L’attuale panorama delle minacce è più vasto che mai e la velocità con cui un criminale informatico può sfruttare le lacune di un sistema di sicurezza è sempre maggiore. A fronte di questa pericolosa combinazione, le aziende riconoscono sempre più spesso i limiti dei loro tradizionali approcci reattivi alla sicurezza informatica, come per esempio la metodologia del “threat hunting” ovvero dell’andare a caccia delle minacce. In questo caso, in genere si cerca una presunta violazione o criminali informatici all’interno dell’ambiente aziendale e si tenta di ridurre i danni che possono causare. Tuttavia, la definizione stessa di threat hunting suggerisce che l’azienda sia già stata violata prima di intraprendere qualsiasi azione. E questo non è più sufficiente. È necessario spostare la mentalità delle aziende dalla gestione delle minacce in corso alla creazione di una panoramica olistica del loro ambiente che consenta di identificare in anticipo le aree di rischio. Le nuove normative, come NIS2 e DORA, sono state concepite appositamente per rendere le aziende adottino un approccio più cautelativo e proattivo alla cybersecurity, con l’obiettivo di passare a nuova forma di “risk hunting”. Grazie a una metodologia molto più proattiva, il risk hunting consente alle aziende di identificare, valutare e mitigare i rischi potenziali prima che si trasformino in minacce concrete. Ma come dovrebbero procedere le aziende per implementare un framework di questo tipo?
In quali aree aziendali vanno ricercati i rischi?
Come settore, attualmente non abbiamo una comprensione adeguata di come pensano i criminali informatici e quindi di ciò che costituisce un rischio all’interno di un’azienda. Ciò è dovuto al fatto che non riusciamo ad anticipare la velocità con cui le minacce si evolvono, il che significa che le aziende si difendono sempre dai vecchi attacchi e non ne anticipano l’evoluzione. La direttiva NIS2, pur contribuendo ad alzare l’asticella metaforica della sicurezza di base, non è sufficientemente dettagliata per aiutare le aziende a colmare da sola queste lacune relative ai rischi. Le aziende devono creare team specificamente progettati per agire come farebbero i criminali informatici e testare i limiti delle policy e dei frameweork esistenti.
In termini di portata, l’individuazione dei rischi non dovrebbe concentrarsi esclusivamente sul rilevamento delle vulnerabilità digitali che possono essere violate da minacce esterne. Deve essere il più possibile onnicomprensiva, identificando, ad esempio, la resilienza dell’azienda in caso di attacco DDOS o di interruzione di Internet.
Qual è l’approccio migliore per individuare i rischi?
Esistono numerose metodologie di risk hunting, tra cui l’uso di analisi avanzate, threat intelligence e tecniche di rilevamento delle anomalie. Dal mio punto di vista, la caccia al rischio basata sull’intelligence è la forma migliore. Si tratta di un processo che sfrutta la threat intelligence per individuare i rischi. A differenza della caccia alle minacce, che utilizza Indicatori di Compromissione (IOC) oltre a Tattiche, Tecniche e Procedure (TTP) per determinare dove possono risiedere eventuali rischi o dove un determinato attaccante sfrutterà un rischio potenziale, il rilevamento dei rischi deve utilizzare gli Indicatori di Attacco (IOA). Si tratta di schemi o comportamenti che indicano un attacco in corso o imminente. Questi indicatori aiutano a identificare le TTP utilizzate dai criminali informatici durante un attacco.
Esistono molte tecnologie che aiutano le aziende a mappare il loro ambiente e a stratificare l’intelligence per identificare i punti deboli. Molte aziende stanno testando simulazioni digitali di potenziali attacchi, ad esempio, per capire come la loro struttura di sicurezza resisterebbe ad attacchi di diversa entità. I team della sicurezza possono quindi adattare le loro policies in base a queste informazioni per prepararsi meglio a un attacco reale. Quindi, gli strumenti e le informazioni disponibili per supportare le aziende nell’individuazione dei rischi non mancano di certo. Le lacune riguardano le competenze necessarie per utilizzare gli strumenti in modo efficace e applicarli a un ambiente già molto complesso. Sono pochissimi i professionisti che possiedono le competenze o le conoscenze intrinseche per implementare un approccio di risk hunting e capire cosa è necessario fare per mitigare i pericoli che identifica.
Il team più adatto per individuare i rischi è quello che noi definiamo “Purple team”. Si tratta di una combinazione di membri del Red team, focalizzato sul rilevamento delle vulnerabilità all’interno dell’azienda e “Blu team”, il gruppo di sicurezza interna che aiuta a colmare le lacune all’interno dell’azienda. Le aziende non hanno quindi bisogno di assumere nuovo personale per condurre un audit efficace, ma possono riunire team eterogenei con competenze combinate per dare la caccia ai rischi interni insieme, sia dal punto di vista difensivo che offensivo. Questi Purple team, supportati da tecnologie di intelligenza artificiale, sono in grado di acquisire i dati giusti e di trarne il significato corretto per apportare le modifiche e gli sviluppi necessari.
Risk hunting: semplice e fruibile
Anche con i team e gli strumenti giusti, i team della sicurezza devono affrontare una battaglia difficile per comprendere i dati sui rischi che raccolgono. La verità è che sia i CISO che i professionisti della sicurezza in generale non sono attrezzati per individuare i rischi con strumenti eterogenei che producono quantità eccessive di dati disaggregati. Questi dati devono poi essere incrociati e classificati per identificare eventuali tendenze comuni. L’attuale processo rende quasi impossibile assimilare e rendere fruibili le informazioni di intelligence. Gli strumenti di sicurezza isolati e i processi manuali forniscono un quadro incompleto dei rischi informatici e non offrono ai team della sicurezza un modo efficace per porvi rimedio.
Per poter accertare quali dati siano rilevanti, i CISO devono collegare i loro molteplici strumenti in un’unica soluzione in grado di unire tutti i differenti aspetti da tener presenti e quantificare il rischio dell’intera azienda in un formato visivo. I dati fini a se stessi non sono utili a un team di sicurezza che dispone di personale e tempo limitati: utilizzando tecnologie come l’AI, i team possono elaborare i numeri e presentare un piano chiaro e attuabile da sottoporre al consiglio di amministrazione.
Per troppo tempo le aziende hanno adottato un approccio reattivo ai pericoli informatici che le circondavano. Ciò può essere dovuto alla mancanza di investimenti nei team della sicurezza o alla scarsa comprensione del panorama delle minacce. Con l’avvento delle direttive NIS2 e DORA, la sicurezza sarà una priorità all’ordine del giorno, dando ai professionisti della sicurezza la possibilità di migliorare il loro quadro di sicurezza e insistere per ottenere maggiori investimenti. Ricercando le lacune nel quadro attuale e presentandole in modo semplice e fruibile, i team della sicurezza saranno in grado di farsi ascoltare e di far comprendere ai vertici aziendali i passi da compiere per diventare conformi. Ma non ci si deve fermare alle normative. Questi tipi di audit dovrebbero diventare parte di un ciclo continuo per i team della sicurezza, per essere sempre un passo avanti rispetto ai criminali informatici e garantire che il livello di sicurezza aziendale sia sempre appropriato.
A cura di Tony Fergusson, CISO EMEA at Zscaler