Il pericolo di trascurare la sicurezza informatica della vostra organizzazione
Nel marzo 2021, la nave cargo Ever Given ha bloccato il Canale di Suez per quasi una settimana, causando un enorme impatto sull'infrastruttura dei container. Ciò ha provocato un'interruzione mondiale delle consegne di merci, dato che il 10% dell'economia mondiale passa per questo canale. Nell'intera catena di infrastrutture di consegna, l'impossibilità di passare attraverso il Canale di Suez potrebbe sembrare un'interruzione di poco conto, ma in realtà questa strozzatura ha bloccato fino a 10 miliardi di dollari di merci al giorno.
Vi starete chiedendo in che modo tutto ciò sia correlato alla cybersecurity e alle infrastrutture critiche. Proprio come in una catena di distribuzione, la sicurezza informatica delle infrastrutture critiche è forte quanto il suo anello più debole. Sentiamo sempre questo luogo comune, ma avete mai pensato che potreste essere voi l'anello più debole di una catena di infrastrutture critiche?
Potrebbe non essere naturale pensare alla propria organizzazione come parte di un'infrastruttura critica. Tuttavia, è probabile che siate un fornitore e che facciate parte di una grande catena collegata alle infrastrutture critiche. Può essere ancora più difficile considerarsi l'anello più debole della catena di fornitura, ma potete essere certi che gli aggressori stanno facendo questa analisi. Gli obiettivi ad alta visibilità sono generalmente più difficili da attaccare perché la loro maturità informatica tende a essere molto elevata. Pertanto, gli aggressori cercheranno altre vie per raggiungere gli obiettivi ad alta visibilità, e la vostra organizzazione potrebbe trovarsi nel mezzo.
Quali misure potete adottare per garantire che la vostra organizzazione non sia l'anello più debole della catena delle infrastrutture critiche?
In pratica, abbiamo osservato che molte organizzazioni fanno grande affidamento sui loro sistemi IT e OT, ma non sanno se stanno monitorando gli indicatori corretti di un attacco. Di conseguenza, non sono consapevoli di poter rilevare un attacco vero e proprio e, peggio ancora, potrebbero non rendersi conto di essere già stati compromessi. Di conseguenza, la risposta iniziale dei team di sicurezza è quella di cercare "di più": più strumenti, più monitoraggio, più informazioni e più personale. Tuttavia, questo approccio spesso porta a una maggiore confusione, più rumore e all'esaurimento del personale. È evidente che è necessario prendere decisioni più efficienti in termini di costi per quanto riguarda gli strumenti combinati con le capacità esistenti.
In KPMG siamo consapevoli delle sfide che le organizzazioni devono affrontare con le capacità esistenti e gli obiettivi informatici futuri. Per questo motivo abbiamo sviluppato il nostro approccio ESO (Effective Security Observability) per aiutarvi a identificare le vulnerabilità, aumentare le difese e migliorare la vostra postura di sicurezza, risolvendo il puzzle delle operazioni di sicurezza attraverso l'ottimizzazione del vostro panorama di sicurezza. Per saperne di più su come l'ESO può giovare alla vostra organizzazione e ottenere una visione più approfondita della vostra sicurezza informatica, scaricate il nostro whitepaper e parlate con uno dei nostri specialisti.
Alcuni di questi specialisti hanno anche presentato Vectra AI e KPMG hanno organizzato un webinar l'8 marzo per sensibilizzare l'opinione pubblica sui continui attacchi informatici che minacciano le infrastrutture critiche. La discussione ha esplorato i rischi che le minacce informatiche comportano per le organizzazioni e le infrastrutture critiche e ha presentato come il nostro approccio ESO, potenziato da Vectra AI, possa essere utile a queste organizzazioni. Il webinar è stato anche l'occasione per capire come il pubblico percepisce il panorama delle minacce e la propria posizione di sicurezza e per identificare i punti dolenti comuni. In questo blog post, condividiamo i risultati del webinar e discutiamo le implicazioni dei risultati.
