“Nelle nostre previsioni sulle tendenze della cybersecurity, a Gennaio 2020 avevamo parlato di perimetro liquefatto, sistemi aziendali eterogenei e versatilità di piattaforme, e di come i metodi di difesa tradizionale non funzionassero più. A Marzo dello stesso anno questa previsione si è avverata nello spazio di una settimana. Moltissime organizzazioni hanno dovuto cambiare modo di lavoro. Alert e raccomandazioni a lungo ignorate sono diventate di colpo non più rimandabili”.

Con queste parole Lisa Dolcini, Head of Marketing di Trend Micro Italia ha aperto la discussione del tradizionale barcamp in cui l’azienda discute con clienti ed esperti del settore i trend sulla sicurezza informatica evidenziati nel suo report annuale, che quest’anno si intitola “Turing the tide”, invertire la marea che mai come quest’anno è salita portando a galla rischi che erano rimasti a lungo sommersi.

Le vulnerabilità della nuova normalità del lavoro

L’Italia è una zona ad alto rischio di attacchi informatici, rischio calcolato dal rapporto tra postura di sicurezza (il grado di preparazione) e probabilità di essere attaccati (quanto è appetibile il bersaglio).

I rischi ci sono sempre stati, ma la contingenza attuale ne ha esasperato urgenza e gravità. Le aziende hanno reagito in fretta ai cambiamenti nelle modalità di lavoro, ma spesso senza ridefinire la strategia di cybersecurity che ne conseguono. L’home working, sarà probabilmente utilizzato come hub per accedere alle reti aziendali.

Da queste considerazioni, e dal cambiamento radicale imposto dalle modalità di lavoro remoto, partono le previsioni di Trend Micro per il 2021. Eccole in sintesi.

Lavoro remoto

Lisa Dolcini, Head of Marketing di Trend Micro Italia

Lisa Dolcini, Head of Marketing di Trend Micro Italia

I pc casalinghi diventano quindi una nuova superficie di attacco per phishing o social engineering, anche sfruttando gli indirizzi email personali non solo del dipendente, ma anche dei famigliari con cui condivide il pc usato per lavorare. Per esempio, email che sembrano provenire da un’insegnante inviate ai figli figli per indurli a scaricare un malware sul pc con cui il genitore si collega alle applicazioni aziendali.

In particolare, sono in aumento gli attacchi a dipendenti che hanno privilegi di accesso accedere a dati sensibili, come quelli dello staff HR, contabilità e vendite.

App di condivisione e comunicazione

Le nuove applicazioni di condivisione e comunicazione, in qualche caso forse rilasciate troppo in fretta per sfruttare l’urgente bisogno che le aziende hanno di strumenti di questo tipo, si sono spesso rivelate vulnerabili e possono quindi esporre l’azienda a rischi non previsti.

Cresce il mercato nero del malware

I marketplace in cui gli exploit vengono venduti al mercato nero sono in grande fermento. A essere ricercate non sono più soltanto le vulnerabilità 0day, ma anche vulnerabilità note e già patchate dai produttori di software con aggiornamenti che, purtroppo, spesso non vengono applicati con la dovuta solerzia sui pc usati da chi lavora a casa. “Gli exploit Nday, essendo meno costosi e più disponibili, permettono ai criminali di avere la massima resa con la minima spesa”, commenta Dolcini.

Oltre alla compravendita di strumenti di attacco, è in crescita il fenomeno del Cyber crime as a Service.

Accelerazione nell’uso dei servizi digitali

Il report Turning the tide di Trend Micro con le previsioni di cybersecurity per il 2021. Fai clic sulla foto per scaricarlo.

Il report Turning the tide di Trend Micro con le previsioni di cybersecurity per il 2021. Fai clic sulla foto per scaricarlo.

