E voi vi fidate?

Come l'approccio Zero Trust può fare la differenza.

Qualche settimana fa ho scritto un articolo proprio sulla fiducia e in queste righe vorrei affrontare il tema della fiducia in ambito informatico.
Leggendo il Rapporto Clusit marzo 2022  emergono alcuni dati importanti che meritano attenzione.
Nel 2021 gli eventi di sicurezza rilevati dal SOC di Fastweb hanno registrato un aumento del 16% ma, quello che dovrebbe farci riflettere, è l’aumento del 58% dei server compromessi da malware e botnet e dalla rilevanza dei dispositivi mobili.

In Italia i settori più colpiti si confermano il Finance/Insurance e la Pubblica Amministrazione, obiettivi che insieme costituiscono circa il 50% dei casi. A questi si aggiunge quello dell’Industria che ha presentato l’aumento più significativo, dal 7% del 2020 al 18% del 2021.
Anche nelle email la situazione non migliora, le tecniche di attacco sono sempre più sofisticate e difficili da intercettare.
A tutto questo dobbiamo aggiungere il cambio di paradigma nelle nostre attività on-line, la disponibilità di nuovi servizi SaaS, il cloud pubblico (AWS, Azure) e lo smart working, che rappresentano grandi opportunità per utenti e aziende ma allargano il perimetro esposto dei sistemi.

Tematiche che non possono essere affrontate senza un approccio Zero-Trust, la cui fiducia riconosciuta a strumenti ed utenti è concessa solo se coerente con i comportamenti leciti.
Una certezza quindi è che la sicurezza come la si immaginava dieci anni fa ormai non è più sicurezza!
La fiducia che si riconosceva agli utenti interni rispetto agli esterni, ai propri server e alle proprie applicazioni non è più un modello adeguato ai tempi che corrono.
Come nella mia riflessione dove ponevo l’attenzione sul guadagnarsi la fiducia dimostrandolo con le azioni, anche in ambito applicativo il paradigma della Zero-Trust segue il medesimo principio.
L’approccio prevede la definizione dei privilegi minimi di accesso per svolgere certe operazioni, vengono rilevati e valutati i rischi sui dati, sull’identità, sui dispositivi, le applicazioni e l’infrastruttura.
In generale non ci si fida mai ma si verifica sempre.
Infine si immagina che una violazione possa accadere realmente, prima o poi: così facendo si identificano le minacce e si predispongono le risposte automatiche che oltre a fermare l’attacco nell’immediato siano in grado di adattarsi dinamicamente.

Tornando al report un altro aspetto interessante sono i risultati dell’intervista fatta a 732 amministratori di sistema.
Nel dettaglio il 59% dichiara che la quantità di tempo che dedica al lavoro è aumentata rispetto allo scorso anno e il 62% lavora più di 40 ore a settimana.
Il 29% afferma di essere più concentrato sulla sicurezza informatica.
Il 40% dichiara di essere preoccupato per la rapida evoluzione delle minacce informatiche ed ammette che il lavoro a distanza ha distolto l’attenzione dalle attività di sicurezza.
Il 73% infine afferma che la propria vita sarebbe più semplice se gli utenti smettessero di cliccare su collegamenti o allegati sospetti e il 42% dichiara inoltre che sarebbe un sogno se gli utenti smettessero di scrivere le proprie password su post-it attaccati al loro PC.

Una fotografia sicuramente interessante e che non può che farci riflettere.
In alcuni casi con un pizzico di presunzione, visti i servizi che via via si sono evoluti in GPV Solutions dal 2004 ad oggi.
Servizi che in accordo con i nostri partner spaziano dalle survey agli assessment, dalla gestione in modalità full managed di UTM, Infrastrutture cloud ed End Point ai sistemi di autenticazione MFA.
Soluzioni che, anche alla luce del rapporto Clusit, ci rendono orgogliosi di aver intrapreso questo percorso con l’obiettivo di supportare IT Manager, aziende e pubbliche amministrazioni nella gestione della cyber security.

Cyberwar: cosa succede nel mondo e perché affidarsi ad un MSSP è sempre più importante

In questi giorni oltre alla cronaca di disperazione e sofferenza per il conflitto in Ucraina è stata portata all’attenzione anche un’altra guerra che perdura da anni, spesso finanziata da interessi statali, e che mira ad indebolire le strutture strategiche e le economie di molti paesi a colpi di virus, ransomware, bot e altre minacce informatiche.