L'aumento delle minacce informatiche che colpiscono le infrastrutture critiche: quali sono le maggiori preoccupazioni?
Il nostro primo obiettivo è stato quello di determinare quale tipo di attacco preoccupa maggiormente il pubblico. Le minacce meno preoccupanti sono gli attacchi phishing e le minacce interne, il che è interessante perché questi attacchi sono spesso interconnessi e non facilmente individuabili dagli strumenti di sicurezza da soli. Ad esempio, il phishing può essere utilizzato come metodo di accesso iniziale, che può portare a una minaccia persistente avanzata (APT) che installa il ransomware. È importante notare che le minacce costanti evolute e le minacce interne rappresentano categorie di attori delle minacce, mentre il phishing e il ransomware sono tecniche più legate agli attacchi. Tuttavia, ransomware e APT sono gli attacchi che destano maggiore preoccupazione: la metà dei partecipanti li ha citati.
Un altro aspetto affascinante è che questi attacchi sono collegati tra loro ma percepiti in modo diverso. Ad esempio, le minacce costanti evolutive possono utilizzare attacchi phishing o persino minacce interne per ottenere l'accesso iniziale e proseguire con l'installazione di ransomware come obiettivo finale. Tuttavia, le minacce costanti evolutive e i ransomware possono essere percepiti come più minacciosi per le organizzazioni a causa del loro maggiore impatto. Inoltre, sono in continua evoluzione e possono facilmente passare inosservati senza la giusta visibilità e i giusti strumenti. Per questo motivo ESO sta sfruttando l'Attack Signal IntelligenceTM di Vectra AI, che si concentra sul comportamento degli attacchi: rilevare gli attacchi sconosciuti che si propagano nell'ambiente e quindi essere in grado di individuare tali minacce e alleviare le preoccupazioni. Allo stesso tempo, il triage e la prioritizzazione guidati dall'AI consentono di ridurre il sovraccarico di informazioni e di consolidare le opzioni di utilizzo degli strumenti in modo più efficiente.
Continuando a parlare di attacchi informatici, abbiamo cercato di capire se il nostro pubblico avesse osservato un aumento della frequenza degli attacchi nell'ultimo anno. La conclusione è stata evidente: molte persone che lavorano nelle infrastrutture critiche hanno notato un aumento delle minacce informatiche che colpiscono il loro ambiente. Essere consapevoli dell'evoluzione del panorama delle minacce è essenziale, ma non è sufficiente. Le organizzazioni devono anche essere preparate ad affrontare concretamente queste sfide, un argomento che tratteremo in dettaglio più avanti in questo blog.
Digitalizzazione, persone e sicurezza: a che punto sono le organizzazioni?
Se si considerano sia lo scopo che il movente degli attacchi informatici, uno degli obiettivi più diffusi, spesso alimentato da incentivi economici, è quello di interrompere la continuità di un'organizzazione. Le organizzazioni più vulnerabili a questi attacchi tendono a fare molto affidamento sui processi digitalizzati. Per questo motivo, abbiamo voluto valutare la dipendenza del nostro pubblico dalla digitalizzazione.
Abbiamo scoperto che la maggior parte del nostro pubblico si affida a processi produttivi digitalizzati. La digitalizzazione è fondamentale sia per le infrastrutture critiche che per quelle non critiche, soprattutto alla luce dell'ondata di trasformazione digitale in corso. Riconoscere le motivazioni alla base dei cyberattacchi può aiutare le organizzazioni a comprendere meglio e a prepararsi alle potenziali minacce.
In KPMG e Vectra AI abbiamo osservato l'importanza della digitalizzazione all'interno della nostra base di clienti. Questo ci ha portato a indagare in che misura l'intera organizzazione, e non solo il consiglio di amministrazione, sia coinvolta nella definizione della strategia di sicurezza. Nel panorama odierno, l'IT e la cybersecurity dovrebbero essere rilevanti per tutti i membri di un'organizzazione, dal consiglio di amministrazione ai singoli dipendenti, e garantire che le voci dei CISO e degli altri professionisti della sicurezza siano ascoltate e considerate in tutta l'organizzazione.
