L’anno appena trascorso ha rivelato lo stato tragicamente scadente delle nostre difese globali ai più alti livelli. Che si tratti di compromissioni della supply chain, di hacking di dispositivi di rete abilitati da un flusso apparentemente infinito di vulnerabilità zero-day o di hacking degli stessi provider di servizi sottostanti, anche le più grandi organizzazioni di intelligence e le imprese si trovano nell’impossibilità di mantenere una valida postura difensiva in termini di cybersecurity.
Il vero colpo di scena di questo fallimento generale è evidenziato da un cambiamento di paradigma nella tecnica operativa dei principali gruppi di minacce schierati con la Cina (recentemente testimoniati da Volt Typhoon, Salt Typhoon e altri gruppi di minacce con nomi meno importanti). Questa sezione dell’apparato di hacking cinese si è efficacemente orientata verso i nostri punti ciechi comuni, in particolare attraverso l’uso pervasivo di reti senza attribuzione (ORB) come canali di accesso ingestibili nei nostri rispettivi Paesi.
Questi canali sono realizzati attraverso combinazioni (a volte esternalizzate) di dispositivi poco sicuri, router e sezioni di VPS su più cloud che fungono da VPN per gli attacchi APT provenienti da IP inediti (neutri o benigni dal punto di vista della reputazione), fisicamente situati all’interno del Paese vittima e che vengono modificati a intervalli regolari. In combinazione con il “vecchio stile” di hacking “da tastiera”, più attento a vivere sul territorio, a non lasciare in giro strumenti personalizzati rilevabili e forse a non aver nemmeno bisogno di stabilire la persistenza (grazie a dispositivi permanentemente vulnerabili connessi a Internet), questi canali hanno di fatto posto un sottoinsieme di hacker a un livello di impunità operativa da parte delle organizzazioni vittime e dei loro confusi governi.
A meno che non siamo disposti ad accettare che un apparato di sorveglianza passiva affiliato alla Cina diventi una presenza nella vita di tutti noi, la sicurezza informatica globale richiede una riconfigurazione fondamentale che deve includere un cambiamento nella mentalità del settore privato verso la condivisione, la divulgazione e la cooperazione delle informazioni, una riformulazione legale degli ostacoli percepiti come “responsabilità” alla condivisione, unita a un regime di pressioni normative pronte e affidabili, di tutele della responsabilità e di incentivi, e un’abbondanza di trasparenza e responsabilità. Dobbiamo entrare nella fase di “verità e riconciliazione” della sicurezza informatica.
In sintesi, dobbiamo lavorare per un riallineamento degli incentivi per premiare le decisioni e gli investimenti più impegnativi a favore di miglioramenti significativi della sicurezza.
Da un punto di vista politico, governativo e normativo, dobbiamo anche riequilibrare la responsabilità della cybersecurity alle organizzazioni più capaci sia nel settore privato che in quello pubblico. In questo modo, serve assicurarsi di eliminare gli ostacoli, i punti di attrito burocratico, le responsabilità (percepite o reali) e ridurre il malcontento generale e la confusione di responsabilità che derivano direttamente da incidenti su larga scala.
Nell’era degli spazi di cybersecurity iper-consolidati, sotto l’egemonia di società quotate in borsa, la leadership aziendale che fa “la scelta giusta” è generalmente più difficile. Richiede una direzione forte e chiara in materia di sicurezza, soprattutto di fronte a decisioni che possono mettere in relazione opposta la postura di sicurezza globale con i profitti immediati. E’ necessario far capire che il valore a medio termine per gli azionisti dipende dalla gestione consapevole della sicurezza di un’organizzazione.
A cura di Juan Andres Guerrero-Saade, AVP of Research SentinelLabs di SentinelOne