Sono ormai note infatti da tempo quelle organizzazioni nate proprio con lo scopo di assumere il controllo delle infrastrutture informatiche, mettere in scacco le aziende chiedendo riscatti per il ripristino dell’operatività aziendale o, analizzando i comportamenti degli utenti, mettere in atto veri e propri attacchi di tipo sociale per drenare soldi e per altri scopi illeciti.

Alla luce di questi fatti, è semplice capire come gli strumenti da soli non possano fare la differenza e come i sistemi debbano essere monitorati e aggiornati, discorso analogo per le policy di sicurezza che devono essere costantemente adeguate non solo ai fattori interni ad un’organizzazione ma anche alle vicissitudini esterne. Tutte queste attività non possono essere svolte da una sola figura.

Cosa è un MSSP?

Le competenze tecniche richieste per garantire la cybersecurity abbracciano molti ambiti: dal sistemistico, al software, dal networking alla gestione aziendale e, senza saper come intervenire efficacemente in questi ambiti, risulta impossibile avere un’infrastruttura informatica sicura. Ecco quindi che entra in scena l’MSSP acronimo che sta per Managed Security Service Provider.

L’MSSP è la figura chiave per poter affrontare in modo strutturato tutti i problemi relativi alla sicurezza informatica, soprattutto per quelle realtà dove non sono presenti le competenze, le risorse e  la disponibilità di tempo adeguate.

Avere una risorsa esterna dedicata totalmente al mantenimento della sicurezza dell’infrastruttura informatica è molto utile poiché, effettivamente, i cybercriminali non “lavorano” dal lunedì al venerdì, dalle otto alle diciassette, e un intervento tempestivo in caso di problemi può fare una grossa differenza.

Un MSSP esperto struttura il proprio lavoro utilizzando tutta una serie di tools che gli consentano di operare efficacemente mantenendo attiva la gestione di più realtà, di mettere in atto economie di scala e di potersi occupare della formazione di ciascuna delle figure con cui collabora più attivamente.

Ma ritornando agli eventi di questi primi mesi del 2022, cosa c’entrano gli MSSP?

In ambito cybersecurity sono successe un sacco di cose: dai depositi petroliferi del nord europa bloccati da ransomware ( https://www.bbc.co.uk/news/technology-60250956 ), agli attacchi di ingegneria sociale triplicati in questo primo trimestre del 2022 e ancora alla realizzazione di botnet controllate dagli stati (https://www.ncsc.gov.uk/news/joint-advisory-shows-new-sandworm-malware-cyclops-blink-replaces-vpnfilter) solo per citarne alcune.

La situazione è sicuramente molto instabile e anche noi, proprio per garantire il massimo della sicurezza ai nostri clienti, abbiamo alzato il livello di allerta.

Cosa abbiamo fatto?

Dal 24 febbraio abbiamo deciso di aumentare la frequenza della reportistica sui sistemi da noi gestiti, abbiamo analizzato comportamenti e definito indicatori di allerta più stringenti su sorgenti e località da cui avvengono i login degli utenti. I nostri SOC (Security Operations Center) e NOC (Network Operations Center) hanno messo in correlazione le informazioni che provengono dai vari tools per essere efficaci e tempestivi in caso di problemi.

Abbiamo ridotto la superficie di esposizione a possibili attacchi bloccando il traffico proveniente dalla Russia per tutti quei clienti che non ne avevano la necessità, limitando l’accesso al solo territorio italiano per chi non deve esporre i propri sistemi all’estero.

Abbiamo impostato politiche di gestione dello spam più stringenti e pianificato l’attivazione di sistemi di protezione DNS per evitare che qualche utente possa cadere vittima di qualche campagna phishing ben congeniata.  In conclusione le soluzioni di sicurezza da implementare sulla carta sono moltissime ma la vera menzione d’onore se la meritano i sistemi di controllo e monitoraggio che fin dal 2004 abbiamo messo in atto e che si rivelano la carta vincente per tutte le realtà che assistiamo, sono la dimostrazione concreta di come il valore di un MSSP sia determinato in buona parte da come struttura la propria strategia d’intervento, anche e soprattutto in quegli scenari in cui nessuno si augurerebbe di dover operare.