Il pericolo di trascurare la sicurezza informatica della tua organizzazione
Nel marzo 2021, la nave da carico Ever Given ha bloccato il Canale di Suez per quasi una settimana, causando un enorme impatto sull'infrastruttura dei container. Ciò ha provocato un'interruzione a livello mondiale delle consegne di merci, poiché il 10% dell'economia mondiale transita attraverso questo canale. Nell'intera catena dell'infrastruttura di consegna, l'impossibilità di attraversare il Canale di Suez potrebbe sembrare una piccola interruzione, ma in realtà questo unico collo di bottiglia ha bloccato fino a 10 miliardi di dollari di merci al giorno.
Forse vi starete chiedendo in che modo tutto questo sia collegato alla sicurezza informatica e alle infrastrutture critiche. Proprio come in una catena di distribuzione, la sicurezza informatica delle infrastrutture critiche è forte solo quanto il suo anello più debole. Sentiamo ripetere questo cliché continuamente, ma avete mai pensato che potreste essere voi l'anello più debole di una catena di infrastrutture critiche?
Potrebbe non sembrare naturale pensare alla propria organizzazione come parte di un'infrastruttura critica. Tuttavia, è probabile che siate un fornitore e parte di una grande catena collegata a un'infrastruttura critica. Potrebbe essere ancora più difficile considerarsi l'anello più debole della catena di fornitura, ma potete stare certi che gli aggressori stanno facendo questa analisi. Gli obiettivi con un'elevata visibilità sono generalmente più difficili da attaccare perché la loro maturità informatica tende ad essere molto elevata. Pertanto, gli aggressori cercheranno altre vie per raggiungere gli obiettivi ad alta visibilità e la vostra organizzazione potrebbe trovarsi nel mezzo.
Quali misure puoi adottare per garantire che la tua organizzazione non sia l'anello più debole della catena delle infrastrutture critiche?
Nella pratica, abbiamo osservato che molte organizzazioni dipendono fortemente dai propri sistemi IT e OT, ma non sono sicure di monitorare gli indicatori corretti di un attacco. Di conseguenza, non sanno se sono in grado di rilevare un attacco effettivo e, cosa ancora peggiore, potrebbero non rendersi conto di essere già state compromesse. Di conseguenza, la risposta iniziale dei team di sicurezza è quella di cercare "DI PIÙ": più strumenti, più monitoraggio, più informazioni e più personale. Tuttavia, questo approccio spesso porta a una maggiore confusione, più rumore e burnout del personale. È chiaro che c'è bisogno di un processo decisionale più efficiente in termini di costi sugli strumenti, combinato con le capacità esistenti.
Noi di KPMG comprendiamo le sfide che le organizzazioni devono affrontare con le capacità esistenti e gli obiettivi futuri in materia di sicurezza informatica. Ecco perché abbiamo sviluppato il nostro approccio Effective Security Observability (ESO) per aiutarti a identificare le vulnerabilità, potenziare le difese e migliorare il tuo livello di sicurezza, risolvendo il rompicapo delle operazioni di sicurezza attraverso l'ottimizzazione del tuo panorama di sicurezza. Per saperne di più su come ESO può essere vantaggioso per la tua organizzazione e ottenere una visione più approfondita della tua sicurezza informatica, scarica il nostro white paper e parla con uno dei nostri specialisti.
Alcuni di questi specialisti hanno anche presentato Vectra AI KPMG ha co-ospitato un webinar l'8 marzo per sensibilizzare l'opinione pubblica sugli attacchi informatici in corso che minacciano le infrastrutture critiche. La discussione ha esplorato i rischi che le minacce informatiche comportano per le organizzazioni e le infrastrutture critiche e ha presentato i vantaggi che il nostro approccio ESO, basato su Vectra AI, può offrire a queste organizzazioni. Il webinar ha anche offerto l'opportunità di conoscere la percezione del pubblico riguardo al panorama delle minacce e alla propria posizione in materia di sicurezza, nonché di identificare i punti critici comuni. In questo post del blog condividiamo i risultati del webinar e discutiamo le implicazioni dei risultati ottenuti.
L'aumento delle minacce informatiche rivolte alle infrastrutture critiche: quali sono le principali preoccupazioni?
Il nostro primo obiettivo era determinare quale tipo di attacco fosse più preoccupante per il pubblico. Le minacce meno preoccupanti sono phishing e le minacce interne, il che è interessante perché questi attacchi sono spesso interconnessi e non facilmente rilevabili dagli strumenti di sicurezza da soli. Ad esempio, phishing essere utilizzato come metodo di accesso iniziale, portando potenzialmente a una minaccia persistente avanzata (APT) che installa un ransomware. È importante notare che le APT e le minacce interne rappresentano categorie di attori di minacce, mentre phishing il ransomware sono tecniche più legate agli attacchi. Tuttavia, il ransomware e le APT sono gli attacchi che destano maggiore preoccupazione: la metà dei partecipanti li ha menzionati.
