Dall’osservatorio di VMware emerge, soprattutto nell’ultimo periodo, un aumento esponenziale degli attacchi cyber. A confermarlo sono anche dei dati relativi all’ Italia in cui la quasi totalità degli intervistati delle aziende campione ha dichiarato di aver subito almeno un attacco che nell’83% dei casi ha causato dei danni all’immagine e per un terzo del campione perdite finanziarie.
In molti casi (per il 90% dei rispondenti) si ritiene che la principale causa di questa tipologia di attacchi sia l’estensione del perimetro dovuta principalmente alla diffusione del remote working. In realtà con il Covid non sono emerse nuove problematiche, piuttosto sono state esacerbate quelle esistenti: vulnerabilità delle VPN, problemi di shortage sullo staff, attacchi persistenti legati a tecniche di contrattacco, attacchi ad aziende piccole – più deboli – che interagiscono con aziende più grandi. In modo particolare, un aspetto emerso viene sintetizzato nell’espressione «cybersecurity is broken» con cui si indica la molteplicità e diversità di soluzioni e strumenti di sicurezza (utilizzati in modo particolare dalle aziende di medie e grandi dimensioni) in un’ottica di prevenzione.
Dunque, in questo contesto ampio e all’interno di un perimetro in forte espansione (nell’ultimo periodo principalmente per il remote working ma già in precedenza con la migrazione del cloud) i rischi per le aziende sono molteplici con molte probabilità di subire conseguenze negative, uno scenario che induce a riflettere su quali soluzioni individuare per ridurre il perimetro e proteggere i propri confini.
Avere un grande vantaggio sui propri attaccanti comporta innanzitutto una conoscenza approfondita del proprio perimetro e dei propri dati e non soltanto, come già affermato, l’aggiunta di soluzioni o attività volte ad identificare eventuali minacce: si tratta di iniziative che comunque devono essere prese ma senza tuttavia dimenticare il contesto e di come le applicazioni e i dati stanno funzionando all’interno delle infrastrutture (che possono essere on premise, pubbliche, ibride, device mobili, ecc..).
In questo modo si riuscirebbe, dunque, ad analizzare il comportamento delle applicazioni all’interno di tutta la catena (dagli end point agli utenti, dalle identità all’accesso) e ciò in correlazione all’utilizzo di soluzioni di intelligenza artificiale e cloud (individuando anche le migliori modalità per proteggere il cloud).
Limitare, dunque, quello che viene definito “il rumore di fondo” e non concentrarsi esclusivamente sull’identificazione delle minacce (pur nella consapevolezza della rilevanza che tale attività rappresenta) permette di ridurre il perimetro d’attacco perché in questo modo l’utente, qualora dovessero verificarsi delle anomalie, riuscirebbe ad intervenire con grande precisione. La raccomandazione è, quindi, quella di spostarsi da un approccio legato alla ricerca del malware ad uno basato sull’analisi di cosa stia effettivamente funzionando nell’infrastruttura (security by design e by default), partendo sempre dal presupposto che è l’infrastruttura stessa a dare il contesto di quanto sta accadendo, permettendo di aumentare la visibilità.
Oltre alla riduzione dei tool di sicurezza bisogna, inoltre, promuovere una maggiore collaborazione tra i team di sicurezza e IT, intervenendo sui silos.
Infine, accanto al concetto di distanziamento sociale, sarà bene citare anche quello del distanziamento digitale: in seguito al lockdown, che ha costretto le persone a lavorare e studiare da remoto, le mura domestiche sono diventate i principali luoghi di lavoro, facendo così emergere l’esigenza di separare vita privata e professionale e di avere una doppia connettività.