La richiesta sempre maggiore di modalità di contatto con la clientela sta imprimendo un nuovo impulso alla migrazione al cloud, su cui si prevede gireranno la maggior parte dei workload entro la fine del 2021. L’utente medio ha aumentato del 200% gli acquisti ecommerce, portando un sovraccarico ai sistemi informatici, logistici e di trasporto che è di grande interesse per i criminali”.

Una migrazione troppo repentina potrebbe indurre a sottovalutare i rischi di cybersecurity o a posticipare la creazione di difese adeguate, in particolare per quanto riguarda le API, che sono di particolare interesse per i cybercriminali in quanto hanno un accesso privilegiato alle reti e ai sistemi e mettono in comunicazione applicazioni di entità diverse.

Il tema Covid e la sanità

Il Covid19 è ovviamente un tema caldo che viene da un lato utilizzato dai criminali per catturare l’attenzione e convincere le vittime a cliccare un contenuto dannoso, e dall’altro “sta mettendo sotto pressione il sistema sanitario, che già stava attraversando una fase di digitalizzazione con programmi di telemedicina e automazione, con dispositivi elettromedicali che spesso sono stati progettati in un’epoca in cui l’attenzione alla cybersecurity non era elevata come oggi.”, come afferma Roberto Poeta, Responsabile dei Sistemi Informativi di Fondazione Poliambulanza. Le organizzazioni sanitarie stanno purtroppo diventando sempre più bersaglio di attacchi che mirano alla sottrazione di segreti industriali o fanno leva sull’essenzialità del servizio per motivare il pagamento di un riscatto (riscatto che secondo Poeta non andrebbe pagato in nessun caso).

Le priorità per la sicurezza delle aziende

Quali dovrebbero essere quindi le priorità delle aziende nel fronteggiare le nuove sfide poste dalla situazione attuale? Non ci sono bacchette magiche secondo Ed Cabrera, Chief Cybersecurity Officer di Trend Micro: “Acquistare un prodotto di sicurezza, o più di uno, non basta più per dormire sonni tranquilli, e anzi la proliferazione di strumenti best of breed (il migliore della classe) per ogni specifica funzione richiede un grande sforzo per integrare gli strumenti in modo che gli specialisti possano collegare i puntini e avere un quadro di cosa sta succedendo. Serve un approccio olistico che preveda una forte formazione non solo degli specialisti, ma che faccia anche aumentare la consapevolezza di tutti gli utenti dei sistemi”.

Sicuramente, un controllo degli accessi con multi-factor authentication e la segmentazione della rete saranno centrali per proteggere le aziende, e su questo punto ha portato la sua testimonianza Gioacchino Buscemi, Security Accreditation and Risk Manager dell’Agenzia Spaziale Europea. “ESA ha livelli di sicurezza evoluti che coprono tutte le attività, classificate e non. Si va dal badge per accedere a un evento scientifico fino alla telemetria dei razzi o alle comunicazioni dei satelliti, che possono avere anche un interesse di tipo militare”.

L’Agenzia ha da circa dieci anni adottato sistemi che permettono al personale di lavorare da remoto in sicurezza, accedendo alle informazioni non classificate, con dispositivi configurati in modo da proteggere e isolare le applicazioni e i dati critici dall’ambiente circostante e diversi SOC che supervisionano sull’utilizzo corretto e gestiscono la sicurezza.

Altrettanto importante è la verifica delle risposte dei sistemi e delle persone ad attacchi simulati. È necessario stilare dei playbook con le istruzioni da seguire qualora si verifichino situazioni critiche, “esattamente come gli astronauti che hanno procedure per ogni situazione e si addestrano ad affrontarle nei simulatori per molte ore”, dice Cabrera.

Per Trend Micro, sarà sempre più importante per le aziende affidarsi a fornitori di servizi di sicurezza gestita (MSSP) che si occupino della gestione quotidiana assicurando competenze sempre aggiornate e un impegno più flessibile. Questo permetterebbe inoltre allo staff IT di occuparsi di aspetti più strategici e importanti per lo sviluppo dell’azienda.