Il dilemma dei CISO: com’è il panorama delle minacce visto dall’alto
I Chief Information Security Officers (CISO), riferiscono di essere riusciti a respingere un maggior numero di attacchi nonostante si trovino ad affrontare avversari agili e sempre più avanzati con vantaggi significativi, secondo una nuova ricerca indipendente di Omnisperience per F-Secure.
In interviste con 28 responsabili senior della sicurezza delle informazioni negli Stati Uniti, nel Regno Unito e in Europa, i professionisti hanno descritto il panorama delle minacce come un luogo di lavoro frammentato sotto costante assalto. I CISO si sono sentiti costretti a gestire costantemente un persistente “debito di sicurezza” e ad affrontare domande su ciò che costituisce una buona sicurezza.
Attacchi in aumento, dipendenti presi di mira a casa e in ufficio, ma la qualità è più importante della quantità
I CISO sono ansiosi di sottolineare la distinzione tra un attacco informatico e un incidente informatico, e vorrebbero che gli altri – specialmente la stampa e i fornitori di sicurezza informatica – facessero chiaramente la distinzione.
Un attacco informatico è un tentativo da parte di un avversario – abile o meno – di violare le policy di sicurezza di un sistema per influenzarne l’integrità o la disponibilità, e/o l’accesso non autorizzato o il tentativo di accesso a uno o più sistemi. Un incidente informatico, invece, è un tentativo riuscito che porta ad una violazione della sicurezza del sistema.
I CISO hanno riferito che il volume degli attacchi che i loro team hanno combattuto negli ultimi 18 mesi è aumentato. Ma il numero di incidenti è rimasto costante.
Cosa spiega questa disparità? Questo potrebbe essere perché i CISO hanno fatto i giusti investimenti. Tuttavia, gli incidenti che non sono stati scoperti possono essere i più preoccupanti. A causa della natura sofisticata di alcuni di questi attacchi, le organizzazioni potrebbero non avere la tecnologia o le persone per identificare che sono nel bel mezzo di una compromissione che, per esempio, potrebbe portare ad una distribuzione di ransomware mesi dopo.
Le tre principali minacce incontrate dai CISO intervistati sono state:
- Phishing
- Ransomware
- Business Email Compromise (BEC)
Gli attaccanti sono ora più propensi a utilizzare diversi vettori. Alcuni dei seguenti attacchi informatici sono stati citati come sfide continue per i loro team di sicurezza:
- Compromissione e sfruttamento dei lavoratori remoti, tipo “cavallo di Troia”
- Data leak;
- DDoS;
- compromissione di identità/credenziali/account (tramite social engineering/phishing);
- Malware avanzato (gruppi organizzati).
Quindi, quale vulnerabilità i criminali informatici stanno prendendo di mira maggiormente? Quella umana. I dipendenti, insieme a tutti coloro che lavorano nella supply chain di un’azienda, sono ancora il principale vettore di attacco.
Quasi tre quarti (71%) dei CISO riconoscono che la fallibilità umana rimane una delle loro preoccupazioni di sicurezza più pressanti. Il social engineering e gli attacchi di phishing sono usati per connettersi ai dipendenti, direttamente o indirettamente. E nessuno è immune da un tentativo, dai receptionist ai C-level.
Fortunatamente, la quantità non equivale alla qualità. La maggior parte dei tentativi di phishing continuano ad essere rilevati dalle email e dai prodotti di sicurezza anti-phishing. Tuttavia, la natura mutevole del posto di lavoro, specialmente durante la pandemia, presenta sfide in evoluzione per i CISO. Proteggere una forza lavoro più mobile e flessibile comporta rischi aziendali significativi, tra cui:
- Cavallo di Troia
È più facile compromettere le macchine aziendali che si collegano dall’esterno della rete. Una volta compromesse, queste macchine forniscono un punto di accesso per infettare il resto della rete, creando la possibilità che migliaia di lavoratori sfruttino innocentemente il malware. - Ambienti ibridi
Il continuo avanti e indietro tra applicazioni aziendali e sociali crea un rischio costante. - Contaminazione
I computer aziendali usati in casa, specialmente quelli utilizzati per scopi non lavorativi, possono essere impiegati per scopi di social engeineering, con impatto sul resto dell’inventario IT, senza mai entrare in ufficio. Una volta infettate, queste macchine possono poi accedere al resto della rete aziendale ovvero fungere da cavallo di Troia.
