Le pillole di Empeiria
Pillola n. 4 : rischio cybersecurity – monitoraggio continuativo e azioni di remediation.
Ed eccoci al quarto e ultimo capitolo sulla cybersecurity. Abbiamo finora cercato di capire come l’hacker può entrare o con che modalità può sferrare un attacco, abbiamo capito l’importanza della formazione dei collaboratori e abbiamo visto che ci sono diverse modalità con cui il mercato della cybersecurity può aiutare le aziende per fare un checkup di sicurezza cibernetica.
Abbiamo anche visto che alcune azioni servono a sincerarsi che non ci siano infezioni/intrusioni già presenti in azienda (la vulnerability assessment), oppure servono a capire il livello di fragilità del sistema (i.e. le campagne mail di phishing pilotate verso i collaboratori per capire quanti cascano nel tranello e conseguentemente quanta formazione vada ancora erogata oppure i tentativi di penetrazione dall’esterno per superano il firewall e le difese aziendale, o ancora la ricerca delle vulnerabilità presenti); ma queste attività sostanzialmente fanno una fotografia della situazione alla data dell’intervento ma nulla dicono ne possono dire sul contesto futuro. Come possiamo fare allora per garantire un controllo continuativo della situazione?
Sappiamo tutti ormai che il rischio zero non esiste, ma avere un presidio di sicurezza e poter scoprire subito eventuali attacchi è certamente un buon modo per mitigare il rischio. Che poi stiamo parlando del primo tra i rischi che possono mettere in ginocchio un’azienda o una organizzazione. Come noto le società di assicurazione formulano molte interviste in ambito Risk Management e secondo Assiteca (consultative broker) il rischio oggi maggiormente percepito dalle imprese italiane è proprio il Cyber-risk. Un modo semplice per intervenire è utilizzare una scatola nera, una black box che sia in grado di tracciare ciò che avviene in rete.
Questo non solo perché permette di essere compliant con la normativa della privacy (GDPR, NIS) ma soprattutto perché permette di capire cosa sta succedendo o cosa è successo in caso di attacco. Inoltre per essere maggiormente efficace la scatola nera dovrebbe anche svolgere funzioni di software sentinella, lanciando un allarme nel momento in cui si verificassero delle situazioni che possono far ritenere che sia in corso un attacco. Un modo altrettanto semplice, probabilmente più costoso, è affidare ad un Service Provider la gestione di un servizio SOC (acronimo per Security Operation Center) per la propria azienda. Probabilmente più costoso dell’installazione di una black box sui propri client e sulle proprie istanze virtuali, comunque mai così costoso come la costruzione interna all’azienda di un proprio SOC. Il SOC mette insieme le persone adatte, le tecnologie migliori e i processi opportuni per rilevare le eventuali anomalie che si verifichino nel flusso dei dati tra l’interno e l’esterno dell’azienda.
Il SOC è normalmente strutturato in un primo livello di detection e monitoring che analizza i dati degli endpoint e che fa anche un matching con la situazione esterna all’azienda (emersione di nuove vulnerabilità, attacchi in corso in giro per il mondo); il rapporto commerciale con questi service provider si basa su un security service level agreement che normalmente è condiviso a latere del contratto. Esiste poi un secondo livello che a fronte dell’apertura di un ticket è chiamato all’Incident Response con azioni di remediation, qualora si fosse verificato un attacco. Sulle aziende più piccole e con un numero di endpoint inferiore abbiamo spesso trovato vantaggio nella mitigazione del rischio tramite l’utilizzo dell’agent Phalanx abbinato al suo NOC, on premise o in cloud a seconda delle situazioni aziendali. La black box Phalanx permette di raccogliere un Log degli accadimenti nei sistemi monitorati, è leggera quindi non crea perturbazioni ne interagisce coi diversi device di rete.
Permette anche un intervento più veloce e mirato in caso di attacco, rendendo l’azione di bonifica più efficace e completa. Il consiglio finale è di spendere del tempo, o farlo spendere all’IT aziendale, per raccogliere dal mercato delle proposte di soluzione al tema Cybersecurity. Inevitabilmente emergerà il fatto che non esiste una soluzione definitiva, perché la sicurezza è un processo che richiede in primis un cambio di mentalità. Ciò che possiamo fare è mitigare il rischio al massimo, ma non annullarlo completamente. Per questo anche le strategie di remediation debbono essere messe in atto in anticipo, in modo da essere sempre proattivi e molto celeri nell’intervenire qualora – nonostante la massima riduzione del rischio – si verifichi comunque un attacco o un’intrusione ai sistemi aziendali.
Infine proprio in questi giorni stanno uscendo un sacco di Zero Day, ovvero di minacce che appaiono per la prima volta nei nostri sistemi. Ci sono gruppi di hacker che hanno preso posizione rispetto alla guerra che è scoppiata in Ucraina, ad esempio il gruppo Conti ha deciso di supportare la Russia mentre il gruppo Anonymous ha deciso di attaccarla. Per la prima volta gli attacchi cibernetici vengono lanciati non per chiedere riscatti o esfiltrare dati ma per distruggere i sistemi e i dati delle organizzazioni attaccate. Ecco che difendere il proprio perimetro diventa fondamentale. Verificate la situazione dei firewall, dei sistemi di IDS, degli antivirus. Verificate di avere tutti i backup off line (non solo fuori dominio, ma proprio inaccessibili dalla rete aziendale…) e provate le procedure di restore. Fate attenzione ai flussi di dati in arrivo dalla Russia e dall’Ucraina, aggiornate le black list di indirizzi IP e siti malevoli e infine, se non già fatto, controllate o stilate dei piani di Business Continuity.
Per ogni approfondimento o supporto potete contattare Empeiria. Saremo lieti di venirvi a trovare e proporre delle soluzioni mirate alla vostra specifica situazione
Diego Bonetto