La rilevanza della visibilità degli attacchi per mitigare i rischi in azienda

Durante la pandemia e il lockdown l’impegno di RSA è stato rivolto innanzitutto all’autenticazione forte degli utenti che in quel periodo operavano da remoto, così da garantire la loro sicurezza e la continuità produttiva. Al riguardo lo scenario rilevato è stato differente con, da un lato, gli utenti che disponevano di un pc aziendale conforme a tutte le policy dell’organizzazione che si sono ritrovati in una condizione migliore e, dall’altro, chi ha dovuto affrontare una situazione più complicata, come ad esempio la disponibilita’ di un pc personale e magari ad uso promiscuo in famiglia.  In particolare, in quest’ultimo caso si è assistito ad un aumento significativo della superficie di attacco (in alcuni casi ciò è avvenuto anche senza controllo). Inoltre, in entrambi gli scenari la connettivita’ di rete e la scelta dei provider e’ certamente fuori gestione del IT aziendale.

In situazioni come quelle appena descritte e’ diventato cruciale poi innalzare il livello di visibilita’ per comprendere l’effettivo livello di esposizione al rischio dell’azienda in una situazione nuova ed inaspettata in cui gli utenti e la stessa azienda cominciavano a rioperare.

I clienti con un maggiore grado di maturita’ hanno difatti aumentato il proprio livello di visibilità soprattutto nella parte end point oltre che di rete, senza tralasciare l’aggiunta di flussi di piu’ accurate informazioni di intelligence.

Non va, inoltre, dimenticato che, in una situazione emergenziale, in cui i dipendenti si sono ritrovati a dover affrontare anche particolari dinamiche familiari, si è avvertita ancora di più l’urgenza di prestare attenzione al tema delle competenze e alla formazione del dipendente che operava da remoto. In questo contesto, secondo RSA, si presentano molte opportunità per lavorare su uno degli anelli deboli della catena, l’utente. Nonostante tutti i controlli tecnici, gli attacchi ben preparati di social engineering hanno ancora un enorme successo, pertanto l’attenzione all’utente finale deve rimanere molto alta. Una mitigazione di rischio ottimale la si ottiene senza dubbio attraverso una costante revisione ed automazione dei processi che sono legati alla gestione e al governo dell’identità (governance e review degli accessi, provisioning, corretta segregazione dei permessi per accedere alle applicazioni, siano esse on premise o in cloud, ecc..).

Con l’attuale evoluzione delle minacce e dei relativi attacchi non e’ assolutamente affidabile la situazione in cui “ho il sospetto di un incidente solo quando ho uno o piu’ alert che sono scattati…”. Questo significherebbe aver “concepito” ed “implementato” sui nostri sistemi di monitoraggio tutte le possibili caratterizzazioni di un attacco presente e futuro.

È assulutamente necessario dedicare un tempo sufficiente ad una investigazione proattiva magari partendo proprio da alcune apparenti anomalie che vengono rilevate da una piattaforma di SIEM e di Threat Detection evoluta, oltre che a far uso di maggiori competenze di hunting presenti come servizi in RSA o sul mercato.

Non e’ sufficiente saper rispondere ad un incidente, serve anche imparare e aumentare il livello di skill, re-immettere all’interno del flusso di intelligence quelle informazioni cosi’ preziose che derivano proprio dalla gestione e risposta anche ai propri incidenti, oltre che sfruttare al meglio le tecnologie per poter innalzare il livello di visibilità ad un punto tale da consentire di comprendere se i controlli messi in atto per mitigare i rischi di cui è stato fatto l’assessment stiano effettivamente funzionando oppure no.

Infine, un ulteriore aspetto da sottolineare è legato ad una corretta gestione del rischio, soprattutto se legato alle terze parti, con cui sempre di più le aziende continueranno ad interagire e a confrontarsi. Non dimentichiamo che molti attacchi portati a buon fine hanno visto come veicolo principale proprio una terza parte con la quale l’azianda primaria lavora regolarmente. Non si dimentichi, del resto, che la pandemia ha evidenziato diversi rischi, che possono palesarsi ad una velocita’ inaspettata e, a cui l’azienda (e quindi anche una terza parte) può andare incontro. E’ richiesto tempo e risorse prima di riuscire a mitigarli adeguatamente e portarli ad una soglia accettabile per il business.

CONTRIBUTI

I contributi di questa sezione comprendono documenti, relazioni e sintesi di interventi effettuati dai Relatori delle Web Conferences, degli Eventi Territoriali e del DIGITAL ITALY SUMMIT promosso da The Innovation Group.

Essi possono includere, inoltre, articoli e Paper che abbiamo ritenuto di particolare interesse per aprire o contribuire al dibattito sulle politiche industriali e sull’impatto dell’innovazione tecnologica sul mercato e sull’industria del digitale sull’organizzazione delle imprese, della Pubblica Amministrazione, del Terzo Settore e del lavoro.


Per scoprire i nomi degli altri speaker filtra gli interventi per evento