Nel contributo in tema di cybersecurity, Massimiliano Galvagna (in foto), Country Manager per l’Italia di Vectra AI, si interroga su cosa fare se i sistemi informativi generano essi stessi vulnerabilità.
Buona lettura.
L’attuale proliferazione degli attacchi informatici è un fattore importante per lo sviluppo della sicurezza informatica. Più le nostre organizzazioni private e pubbliche sono prese di mira dai criminali informatici, più il management di queste strutture integra il rischio informatico nei propri piani strategici. Dal punto di vista culturale, possiamo certamente affermare che oggi la stragrande maggioranza dei comitati direttivi e dei consigli di amministrazione è pienamente consapevole della necessità di anticipare il rischio informatico per assicurare lo sviluppo – e in alcuni casi la sopravvivenza – dell’organizzazione. Ciononostante, c’è ancora molta strada da fare per comprendere appieno la posta in gioco quando si tratta di sistemi informativi.
Igiene preventiva minima: il messaggio è chiaro
Partiamo dalle buone notizie: il rischio informatico è sempre meno sottovalutato. All’interno delle organizzazioni, la prevenzione ha fatto passi in avanti, con la diffusione della nozione di “igiene minima preventiva” che permette di ridurre i rischi. I suoi vari aspetti sono ben noti, ma è senza dubbio opportuno ricordarne i principali. Formare i team operativi sulla sicurezza del sistema informativo, sensibilizzare gli utenti sulle best practice di base, conoscere il proprio sistema informativo e i server più sensibili in modo da mantenere un diagramma di rete, avere un inventario esaustivo degli account privilegiati (e tenerlo aggiornato!), organizzare le procedure di arrivo, uscita e cambio di funzione, autenticare tutti e distinguere il ruolo di amministratore da quello di utente, definire e verificare le regole per la scelta e il dimensionamento delle password. Queste sono alcune delle raccomandazioni classiche, su cui le organizzazioni stanno lavorando e facendo progressi. Nel farlo, si stanno rendendo conto di altre insidie.
Sistemi informativi: gli attacchi sono ormai inevitabili
Come scoprire in tempo quando viene sferrato un attacco informatico? È una delle domande più ricorrenti tra le organizzazioni. La questione del tempo necessario per l’identificazione rimane irrisolta, poiché gli attacchi possono essere scatenati nelle parti più remote, per non dire più imprevedibili, dei sistemi informatici. Su questo punto, la dottrina si è evoluta: dopo aver ritenuto a lungo necessario erigere barriere impenetrabili e quindi proteggere i sistemi, molte aziende sono arrivate ad ammettere che un attacco è inevitabile e che va combattuto dal momento in cui avviene la violazione. Questo nuovo approccio sta progredendo tanto più rapidamente quanto più gli ambienti si spostano sul cloud, in un contesto di decentramento delle attività accentuato dal lavoro da remoto. In effetti, l’area da monitorare sta diventando sempre più ampia: il territorio che l’azienda è chiamata a proteggere è sproporzionatamente grande, con ramificazioni all’interno del cloud, ma anche nell’ufficio personale di ciascun dipendente.
Intendersi su cosa sia una vulnerabilità
È su questo punto che probabilmente le aziende private e le organizzazioni pubbliche devono ancora maturare. È ormai impossibile pensare che ogni sistema informatico sia totalmente conosciuto e controllato da un’organizzazione, perché il cloud non permette più di comprendere il sistema nel suo complesso. Non si tratta più di una sorta di circuito chiuso: al contrario, funziona grazie a elementi a esso esterni – ma anche necessari.
A questo va aggiunta un altro elemento, che rende il sistema stesso generatore delle proprie vulnerabilità. Nelle professioni informatiche ci siamo abituati a definire le vulnerabilità come punti deboli. Pensiamo che questa debolezza permetta a un attaccante di sferrare un colpo, più o meno forte, e che debba essere riparata per essere protetta. Tuttavia, attualmente vediamo sempre più prove del fatto che i nostri sistemi informatici sono ontologicamente vulnerabili: sono alcune parti della loro struttura a renderli fallibili. È il caso, ad esempio, di Active Directory (AD), che utilizza nel suo funzionamento elementi che sappiamo per esperienza essere vulnerabili. Questi elementi sono necessari per il corretto funzionamento del sistema, ma allo stesso tempo comportano una debolezza che pone l’organizzazione sotto la minaccia permanente di un attacco informatico.
Questi sviluppi depongono a favore dell’approccio che punta all’identificazione di qualsiasi attacco informatico una volta che questo è iniziato. Di fronte a un comportamento sospetto, esistono strumenti e soluzioni in grado di rilevare ogni possibile movimento dannoso nel momento stesso in cui si manifesta all’interno del sistema. Queste soluzioni sono attualmente le uniche in grado di affrontare efficacemente le sfide che stiamo affrontando, proprio perché aiutano a osservare e isolare i criminali informatici.
