I CISO hanno da tempo il compito di sviluppare capacità di risposta e ripristino, con l’obiettivo di avere team in grado di reagire a un incidente di sicurezza il più rapidamente possibile e di ripristinare le funzioni aziendali con il minor danno possibile. La necessità di tali attività non scomparirà certamente, ma molti leader della sicurezza stanno cercando di adottare misure più proattive per bilanciare quelle reattive.

“Dal punto di vista proattivo, si cerca di prevedere quale tipo di attacco può verificarsi nel vostro ambiente e di trovare le vulnerabilità prima che lo facciano gli altri, in modo da ridurre il rischio prima che questo si materializzi” afferma Pierre-Martin Tardif, professore di sicurezza informatica presso l’Université de Sherbrooke e membro dell’Emerging Trends Working Group con l’associazione professionale di governance IT ISACA. Secondo Tardif e altri esperti, una strategia di sicurezza proattiva può fare molto di più per garantire la resilienza organizzativa rispetto alla sola capacità di rispondere rapidamente una volta rilevato un attacco o una violazione.

Il nostro obiettivo finale come professionisti della sicurezza informatica è prevenire lo sfruttamento dei rischi informatici proteggendo le nostre risorse. I programmi proattivi hanno molto successo nel fare proprio questo” afferma Sandra Ajimotokin, senior security program manager presso una grande azienda globale e altro membro dell’Emerging Trends Working Group di ISACA.

Ma cosa distingue esattamente i CISO che hanno adottato una strategia di sicurezza proattiva?

Capiscono cosa hanno, cosa devono proteggere e da cosa si stanno proteggendo

Per costruire una sicurezza proattiva, più fonti indicano la necessità per i CISO di capire prima cosa hanno, sapere cosa richiede i massimi livelli di protezione e riconoscere i rischi che un’organizzazione è disposta ad accettare. Questo aiuta i CISO a identificare quali minacce rappresentano i maggiori rischi per le loro organizzazioni e, quindi, richiedono la massima attenzione.

“Un team informatico proattivo comprende il profilo di rischio della propria organizzazione e può identificare i rischi che l’organizzazione non ha ancora affrontato”, spiega Ajimotokin. “Questa è una componente chiave per essere in grado di prevenire gli attacchi, perché in questo modo i CISO capiscono cosa deve essere protetto e possono pensare a tutti i modi per cui questo elemento è vulnerabile”.

John Deskurakis, Chief Product Security Officer di Carrier Global Corp., concorda, aggiungendo che i CISO devono fare ciò su base continuativa, chiedendo la necessità di una “identificazione continua”. “Dovete sapere cosa state difendendo e perché. Dovete comprendere tutti i rischi associati e farlo continuamente. E dovete conoscere bene la superficie di attacco, poiché questa crescerà con il tempo e cambierà. “

Adottano un approccio zero-trust

I team di sicurezza proattiva hanno non solo una buona comprensione dei loro ambienti IT e del profilo di rischio della loro organizzazione, ma anche una solida comprensione di chi e cosa sta accedendo alla loro rete e a ciascuno dei loro sistemi attraverso forti policy di autenticazione degli utenti, afferma Bryce Austin, CEO di TCE Strategy, una società di consulenza virtuale. Criteri come l’autenticazione a più fattori aiutano a garantire che solo gli utenti autorizzati entrino nell’ambiente IT aziendale e lavorino per tenere fuori tutti gli altri.

Tardif osserva che molti CISO stanno implementando requisiti di autenticazione forte come parte del loro passaggio all’architettura zero-trust, in cui tutti gli utenti, siano essi umani o dispositivi, devono verificare di essere chi dicono di essere prima di ottenere l’accesso. L’approccio zero-trust va però oltre. Limita infatti anche l’accesso degli utenti autenticati solo ai sistemi e ai dati di cui hanno bisogno per svolgere il proprio lavoro. Tardif afferma che seguire questo principio di privilegio minimo è un ulteriore modo per spostare l’attenzione dalla risposta agli incidenti alla prevenzione proattiva.

Sono agili e adattivi

Deskurakis afferma che i CISO che propendono per una sicurezza proattiva hanno adottato “un pensiero incentrato sull’attacco, in cui si evitano approcci statici e si pensa come un attaccante. Una solida capacità di difesa proattiva è flessibile e spesso mutevole per far fronte a minacce in continua evoluzione”. Andrew Retrum, amministratore delegato per la pratica di sicurezza e privacy presso la società di consulenza gestionale Protiviti, è d’accordo e rimarca il fatto che bisogna essere sempre in movimento e capire in anticipo quelle che saranno le mosse dei cybercriminali.