I nostri risultati rivelano che il consiglio di amministrazione è sempre coinvolto nella definizione della strategia di sicurezza delle organizzazioni dei nostri partecipanti, ma il grado di coinvolgimento varia. Tuttavia, in un caso su tre, il coinvolgimento del consiglio di amministrazione in queste decisioni è limitato. Il coinvolgimento del consiglio di amministrazione nelle decisioni relative alla cybersecurity diventa ancora più critico se si considerano i regolamenti e le direttive in arrivo, come NIS2 e DORA. La sicurezza informatica deve essere una priorità assoluta sia per il consiglio di amministrazione che per i team di sicurezza, per garantire un approccio solido e completo alla sicurezza dell'organizzazione.
Le normative e le direttive in arrivo evidenziano la necessità di strategie e politiche di cybersecurity complete. Questo obiettivo può essere raggiunto solo attraverso la partecipazione attiva di tutta l'organizzazione, compreso il consiglio di amministrazione. Garantire che il consiglio di amministrazione sia pienamente coinvolto nelle decisioni in materia di cybersecurity contribuirà a creare una posizione di sicurezza più solida e a dimostrare la conformità ai requisiti normativi in evoluzione.
Per questo motivo, se consideriamo le potenziali conseguenze di un attacco informatico riuscito, come il ransomware, è fondamentale che la leadership dell'organizzazione affronti le domande chiave, tra cui: Quali sono i passi successivi a un attacco? L'organizzazione è disposta a pagare il riscatto? Se sì, quanto e chi è autorizzato a negoziare? Qual è il rischio che l'organizzazione è disposta ad accettare e dove si pone il limite?
Per rimanere in tema di persone, ci siamo chiesti anche come sia cambiato il carico di lavoro dei professionisti della sicurezza e dell'IT nell'ultimo anno e se questo abbia influito sulla posizione di sicurezza delle organizzazioni. La maggior parte degli intervistati ha indicato che il carico di lavoro dei professionisti della sicurezza e dell'IT è aumentato. Si tratta di un dato preoccupante, in quanto l'aumento del carico di lavoro porta tipicamente a lacune nella sicurezza e/o ad affaticamento del personale. Solo alcune organizzazioni hanno constatato che il livello di carico di lavoro è rimasto più o meno lo stesso, senza alcun impatto sulla sicurezza, e nessuna ha segnalato una diminuzione.
L'obiettivo delle organizzazioni dovrebbe essere quello di rendere più efficiente il lavoro del team di sicurezza e quindi di diminuire il carico di lavoro, cosa che non sta accadendo in nessuno di questi casi. Il nostro obiettivo con Vectra AI ed ESO è quello di rendere più efficaci i processi di rilevamento e di concentrarci sul risparmio di tempo e costi. È importante che le organizzazioni sappiano su cosa concentrarsi e quali cambiamenti devono apportare ai loro processi per facilitare una migliore postura di sicurezza, e questo è esattamente ciò che stiamo facilitando con il nostro approccio ESO.
Le organizzazioni sono preparate ad affrontare una minaccia informatica?
Per fornire il nostro approccio alle organizzazioni, dobbiamo prima capire le loro capacità attuali. Per valutare la posizione di sicurezza complessiva del pubblico, abbiamo chiesto l'efficacia dell'organizzazione nel rispondere alle minacce informatiche con la domanda: Sapete quanto è efficace la vostra organizzazione nel rispondere alle minacce informatiche?
Tenendo presente questa domanda, abbiamo notato che le organizzazioni che hanno partecipato al webinar hanno riconosciuto che potrebbero esserci delle lacune nella loro capacità di rispondere a determinati attacchi. Questo è prevedibile, poiché è difficile essere preparati ad attacchi sconosciuti a causa della mancanza di visibilità e delle lacune nell'ambiente di un'organizzazione. Inoltre, nessuno degli intervistati ha risposto di non essere preparato, il che dimostra che tutti sono consapevoli delle minacce informatiche e della necessità di adottare misure.
