Le lessons learned del Covid-19 per la cybersecurity

Come cambiano i piani di business continuity e la cybersecurity in epoca di pandemia. Perché affidarsi a un MSSP.

Il Covid-19 ha cambiato le nostre vite per sempre e lo stesso si può dire per le nostre abitudini di lavoro. La pandemia ha evidenziato (se ancora ci fosse bisogno di una conferma) l’estrema vulnerabilità dei sistemi tradizionali di cybersecurity. Sistemi che vanno necessariamente rivisti per essere più aderenti ai nuovi modelli di business online e alle modalità di lavoro da remoto.
I leader esperti di security and risk management (SRM) oggi affrontano un contesto estremamente dinamico in cui le minacce all’integrità dei dati e alla business continuity si moltiplicano. In questo periodo di maggiore incertezza, è consigliabile un approccio che enfatizzi la resilienza e convogli gli sforzi di mitigazione del rischio sulla protezione del perimetro esteso, contemplando quindi anche i sistemi cyber fisici autonomi e intelligenti e i lavoratori remoti. Gli esperti di Deloitte consigliano ai CISO di lavorare in particolare su questi cinque aspetti:

• Perfezionare le capacità di monitoraggio della cybersecurity per riflettere le caratteristiche dei nuovi ambienti operativi in cui i modelli di traffico di rete, i dati e i vettori di accesso al sistema IT aziendali sono cambiati a causa dell’aumento delle operazioni remote e mobili.
• Reingegnerizzare i flussi di lavoro riguardanti la gestione degli incidenti informatici, per rispondere all’esigenza di monitorare gli eventi di sicurezza quando le normali strutture di risposta e i canali di comunicazione ufficiali potrebbero non essere disponibili.
• Comunicare messaggi di sensibilizzazione sulle tematiche della cybersecurity, per garantire che tutti i dipendenti e collaboratori rimangano vigili e attenti rispetto ai pericoli del phishing (e degli altri attacchi informatici di ingegneria sociale) che potrebbero compromettere la continuità operativa, la sicurezza dei dati e la privacy.
• Coinvolgere partner e service provider, per comprendere i potenziali impatti di nuovi lockdown o restrizioni sulla disponibilità di servizi critici di sicurezza.
• Garantire che le misure adottate vadano oltre la pura sicurezza IT e includano un focus sulla conformità e sui sistemi cyberfisici ove necessario.

Come è cambiato il concetto di cybersecurity

L’impatto di una pandemia globale come quella da Covid-19 non era contemplato nella maggior parte dei piani di continuità operativa aziendali. Nel corso di questi mesi è maturata nei CISO la necessità di promuovere un concetto più ampio di cybersecurity, che evolve dalla compliance normativa per fondersi con quello di resilienza cyber. In questo passaggio epocale, un ruolo centrale è quello affidato ai provider di servizi di sicurezza gestita (MSSP, Managed Security Service Provider). Sulla base delle evidenze, secondo gli esperti di Gartner (“Covid-19’s impact on security”) a suggerire come tutelarsi meglio contro i rischi cyber in epoca di Covid-19. Ecco, quindi, quali sono le 5 aree su cui CISO e SRM leader dovranno concentrarsi in questo 2021 per garantire la massima resilienza del business in periodo di pandemia.

#1: assicurarsi che i protocolli di Incident Response riflettano le nuove condizioni operative

In uno scenario pandemico in cui l’Incident Response Team opera in modalità del tutto remota o mista, i vecchi piani di risposta potrebbero risultare completamente inefficaci. L’incapacità di adattare i protocolli di risposta agli incidenti alle condizioni operative alterate dalla gestione sanitaria della pandemia potrebbe compromettere seriamente l’abilità dell’organizzazione di far fronte agli incidenti cyber più banali. Gartner suggerisce ai cybersecurity leader di adottare alcuni accorgimenti:
#2: assicurarsi che tutte le funzionalità di accesso remoto siano sicure e gli endpoint utilizzati dagli smart worker siano aggiornati

Sono molti i dispositivi di proprietà dell’azienda che, ancora oggi, vengono usati in prevalenza al di fuori dell’ambiente d’ufficio. Molte organizzazioni hanno optato per un full smart working e persino le amministrazioni pubbliche si stanno attrezzando per offrire ai propri dipendenti la possibilità di lavorare da remoto almeno per il 50% del proprio tempo. Queste nuove routine obbligano il team del CISO a prestare attenzione in particolare ad alcune accortezze:

• Assicurarsi che tutti gli endpoint forniti dall’organizzazione dispongano delle configurazioni minime di protezione per l’attività off-LAN (ad esempio, gli aggiornamenti delle firme ricevuti direttamente dal cloud).
• Le soluzioni di protezione degli endpoint “a licenza” non sempre forniscono visibilità sui PC remoti. Il CISO dovrà prendere in considerazione la migrazione a un servizio gestito di endpoint protection.
• Prestare attenzione nel fornire l’accesso alle applicazioni aziendali che archiviano informazioni mission critical da dispositivi personali, a meno che non si possa confermare che dispongono di una soluzione antimalware aggiornata. Per una protezione aggiuntiva, è necessario richiedere che tutti gli accessi esterni ai sistemi critici debbano utilizzare l’autenticazione a più fattori basata su token software, soprattutto quando il lavoratore utilizza il proprio dispositivo personale.
• Per ridurre al minimo le vulnerabilità, adottare un sistema di accesso remoto tramite Single Sign-On (SSO) alle applicazioni ospitate localmente o nel cloud. Laddove questo non sia praticabile, adottare un sistema di sincronizzazione delle password tra più applicazioni SaaS.
• Verificare costantemente e, se richiesto, cancellare o limitare gli account privilegiati che non siano direttamente collegati a sistemi e applicazioni mission critical.
• Verificare che tutte le infrastrutture di accesso remoto (come le VPN) siano testate e debitamente patchate.

#3: tenere alta l’attenzione dei dipendenti in smart working rispetto ai pericoli del social engineering

L’ambiente domestico può rappresentare una fonte di distrazione per il dipendente che opera in smart working. Questo in molti casi ha finito per rendere i lavoratori remoti più fragili e suscettibili agli attacchi di social engineering in cui i cyber criminali sfruttando ansia, paure e scarsa attenzione degli utenti per guadagnare l’accesso ad account aziendali e, da lì, esfiltrare dati o bloccare l’operatività dei sistemi IT dell’organizzazione. CISO e risk manager dovranno dunque adottare alcune misure utili per tenere alta l’attenzione dei dipendenti in smart working rispetto ai pericoli del social engineering.

• Adottare misure per estendere la remediation sugli scenari di esfiltrazione dati agli scenari di smart working. Non appena ragionevolmente possibile, rivedere le politiche di lavoro a distanza esistenti per includere i nuovi requisiti di protezione delle informazioni.
• Inviare e-mail mirate a tutto il personale per rendere i dipendenti più consapevoli rispetto alle minacce informatiche legate al social engineering e per ricordare loro la necessità di rimanere concentrati e ipervigili nei confronti di e-mail di phishing e altre comunicazioni sospette anche mentre lavorano da casa.
• Fornire indicazioni chiare su chi contattare e sulle informazioni che devono essere raccolte in caso di sospetta compromissione. Garantire che le comunicazioni inviate forniscano anche indicazioni su come configurare reti domestiche sicure e su come proteggere al meglio i device.

#4: assicurarsi che le funzionalità di monitoraggio della cybersecurity contemplino la visibilità sugli ambienti operativi estesi

Se le operazioni di sicurezza informatica sono ottimizzate per monitorare gli eventi in un ambiente standard, il passaggio a un modello operativo prevalentemente remoto può comportare il rischio di gravi lacune. I responsabili della cybersecuirty e della gestione dei rischi dovrebbero adottare alcune misure utili a garantire che gli strumenti e le capacità di monitoraggio della sicurezza dell’organizzazione siano configurati per fornire la massima visibilità sui nuovi ambienti operativi estesi:

• Configurare e affinare le funzionalità di monitoraggio della sicurezza interna e le regole di gestione dei log, per garantire che il team incaricato di gestire la security abbia piena visibilità del nuovo ambiente operativo. Un ambiente in cui l’esposizione al rischio, i modelli di traffico di rete, la posizione degli endpoint, l’accesso ai dati e i vettori sono cambiati a causa dell’aumento dell’attività svolta da mobile e da remoto.
• Garantire che tutto il personale interno delle operazioni di sicurezza informatica abbia il proprio accesso configurato (e testato) a qualsiasi strumento di monitoraggio (in locale e nel cloud), in modo che possa svolgere le funzioni di monitoraggio della sicurezza anche da remoto.
• Ove possibile, sfruttare le funzionalità di gestione delle sessioni privilegiate (PSM) per monitorare e gestire, se necessario, qualsiasi attività degli utenti che comporti un’escalation dei permessi di accesso. Prestare particolare attenzione alle sessioni degli account privilegiati per determinare se ci sono deviazioni nell’attività dell’utente.
• Se i servizi di monitoraggio della sicurezza sono gestiti da fornitori esterni (affidati a un Managed Security Service Provider), verificare che i suoi tool e piattaforme siano adeguatamente configurate per monitorare e collegare i log in una modalità che rifletta il volume di traffico crescente e le richieste di accesso da parte IP esterni.