 

Cercano di prevedere il futuro

I CISO proattivi seguono da vicino strumenti, tecniche e normative emergenti; inoltre, li incorporano nelle loro strategie e nei loro programmi di sicurezza prima che diventino mainstream od obbligatori. Retrum afferma di vedere altri CISO adottare questo approccio mentre osservano attentamente ciò che sta cambiando nei propri ambienti aziendali o nel mercato più in generale; un approccio che consente loro di preparare i loro dipartimenti di sicurezza in anticipo rispetto a tali cambiamenti. Ad esempio, alcuni CISO stanno già valutando come la prevista ascesa del quantum computing avrà un impatto sul loro programma di sicurezza, identificando quali attuali misure di sicurezza diventeranno inefficaci e determinando quali protezioni utilizzeranno al loro posto.

Cercano gli “imitatori”

I team di sicurezza proattiva sono alla ricerca di qualsiasi uso improprio dei loro nomi di dominio, loghi aziendali e altri identificatori, afferma Carlos Rivera, consulente di ricerca di Info-Tech Research Group. “Stanno insomma cercando in modo proattivo l’uso illecito del loro brand”.

I team di sicurezza in genere utilizzano strumenti basati su SaaS o collaborano con un provider di servizi di sicurezza gestito per il monitoraggio dei nomi di dominio, con lo scopo di cercare lo spoofing altre forme di rappresentazione illecita del brand. Questo monitoraggio, afferma Rivera, può avvisare tempestivamente i team di sicurezza di eventuali hacker che cercano di utilizzare siti Web falsificati, loghi aziendali contraffatti e altre forme di impersonificazione per phishing e altri tipi di attacchi di ingegneria sociale. Ciò consente ai team di sicurezza di contrastare o addirittura bloccare completamente tali tentativi di attacco prima che abbiano successo.

Vanno a caccia di minacce

Il Cost of a Data Breach Report 2022 di IBM ha rilevato che le organizzazioni hanno impiegato in media 207 giorni per identificare una violazione. Questa identificazione ritardata è un problema di vecchia data, per contrastare la quale i team di sicurezza si rivolgono sempre più alla caccia alle minacce (threat hunting) per trovare eventuali cattivi attori in agguato nel loro ambiente prima che si verifichi una violazione o un altro attacco.

“Un altro elemento di un approccio proattivo alla sicurezza è la partecipazione alla caccia attiva alle minacce, cercandole prima che possano essere sfruttate attivamente spiega Jon France, CISO di (ISC)², un’organizzazione di formazione e certificazione senza scopo di lucro. La caccia alle minacce paga. Secondo infatti il SANS 2022 Threat Hunting Survey, l’85% degli intervistati ha dichiarato che la caccia alle minacce ha migliorato la postura di sicurezza della propria organizzazione. Inoltre, gli esperti affermano che l’uso del machine learning e dell’intelligenza artificiale dovrebbe incrementare ulteriormente tali cifre, aiutando i team di sicurezza aziendali a trovare le minacce ancora più rapidamente.

“I professionisti della sicurezza proattiva possono trarre vantaggio dalla capacità del machine learning di riconoscere modelli e prevedere i risultati, avendo così a disposizione un livello di visibilità mai visto prima”, afferma Ajimotokin. “Ciò potrebbe consentire ai team di scalare rapidamente, identificare le minacce il prima possibile e mitigare un attacco più velocemente che mai”.

Vanno a caccia di vulnerabilità

Un forte programma di gestione delle vulnerabilità che identifica quali vulnerabilità note esistono all’interno di un’organizzazione e dà priorità alle patch per quelle che presentano il rischio più elevato è un segno importante di una buona strategia di sicurezza. France afferma però che i team di sicurezza che vogliono essere proattivi dovrebbero fare un ulteriore passo avanti e aggiungere la caccia alle vulnerabilità ai loro programmi. Se infatti i programmi di gestione delle vulnerabilità si sono tradizionalmente concentrati sulla risoluzione di problemi noti, la ricerca delle vulnerabilità sfida i team di sicurezza a scoprire quelle sconosciute, come codice software non sicuro o configurazioni errate che sono uniche per i propri ambienti IT.

France e altri raccomandano ai CISO di eseguire regolari test di penetrazione per individuare i punti deboli e creare programmi di divulgazione delle vulnerabilità e bug bounty per incoraggiare e premiare i lavoratori a cercare, trovare e risolvere tali problemi.

Non rinunciano alla risposta agli attacchi

Può sembrare una cosa controintuitiva, ma secondo France i team di sicurezza proattivi sono esperti anche nel modo in cui rispondere e reagire in caso di attacco riuscito. Poiché queste esercitazioni immaginano e articolano come potrebbero verificarsi gli attacchi, aiutano i team di sicurezza proattiva a identificare le vulnerabilità nei loro programmi di sicurezza esistenti.

Le esercitazioni aiutano anche a identificare le carenze nei piani di risposta, il che consente ai CISO di colmare anche queste lacune. Inoltre, costruiscono una sorta di “memoria muscolare”, il che significa che l’organizzazione può muoversi in modo più rapido, efficiente ed efficace quando si verifica un evento, in modo da poter ridurre al minimo il danno e tornare alla normalità prima.