Il panorama della sicurezza informatica è in forte mutamento con minacce sempre più massive ed avanzate capaci di ‘ingannare’ i sistemi di sicurezza. Si diffondono nuovi tipi di pericoli alla velocità della luce e per le imprese che vi cadono i danni sono incalcolabili, sia in termini economici che di reputation. Il tutto in uno scenario dove l’AI o intelligenza artificiale la fa da padrone, introducendo quindi nuovi elementi da prendere in considerazione. Una situazione davvero complessa, motivo per cui abbiamo provato a fare un po’ di chiarezza con tre grandi vendor specializzati nel mondo della cybersecurity.
In relazione alle nuove minacce, ci spiega meglio la situazione Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI, che sottolinea in particolare come crescano le violazioni alle identità e gli abusi d’accesso transitivi.
“I dati confermano una crescita senza precedenti dello sfruttamento delle identità digitali da parte dei criminali informatici arrivando già lo scorso anno a rappresentare il 30% delle violazioni con l’Europa e l’Italia a essere fra i principali bersagli di questi attacchi – esordisce Galvagna -. Questo trend è sostenuto dall’intensificarsi degli attacchi informatici basati sull’Intelligenza Artificiale e il Machine learning utilizzati dai criminali informatici per lanciare attacchi altamente complessi e automatizzati in grado di aggirare le normali protezioni MFA. Tuttavia, gli attacchi guidati dall’AI non sono gli unici che alimentano la crescita delle violazioni dirette all’identità”.
Infatti, sono le cosiddette “situational threat” o minacce situazionali che stanno portando attacchi basati sull’identità di grande successo. “La violazione di Okta del novembre 2023, per esempio, non è stata conseguenza di un attacco guidato dall’AI – prosegue Galvagna -. Ma semplicemente il risultato di un programma di identity access management (IAM) attraverso cui gli hacker hanno ottenuto l’accesso non autorizzato alla rete grazie al furto delle credenziali di un account di servizio memorizzato nel sistema e hanno avuto accesso a tutte le informazioni personali di ogni titolare di account Okta”.
I rischi di minacce situazionali sono tuttavia molto più controllabili rispetto alle minacce guidate dall’AI. A patto che l’organizzazione si doti delle migliori capacità di rilevamento. Il primo passo è valutare i rischi di minaccia all’interno del proprio ambiente, che potrebbero non essere coperti – né rilevabili- dalle procedure di identity access management (IAM) o persino da quelle di privileged access management (PIM).
Qual è la proposta di Vectra AI? Risponde Galvagna: “Con soluzioni come la Piattaforma Vectra AI, i team SOC sono in grado di verificare automaticamente un utente, ottenere istantaneamente visibilità sul suo comportamento all’interno della rete e del cloud e correlarlo immediatamente al livello di accesso e alle mansioni dell’utente, indipendentemente da dove si trovi. Inoltre, per ridurre al minimo il rischio di attacchi basati sull’identità, è necessario proteggere le organizzazioni con risposte appropriate e automatizzate. La bonifica immediata guidata dall’AI consente ai SOC di bloccare i comportamenti non autorizzati, eliminare gli accessi e prevenire le violazioni, l’abuso delle applicazioni, l’esfiltrazione o altri danni. Tutto in pochi minuti”.
Attenzione anche alle tempistiche, perché “va tenuto conto che esistono alcune situazioni in cui queste minacce sono più concrete come durante un processo di fusione o acquisizione, quando si trattano dati sensibili o si controllano infrastrutture critiche che sono ovviamente obiettivi di alto valore per gli hacker, la scarsa incentivazione dei dipendenti a rispettare le regole di cybersecurity e un loro accesso eccessivo alle fonti dati. Ma anche l’accesso ai sistemi da parte di terze parti rappresenta un rischio crescente per queste violazioni – spiega ancora Galvagna -. In questo contesto, un trend preoccupante a cui stiamo assistendo, è anche quello dei crescenti abuse transitive access in cui i criminali informatici ottengono indirettamente un accesso non autorizzato tramite un intermediario di fiducia. Recentemente gli esperti Vectra hanno per esempio riscontrato che nel corso dell’elaborazione batch, Document AI Core Service Agent non rispetta le limitazioni dei permessi a cui è soggetto l’utente iniziale, permettendo l’esfiltrazione dei dati. Nel dettaglio in questo servizio di Google Cloud, l’account di servizio di Google che gestisce l’elaborazione e l’output dei dati beneficia di ampi permessi su Cloud Storage che gli permettono di accedere a qualsiasi bucket di Cloud Storage in cui sono archiviati i dati del medesimo argomento”.