Il debito di sicurezza
I CISO hanno costantemente menzionato di dover gestire le loro operazioni con un “debito di sicurezza”. Gli attaccanti godono di vantaggi rispetto ai professionisti della sicurezza legittima, tra cui il tempo e la libertà dalle normative.
Ai nuovi strumenti di sicurezza, alle iniziative per adottare la security-by-design nelle prime fasi dei nuovi progetti di business e alla consapevolezza della sicurezza interna raramente è stata data l’adeguata priorità. I CISO però riconoscono che questo è il risultato delle limitazioni di budget, dei carichi di lavoro delle risorse e della priorità di altre attività aziendali. Nessuno entra in affari solo per avere una rete da difendere. Tuttavia, molti criminali entrano nel crimine informatico perché paga.
Il 72% dei CISO riferisce che gli avversari che affrontano hanno chiaramente dei vantaggi quando si tratta di velocità. Perché non dovrebbe essere vero? I criminali possono attaccare a distanza, con più agilità e risorse rispetto alle aziende legittime che hanno vincoli normativi, budget fluttuanti e la necessità di bilanciare i controlli di sicurezza.
C’è un accordo schiacciante sul fatto che i criminali informatici abbiano aumentato le loro capacità di minaccia. Quasi tutti (96%) i CISO riferiscono che stanno affrontando un’industria commerciale ben organizzata che opera al di là della legge.
I criminali scrivono, aggiornano e possono integrare il proprio codice mentre i CISO generalmente non hanno la portata e le risorse per sviluppare i propri strumenti. Questo crea una dipendenza critica dai fornitori di sicurezza e domande costanti su quali strumenti siano più adatti alla loro organizzazione.
Cosa caratterizza una ‘buona sicurezza’?
Essere un difensore è sempre un lavoro difficile. Come ha detto un CISO, “Dobbiamo vincere ogni giorno, per ogni attacco, mentre l’hacker deve vincere solo una volta”. Questa situazione costringe molti CISO a rivalutare costantemente ciò che costituisce una “buona sicurezza”.
Nonostante la crescente sofisticazione di molti gruppi criminali, i CISO riconoscono anche che i processi di sicurezza di base – gestire la tecnologia legacy e applicare le patch ai sistemi vulnerabili – proteggono da molte delle minacce che devono affrontare. Essi riconoscono che questi passi sono la chiave per colmare il divario con i loro avversari.
Che sia il risultato dell’opposizione che ricevono o delle realtà che devono affrontare, la maggior parte dei CISO (71%) riferisce che le proprie idee sulla sicurezza si sono evolute.
Tuttavia, questa domanda è molto dibattuta. Più di un quarto dei CISO, il 29%, crede che una buona sicurezza sia ancora la stessa di sempre: focalizzata sulla gestione dei rischi – specialmente dove i dipendenti saranno sempre l’anello più debole di una rete – con le basi, piuttosto che affidarsi a nuove tecnologie di sicurezza. Altri sostengono che la buona sicurezza è cambiata in meglio, con sempre più stakeholder che riconoscono la sua importanza grazie a una migliore diffusione e formazione.
Una cosa su cui tutti i CISO hanno concordato è che loro e i loro team devono assumersi più responsabilità per qualsiasi incidente informatico che colpisce il business. Questa responsabilità esiste, nonostante il crescente numero di attacchi, le risorse limitate e un costante dibattito su ciò a cui dovrebbero dare priorità. Questo, in breve, è il dilemma del CISO.
Per suggerimenti su come mitigare i rischi in modo efficace, leggi il report CISO’s New Dawn
Categorie