A cura di Stefano Volpi, Responsabile della Sicurezza in ambito Enterprise di Cisco
Una frase che viene pronunciata con allarmante regolarità dai CIO è: “è troppo difficile”. E si può capire il perché. I team di sicurezza hanno poco tempo e budget ridotti. Le minacce evolvono e si moltiplicano ogni giorno. Il panorama IT sta cambiando rapidamente a fronte della crescita del cloud e della mobility e, allo stesso tempo, si stanno aprendo nuove forme di attacco.
Nel frattempo, una varietà frammentata di tecnologie di sicurezza pongono ai CIO una serie di problematiche che vanno considerate: quali sono le aree da proteggere? Su quali minacce ci si deve concentrare? Quali sono gli strumenti giusti da adottare?
In questa situazione è facile che i team di sicurezza si paralizzino davanti alla portata di tali sfide, alla vastità delle scelte e alla sensazione che nessun investimento in sicurezza sarà abbastanza. Alcuni CIO potrebbero anche giungere alla conclusione che le tecnologie di sicurezza diventano obsolete troppo velocemente per essere considerate un investimento utile, scegliendo invece un atteggiamento reattivo e di non fare nulla prima di aver visto una prova certa della violazione.
Sfortunatamente, gran parte delle organizzazioni sono già state compromesse e non lo sanno: il 100% delle reti aziendali analizzate recentemente da Cisco hanno rilevato traffico associato a malware. Ad esempio, un’azienda potrebbe non sapere che i propri dati sono stati trafugati fino a quando non vedrà il lancio sul mercato da parte di un concorrente di un nuovo prodotto con le proprie proprietà intellettuali.
Rivedere l’approccio
I team di sicurezza come possono superare questo senso di paralisi? La chiave è capire che la sicurezza non è infallibile. I CIO si devono focalizzare sull’utilizzo e la protezione efficace delle proprie risorse: eliminare sforzi inutili e controllare e migliorare costantemente la sicurezza tramite un modello scalabile e incentrato sulle minacce.
Il principale driver alla base di questo approccio è la visibilità continua per tutta la durata dell’attacco – prima, durante e dopo. Per capire le minacce che si devono affrontare, un’organizzazione deve poter vedere cosa sta succedendo in tutto l’ambiente IT – nella rete, negli endpoint, sui dispositivi mobile, negli ambienti virtuali e nel cloud. Attraverso la comprensione della sicurezza nel contesto di una particolare organizzazione, i CIO possono dare priorità alle aree critiche da proteggere e alle specifiche minacce che vanno indirizzate.
La visibilità è fondamentale. Le organizzazioni devono poter comprendere cosa sta succedendo durante un attacco, risolvere i problemi che si sono creati e utilizzare le informazioni apprese per incrementare le difese in modo che non accada di nuovo. Inoltre, maggiore è la visibilità nel proprio ecosistema IT maggiore è la possibilità di correlare tali informazioni con l’intelligence esterna per comprendere il contesto, prendere decisioni migliori e intraprendere azioni più consapevoli.
Migliorare la visibilità con servizi specializzati
I fornitori di servizi di sicurezza possono fornire accesso all’intelligence necessaria per potenziare le difese di un’organizzazione. Ad esempio, Cisco Security Intelligence Operations vede il 35% di tutto il traffico email e 14 miliardi di richieste web al giorno – fornendo un quadro completo del panorama della sicurezza in un dato momento. Le organizzazioni possono in questo modo tenersi aggiornate in tempo reale tramite il cloud.
Questa intelligence permette alle organizzazioni di bloccare automaticamente l’accesso a siti web che ospitano codici dannosi o aggiornare i filtri email per bloccare messaggi provenienti da mittenti che distribuiscono malware. La visibilità continua e l’intelligence possono anche essere applicate retroattivamente – ad esempio individuando se una parte di un nuovo malware è mai entrato nella rete, analizzandone il percorso (es. dove è andato e cosa ha fatto), e successivamente rimuovendo qualsiasi danno. L’intelligence può essere utilizzata per potenziare le difese di un’organizzazione in modo che diventi un obiettivo ancora più difficile da raggiungere.
Dobbiamo smettere di pensare alla sicurezza come un problema difficile da risolvere, e iniziare a chiederci come intendiamo proteggere ciò che non vediamo. Una volta che si ha una visione completa di quello che è l’ambiente IT, le azioni da intraprendere in materia di sicurezza vengono da sé.