Altro elemento caldo è quello del pericolo dei falsi positivi e il suo impatto sul sentiment delle aziende nei confronti delle soluzioni di cybersecurity: “Man mano che le aziende diventano più grandi e i loro ambienti si espandono fino a diventare un mix di ambienti on-premise e cloud, la quotidianità di un team SOC diventa più complessa. Da una survey che abbiamo realizzato intervistando 120 professionisti abbiamo scoperto che dedicano mediamente quasi due ore, ma in molti casi anche più di due ore all’indagine di falsi positivi – prosegue Galvagna -. In altre parole, una quota decisamente rilevante della loro giornata lavorativa e delle loro attività è destinata a visualizzare avvisi destinati a non rilevarsi delle reali minacce. Questo ha ovviamente un impatto sul diffuso sentiment di esaurimento emotivo manifestato dai team SOC ma soprattutto sulla fiducia nei confronti degli strumenti di cybersecurity. Ricaduta, quest’ultima, che è emersa chiaramente dai dati dell’edizione 2024 della ricerca “State of Threat Detection: The Defender’s Dilemma. Il 71% degli operatori SOC ha dichiarato di temere di perdere un vero attacco sepolto dall’enorme flusso di avvisi e il 54% ha affermato che i software che stanno utilizzando aumentano i workload invece di ridurli.
Diversamente, soluzioni come la Piattaforma Vectra AI, grazie ai segnali integrati basati sull’intelligenza artificiale e all’approccio MXDR, possono aiutare i team SOC a risparmiare ore preziose nella gestione degli avvisi e dei tanti falsi positivi concentrando la propria attenzione sulle effettive minacce e a obiettivi più strategici come il rafforzamento della sicurezza in alcune parti dell’organizzazione o al conseguimento di certificazioni per processi di sicurezza particolarmente critici per l’azienda”.
Il punto di SentinelOne
Paolo Cecchi, Sales Director Mediterranean Region di SentinelOne, si focalizza invece sulla reazione delle imprese agli attacchi cyber sempre più evoluti, sul ruolo centrale del SOC per finire con un focus particolare sul mondo dell’intelligenza artificiale.
“Oggi le imprese si trovano a dover gestire, anche nel contesto della cybersecurity, nuove complessità, senza dimenticare che si parla di ambienti dove utilizzare molteplici tecnologie invece di semplificare i processi può causare maggiori difficoltà – spiega Cecchi-. Per supportare le organizzazioni, gli strumenti di intelligenza artificiale possono indubbiamente semplificare la gestione, supportando le imprese nel monitoraggio e nelle verifiche a più fattori, sia nella protezione dei dati sia nel rispetto alle normative, garantendo elevati standard di efficienza. A nostro avviso sarebbe indispensabile che le imprese si affidassero a una piattaforma potenziata dagli strumenti di AI capace di coprire ogni superfice di attacco, dall’endpoint ai dispositivi mobili, fino alle molteplici applicazioni in cloud, e che preveda anche funzionalità di data security con la capacità di proteggere o comunque di capire se i dati che vengono immagazzinati nel cloud sono informazioni o applicazioni che sono o meno malevoli”.
Ovviamente non tutte le aziende dispongono delle competenze interne o delle risorse necessarie per non soccombere di fronte al cybercrime e per questo motivo nascono i SOC (Security Operations Center): “Per supportare le imprese a risolvere i problemi legati alla mancanza di expertise, occorre che queste si possano affidare a esperti con le giuste competenze capaci di prendersi cura delle esigenze di sicurezza delle organizzazioni in modo che ognuno possa concentrarsi sullo sviluppo del proprio business aziendale. Di recente, SentinelOne ha introdotto il Singularity Operation Center, che è fondamentalmente una nuova interfaccia che viene offerta ai clienti. Il Singularity Operation Center propone un modo diverso di analizzare gli eventi di cyber security all’interno dell’organizzazione, in maniera più centralizzata e unificata. Questo strumento si sposa molto bene con l’AI SIEM e con le soluzioni di protezione delle diverse superfici di attacco di SentinelOne, perché permette di aggregarle e, quindi, di rendere estremamente più semplice la ricostruzione di quanto sta accadendo. Inoltre, nel caso ci si affidi a servizi SOC esterni, è opportuno verificare che il partner utilizzi piattaforme in grado di operare su larga scala che gli consenta di soddisfare le esigenze sia dei singoli clienti sia di quelli che richiedono maggiori capacità in diversi ambiti. È indispensabile utilizzare piattaforme capaci di proteggere tutte le risorse dell’organizzazione, dall’endpoint, al cloud, ai server, agli apparati di rete, alla telefonia mobile, alle identità e altro ancora. Servono soluzioni semplici da gestire, ma progettate con una solida multi-tenancy, e che garantiscano una gestione integrata che permetta di consolidare le diverse tecnologie in uso”.