Tuttavia, pensare non equivale a dimostrare, il che ci porta a chiederci come le organizzazioni quantifichino l'efficacia dei loro professionisti della sicurezza nella gestione delle minacce informatiche.
La nostra indagine mostra che un'organizzazione su quattro non misura l'efficacia dei propri processi nella gestione delle minacce informatiche, il che significa che non è in grado di valutare con precisione la propria posizione di sicurezza. Si tratta di un risultato preoccupante, che conferma la nostra idea che pensare di essere efficaci non significa poterlo dimostrare.
Infine, abbiamo voluto individuare come il pubblico percepisce il cambiamento del panorama delle minacce per le organizzazioni di infrastrutture critiche nell'ultimo anno. Il pubblico condivide le nostre preoccupazioni per gli attacchi alle infrastrutture critiche e riconosce che esse rappresentano un vero e proprio obiettivo per i cyberattacchi. Implicitamente, sono consapevoli di dover essere preparati in caso di attacchi, ma come già dimostrato, questo non significa che lo siano.
Migliorate la vostra posizione di sicurezza con ESO e Vectra AI
Esaminando tutte le risposte, osserviamo una tendenza generale tra queste organizzazioni che è in linea con le nostre aspettative: mentre le organizzazioni sono consapevoli delle minacce che potrebbero affrontare, la maggior parte di loro riconosce che ci sono delle lacune nella loro capacità di rispondere ad esse. Inoltre, l'aumento del carico di lavoro dei professionisti della sicurezza e dell'IT sembra essere un approccio comune, ma come già detto, questo è in gran parte inefficace e nella maggior parte dei casi non porta a un miglioramento della postura di sicurezza. Di conseguenza, la domanda è: qual è il modo migliore per colmare queste lacune?
Il nostro approccio per affrontare questi problemi è l'Effective Security Observability (ESO). Grazie all'ESO, le organizzazioni ottengono la giusta visibilità sul proprio ambiente IT e rendono i processi più efficaci sapendo su cosa concentrarsi. La piattaforma Vectra AI si inserisce perfettamente negli obiettivi dell'ESO grazie alla sua Attack Signal IntelligenceTM (ASI), leader del settore, progettata per rilevare le minacce che sfuggono alle soluzioni di sicurezza tradizionali. Con l'ASI di Vectra AI, ESO consente di:
- Copertura della superficie di attacco - eliminazione delle minacce sconosciute su quattro delle cinque superfici di attacco - Cloud, SaaS, Identità e Reti - senza la necessità di agenti.
- Chiarezza con l'Attack Signal Intelligence - utilizzando il rilevamento guidato dall'AI per pensare come un attaccante, il triage guidato dall'AI per trovare ciò che è dannoso e la prioritizzazione guidata dall'AI per sapere cosa è urgente.
- Controllo intelligente con operazioni guidate dall'intelligenza artificiale: ottimizzazione degli investimenti dell'organizzazione in strumenti, processi e playbook per aumentare l'efficienza e l'efficacia del SOC.
La realizzazione dell'ESO nella vostra organizzazione richiede cinque fasi fondamentali:
- Visione - acquisire una visione dei requisiti aziendali e definire la strategia SOC.
- Convalidare - definire il modello operativo target dell'ESO e i requisiti tecnologici.
- Costruire - definire casi d'uso, flussi di lavoro, architettura della soluzione e integrazioni.
- Deploy - implementare l'impostazione tecnologica e le modalità di lavoro nella vostra organizzazione.
- Evolvere - realizzare il valore dell'ESO, stabilendo uno stato costante e un miglioramento continuo.
In pochi giorni, otterrete chiarezza sulle minacce alla sicurezza del vostro ambiente, preparandovi meglio agli attacchi che lo minacciano, riducendo il carico di lavoro del personale e colmando le vostre lacune.