#5: affrontare le sfide dei sistemi cyberfisici

Con la progressiva diffusione di apparati smart e connessi, crescono anche gli attacchi ai sistemi cyberfisici. Le attività di mitigazione del rischio, in questi casi, devono essere indirizzate verso l’obiettivo di garantire la massima protezione dei sistemi operativi (OT) e informatici (IT) attraverso una pluralità di interventi:

• Rivedere le policy e gli approcci di gestione e controllo degli accessi.
• Rivedere gli approcci di microsegmentazione, segmentazione virtuale e firewalling.
• Rafforzare la protezione degli endpoint.
• Mappare tutte le connessioni remote, le vulnerabilità di accesso remoto, gli audit trail e i password manager. Tenere traccia delle credenziali valide.

SOC as a Service, i vantaggi per la business continuity

La capacità di garantire la continuità operativa anche a fronte di uno scenario, come quello pandemico, che presenta complessità crescenti, rappresenta oggi la principale sfida alla cybersecurity per i CISO. Sono sempre più numerose le aziende che optato per una gestione più “intelligente” della sicurezza, che sfrutti le tecnologie di Big Data Analytics, Artificial Intelligence e Machine Learning per identificare prontamente, anzi per quanto possibile “predire” comportamenti anomali e volumi di traffico sospetti. Un approccio che assicuri la capacità di isolare rapidamente gli endpoint compromessi bloccando il diffondersi di un attacco sul nascere, per contenere al minimo i danni all’immagine e i fermi operativi, garantendo quella resilienza cyber che è oggi essenziale per la sopravvivenza del business. Ed è proprio per ampliare la sicurezza IT alla cyber resilience che molte aziende optano per un concetto di sicurezza “gestito” delegando a uno o più partner l’onere della protezione dei propri dati e asset critici, fino addirittura ad esternalizzare completamente la gestione di interi SOC, (Security Operation Center). In questo caso, tutte le informazioni sullo stato della sicurezza informatica di un’azienda saranno centralizzate nell’infrastruttura del Managed Security Service Provider (MSSP), capitalizzando al massimo il vantaggio di operare con persone, processi e tecnologie sempre aggiornate per ottimizzare diverse attività:

1. Monitoraggio delle attività e incident detection
   Raccolta e scrematura dei dati di traffico e degli eventi ricavati da sistemi di sicurezza, apparati di networking, endpoint e server, operata attraverso piattaforme SIEM (Security Information and Event Management). Confronto degli alert generati da questi sistemi con le informazioni di contesto (nuove vulnerabilità, attacchi in corso, nuove minacce…) e rilevamento delle anomalie.
2. Incident Response
   Analisi delle informazioni sugli eventi anomali e gli asset IT coinvolti, definizione e coordinamento di tutte le attività di remediation utili per bonificare le debolezze suggerendo gli interventi da compiere sui sistemi di sicurezza.
3. Vulnerability Assessment
   Alcuni SOC sono grado di operare un’analisi proattiva delle vulnerabilità, verificando la tenuta di applicazioni, reti, database, ma anche singoli endpoint, a un eventuale attacco, attraverso penetration test.
4. Correlazione degli eventi di sicurezza
   Raccolta in real time degli eventi di sicurezza, correlazione e mappatura di queste attività sulla base dell’organigramma dell’organizzazione e delle regole di sicurezza definite, così da prevenire gli attacchi o risolverli in tempi brevi.
5. Analisi dei comportamenti
   Analisi automatizzata dei comportamenti degli utenti, attraverso algoritmi di machine learning e artificial intelligence e, più in generale, strumenti e protocolli in grado di identificare prontamente le anomalie nel traffico e le difformità rispetto ai comportamenti “normali”, allertando gli operatori della security.
6. Security awareness
   Produzione di bollettini di sicurezza, report e approfondimenti sulle nuove minacce e vulnerabilità, sulla base delle informazioni ottenute attraverso attività di cyber intelligence.

Fonte: Fastweb Business Magazine