i dipendenti possano essere veicolo di un attacco, soprattutto ransomware, resta molto alto ed è per questo che si preferisce dover analizzare qualche falso positivo in più pur di non attivare meccanismi che potrebbero avere effetti devastanti sull’operatività e sul business. A preoccupare molte aziende sono anche le minacce APT (Advanced Persistent Threat), gli attacchi fileless e gli zero-day exploit. I primi sono particolarmente temuti per la loro capacità di insinuarsi nei sistemi e restare inattivi anche per lunghi periodi di tempo senza essere rilevati, mentre gli ultimi vengono reputati pericolosi di default poiché sfruttano vulnerabilità fino a quel momento ignote anche agli sviluppatori dei programmi presi di mira.

Misure adottate per contrastare le minacce

Per contrastare queste minacce molte delle aziende italiane intervistate stanno adottando servizi di Threat Intelligence affidati nella maggior parte dei casi a specialisti esterni. L’opinione comune è che questi servizi consentano di aumentare la visibilità complessiva sulle cyber minacce e di rispondere in tempi utili per evitare danni irreparabili.

Esistono realtà già evolute che hanno istituito uno CSIRT (Computer Security Incident Response Team) o perlomeno un CERT (Computer Emergency Response Team), ovvero team operativi di sicurezza che oltre a vigilare su aspetti come i nuovi attacchi e le ultime vulnerabilità rilevate, analizzano e affrontano gli incidenti di sicurezza aiutando a risolverli. Queste tecnologie, affiancate dalla presenza di sistemi Siem e SOC frequentemente affidati all’esterno, aiutano a focalizzare meglio il lavoro delle figure aziendali dedicate alla cybersecurity. Qui però si pone il problema del partner ideale a cui affidarsi. Le scelte rilevate nell’indagine appaiono diversificate, con prevalenza di specialisti di questo o quel tema, utili per l’efficacia dell’operato di primo livello, ma non per risolvere il tema della complessità. In tutto ciò la difficoltà nel reperire risorse qualificate aumenta il disagio, al quale le aziende, rispondono con l’ampliamento della formazione interna.

Come proteggersi

Proteggere un’infrastruttura complessa, con carichi di lavoro cloud e on-premise, VDI (Infrastruttura di desktop virtuale) e forza lavoro remota, richiede l’adozione di soluzioni con solide capacità di rilevamento e risposta. La soluzione scelta dovrà fornire visibilità delle minacce in qualsiasi endpoint con informazioni di base su attività dannose e opzioni per azioni di risposta. Per rendere più semplici ed efficaci tutte quelle attività di indagine e risposta alle minacce cosi come le operazioni di sicurezza IT per tutti i team che si occupano di sicurezza aziendale e di incident response, Kaspersky offre CyberTrace, una piattaforma centralizzata di Threat Intelligence che permette ai team di sicurezza di condurre ricerche complesse su tutti gli Indicatori di Compromissione (IoC), di analizzare i rilevamenti ottenuti da eventi precedentemente esaminati e di misurare l’efficacia dei feed integrati grazie anche all’utilizzo di una matrice di intersezione dei feed. Inoltre, Kaspersky offre soluzioni con tecnologia EDR (Endpoint Detection Response), come Kaspersky Endpoint Detection and Response, che offre una visibilità completa su tutti gli endpoint aziendali e strumenti di difesa avanzati, consentendo l’automazione delle attività di routine per rilevare gli attacchi ATP, assegnare loro la priorità, analizzarli e neutralizzarli; e servizi MDR (Managed Detection and Response) che offrono una protezione avanzata dal crescente volume di minacce che eludono le barriere di sicurezza automatizzate barriere automatizzate, fornendo un valido supporto alle organizzazioni con risorse interne limitate.

È possibile leggere l’indagine completa condotta da Indigo Communication e sponsorizzata da Kaspersky a questo link.

 

Consigli