Dopo la doccia fredda del rapporto Clusit, il Cisco Ciso report porta un filo di ottimismo in ambito sicurezza. Sarà per l’analisi effettuata a livello mondiale (e i dati italiani sono comunque in linea), ma il report porterebbe a considerare che le aziende “sono più in grado di gestire la fatica cyber”, come spiega anche il responsabile della sicurezza di Cisco Italia, Stefano Vaninetti. Dal 46% delle aziende che si consideravano in difficoltà si è scesi al 30%, con sempre più aziende “artefici della propria difesa”. Una mano la dà anche il cloud, visto che il 93% concede alla nuvola ciò che le spetta, riconoscendole un aumento di efficienza.

Il Ciso Cisco report

Il Ciso Cisco report

All’aumento della fiducia verso il cloud fa da contrasto la perdita di peso dell’intelligenza artificiale. Sarà perché le tecnologie non si sono rivelate così efficienti come promettevano (un classico dell’IA che deve fare fronte sempre anche ad aspettative elevate), ma il machine learning cala dal 77 al 67%, l’IA dal 74 al 66% e anche l’automazione non sta tanto bene visto che scende dall’83 al 75%.

La proliferazione del numero dei vendor mette invece un po’ in difficoltà i Ciso. L’80% degli intervistati (3.200 decision maker in 18 Paesi) dicono che in questo modo la gestione diventa complicata, tanto che in parecchi, per il 63%, hanno deciso di porre un limite al numero di vendor presenti in azienda.

Mentre cala il costo medio dei databreach, con il 51% che dichiara di avere subito danni inferiori ai 500mila dollari, piacciono sempre di più le assicurazioni che si fanno largo anche in Europa. Il 40% vi ha fatto ricorso.

L’evoluzione della security comporta anche una diversa valutazione delle metriche. Dal time to detection si passa al time to remediate. Il primo scende infatti dal 61 al 51%, mentre il secondo sale dal 30 al 48%. Brusco calo (dal 57 al 40%) anche per il time to patch.

Dal punto di vista organizzativo il report rileva che i team più collaborativi perdono meno soldi. L’eliminazione dei silos mostra un vantaggio finanziario tangibile. Il 95% dei professionisti della sicurezza ha riferito infatti che i loro team di rete e di security sono molto o estremamente collaborativi e il 59% di essi ha anche dichiarato che l’impatto finanziario della violazione più grave subita è inferiore a 100mila dollari.

Il rapporto chiude con una serie di raccomandazioni per i Ciso che devono impostare il budget destinato alla sicurezza sulla base di risultati misurabili con strategie concrete associate a coperture assicurative – le cyber insurance – e strumenti di valutazione del rischio per poter prendere decisioni consapevoli.

Fondamentale è la collaborazione fra i vari reparti. “Sicurezza pervasiva, non silos”, afferma Vaninetti, secondo il quale bisogna orchestrare la risposta agli incidenti attraverso strumenti diversi per passare dal rilevamento alla risposta in modo più rapido e automatico, combinare il rilevamento delle minacce con la protezione degli accessi per affrontare le minacce interne e allinearsi a un programma come Zero Trust e contrastare il principale vettore di minacce con formazione sulle tecniche di phishing, autenticazione multi-factor, advanced spam filtering e Dmarc per difendersi dalle truffe Bec (Business email compromise).

Cisco ha affrontato anche il problema delle minacce in un altro rapporto “Defending against today´s critical threats” nel quale si mette in evidenza il ruolo della posta elettronica, il metodo più utilizzato dagli aggressori. Nel 2018, ha spiegato Craig Williams, director Talos Outreach, si è evidenziata la pericolosità del cryptomining e di Emotet, il trojan bancario.

L’attenzione degli aggressori verso i risultati economici delle loro azioni ha causato la perdita di importanza del ransomware sostituito dalla crittografia malevola. Con il ransomware, solo una piccola percentuale delle vittime paga il riscatto e, se lo hanno fatto, si tratta di un pagamento una tantum.

La crittografia, d’altra parte, spesso funziona in background senza che l’utente ne sia a conoscenza ed è meno probabile che attiri l’attenzione delle forze dell’ordine. Il cryptomining poi ha un impatto negativo sulle prestazioni generali del sistema e richiede una potenza extra, con un notevole aumento dei costi energetici.

La cosa più preoccupante, aggiunge il report, è che la presenza di un’infezione da criptomining dannosa, all’insaputa di chi gestisce una rete, potrebbe indicare lacune di sicurezza nella configurazione della rete o nelle politiche di sicurezza generali. Tali lacune potrebbero essere facilmente sfruttate dagli aggressori per altri attacchi.