Un alleato indispensabile in ambito cyber è l’AI, che “aggiunge valore alle soluzioni di security utilizzate in azienda, assicurando semplicità ma anche maggiore efficienza relativamente agli aspetti di sicurezza – prosegue Cecchi -. Sono indispensabili strumenti che consentano il monitoraggio e il rilevamento delle minacce con estrema velocità ed è proprio in questi ambiti che l’AI aiuta a gestire in modo molto efficace la sicurezza dei dati. Purple AI di SentinelOne, il motore di intelligenza artificiale che costituisce il cuore di AI SIEM, grazie alle risorse e alle molteplici funzionalità di cui dispone, consente di risparmiare fino all’80% del tempo del team IT interno dedicato alle attività di monitoraggio e verifica. Ciò significa che, con il supporto dell’AI, si può intervenire più rapidamente in caso di incidente, rendendo utenti con minor esperienza dei veri e propri analisti i quali, usando il linguaggio naturale, possono svolgere anche ricerche complicate. Parlando di quelli che saranno gli step successivi in ambito AI, in SentinelOne stiamo lavorando alla fase dell’Hyper Automation, uno step conclusivo che, sempre potenziato dall’AI, ci permetterà di dialogare, in modalità no-code e quindi estremamente più semplificata, con le infrastrutture IT presenti all’interno delle organizzazioni ed automatizzare le attività di risposta agli incidenti”.
ESET punta sull’Italia, dove vince grazie al suo SOC
Fabio Buccigrossi, Country Manager di ESET Italia, fa infine una lucida analisi su come andrà ad evolvere il settore della cybersecurity, focalizzandosi sulla vision e la strategia di ESET Italia per affrontare le nuove sfide.
“Il futuro della cybersecurity si prospetta sempre più complesso, caratterizzato da minacce sofisticate che richiederanno soluzioni capaci di rispondere in tempo reale – racconta Buccigrossi -. L’ultimo ESET Threat Report, pubblicato di recente, ha delineato un panorama dinamico di minacce, evidenziando un aumento significativo degli infostealer, ovvero quei malware progettati per rubare informazioni, che sempre più spesso utilizzano strumenti di intelligenza artificiale generativa per ingannare gli utenti. Allo stesso tempo, le minacce finanziarie per dispositivi Android sono in crescita, con sviluppi interessanti anche nel campo dei ransomware e in altre aree del mondo delle minacce informatiche. Il quadro che emerge è complesso e in continua evoluzione, con nuove sfide per la sicurezza digitale.
L’aumento di attacchi ransomware, phishing e alle supply chain spingerà le aziende italiane a investire in tecnologie emergenti, come l’intelligenza artificiale, che saranno essenziali per prevenire queste minacce. La conformità normativa, come richiesto dal GDPR e dal Perimetro di Sicurezza Nazionale Cibernetica, diventerà sempre più rilevante nel garantire una sicurezza robusta e resiliente.
ESET Italia si prepara a questo futuro con una vision chiara: consolidare il proprio ruolo di riferimento per la sicurezza informatica in Italia, innovando costantemente e rafforzando le capacità difensive dei clienti. La nostra strategia italiana è una localizzazione di una strategia strutturata a livello globale, che ci consente di adattarci alle specificità del mercato italiano pur beneficiando dell’esperienza internazionale, per offrire soluzioni avanzate che proteggano le aziende dalle minacce emergenti e garantiscano un ambiente sicuro e protetto”.
“Considerato lo scenario attuale e le enormi difficoltà che molte aziende incontrano nel trovare personale qualificato in sicurezza informatica, ESET Italia adotta strategie chiave e sviluppa progetti innovativi, per rimanere competitiva sul mercato – prosegue Buccigrossi -. Una delle nostre principali direzioni è l’espansione delle soluzioni basate su cloud che offrono una gestione della sicurezza più flessibile e scalabile. Puntiamo anche sull’intelligenza artificiale per migliorare la rilevazione e la risposta proattiva alle minacce, integrandola con l’analisi comportamentale.
La formazione continua rappresenta un altro pilastro fondamentale della nostra strategia. Con un team esperto e profondo conoscitore del canale indiretto, supportiamo i clienti nell’acquisizione delle competenze necessarie per affrontare le sfide della cybersecurity. La rete capillare di partner e reseller, inoltre, ci consente di offrire una difesa robusta, e di rispondere prontamente alle esigenze specifiche del mercato italiano”.
Torna il tema dei SOC, perché ESET vanta il possesso e la gestione di un SOC in Italia che è un fiore all’occhiello nel supportare le imprese a migliorare la loro protezione contro minacce sempre più avanzate e complesse.
“Il nostro Security Operations Center (SOC) che ha base nella sede di Milano, è un servizio di cui andiamo particolarmente fieri, e dimostra il nostro impegno nel fornire monitoraggio e risposta in tempo reale, interamente in italiano, facilitando la comunicazione e l’efficacia durante le situazioni critiche – conclude Buccigrossi -. Attraverso il SOC, operativo 24/7, garantiamo supporto immediato e mirato in caso di attacco informatico, grazie al contributo di figure altamente specializzate che abbiamo attentamente selezionato e ingaggiato. Riteniamo che il supporto nella lingua locale durante le situazioni critiche sia essenziale per garantire una protezione efficace e per facilitare la comunicazione e l’azione tempestiva in momenti di emergenza”.