Un altro aspetto interessante è che questi attacchi sono correlati tra loro, ma vengono percepiti in modo diverso. Ad esempio, gli APT possono utilizzare phishing o persino minacce interne per ottenere l'accesso iniziale e possono continuare con l'installazione di ransomware come obiettivo finale. Tuttavia, gli APT e il ransomware possono essere percepiti come più minacciosi per le organizzazioni a causa del loro maggiore impatto. Inoltre, sono in continua evoluzione e possono facilmente passare inosservati senza la giusta visibilità e gli strumenti adeguati. Questo è il motivo per cui ESO sta sfruttando Attack Signal IntelligenceTM Vectra AI, che si concentra sul comportamento degli attacchi: rilevare attacchi sconosciuti che si propagano nell'ambiente e quindi essere in grado di rilevare tali minacce e alleviare le preoccupazioni. Allo stesso tempo, la selezione e la prioritizzazione basate sull'intelligenza artificiale consentono un minor sovraccarico di informazioni e opzioni di consolidamento per un uso più efficiente degli strumenti.
Continuando con il tema degli attacchi informatici, abbiamo cercato di capire se il nostro pubblico avesse osservato un aumento della frequenza degli attacchi nell'ultimo anno. La conclusione è stata evidente: molte persone che lavorano in infrastrutture critiche hanno notato un aumento delle minacce informatiche rivolte al loro ambiente. Sebbene sia essenziale essere consapevoli dell'evoluzione del panorama delle minacce, ciò non è sufficiente. Le organizzazioni devono anche essere preparate ad affrontare concretamente queste sfide, un argomento che tratteremo più dettagliatamente più avanti in questo blog.
Digitalizzazione, persone e sicurezza: a che punto sono le organizzazioni?
Se si considerano sia lo scopo che il movente degli attacchi informatici, uno degli obiettivi più diffusi, spesso alimentato da incentivi economici, è quello di interrompere la continuità operativa di un'organizzazione. Le organizzazioni più vulnerabili a questi attacchi tendono a fare ampio ricorso ai processi digitalizzati. Pertanto, abbiamo voluto valutare il grado di dipendenza del nostro pubblico dalla digitalizzazione.
Abbiamo scoperto che la maggior parte del nostro pubblico si affida a processi di produzione digitalizzati. La digitalizzazione è fondamentale sia per le infrastrutture critiche che per quelle non critiche, in particolare alla luce della continua crescita della trasformazione digitale. Riconoscere le motivazioni alla base degli attacchi informatici può aiutare le organizzazioni a comprendere meglio e a prepararsi alle potenziali minacce.
In KPMG e Vectra AI abbiamo osservato l'importanza della digitalizzazione all'interno della nostra base clienti. Questo ci ha portato a indagare in che misura l'intera organizzazione, e non solo il consiglio di amministrazione, sia coinvolta nella definizione della strategia di sicurezza. Nel panorama odierno, l'IT e la sicurezza informatica dovrebbero essere rilevanti per tutti i membri di un'organizzazione, dal consiglio di amministrazione ai singoli dipendenti, e garantire che le opinioni dei CISO e degli altri professionisti della sicurezza siano ascoltate e prese in considerazione in tutta l'organizzazione.
I nostri risultati rivelano che il consiglio di amministrazione è sempre coinvolto nella definizione della strategia di sicurezza delle organizzazioni dei nostri partecipanti, ma il grado di coinvolgimento varia. Tuttavia, in un caso su tre, il coinvolgimento del consiglio di amministrazione in queste decisioni è limitato. Il coinvolgimento del consiglio di amministrazione nelle decisioni relative alla sicurezza informatica diventa ancora più critico se si tengono presenti le normative e le direttive imminenti, come NIS2 e DORA. La sicurezza informatica dovrebbe essere una priorità assoluta sia per il consiglio di amministrazione che per i team di sicurezza, al fine di garantire un approccio solido e completo alla sicurezza dell'organizzazione.
Le normative e le direttive di prossima introduzione sottolineano la necessità di strategie e politiche complete in materia di sicurezza informatica. Ciò può essere ottenuto solo attraverso la partecipazione attiva dell'intera organizzazione, compreso il consiglio di amministrazione. Garantire il pieno coinvolgimento del consiglio di amministrazione nelle decisioni relative alla sicurezza informatica contribuirà a creare una posizione di sicurezza più solida e a dimostrare la conformità ai requisiti normativi in continua evoluzione.
Pertanto, quando consideriamo le potenziali conseguenze di un attacco informatico riuscito, come un ransomware, è fondamentale che la leadership dell'organizzazione affronti alcune questioni chiave, tra cui: quali sono i passi successivi dopo un attacco? L'organizzazione è disposta a pagare il riscatto? Se sì, quanto e chi è autorizzato a negoziare? Quanto rischio è disposta ad accettare l'organizzazione e dove si traccia il confine?
Rimanendo in tema di risorse umane, ci siamo anche chiesti come sia cambiato il carico di lavoro dei professionisti della sicurezza e dell'IT nell'ultimo anno e se ciò abbia influito sulla sicurezza delle organizzazioni. La maggior parte degli intervistati ha indicato che il carico di lavoro dei professionisti della sicurezza e dell'IT è aumentato. Ciò è preoccupante, poiché un aumento del carico di lavoro comporta solitamente lacune nella sicurezza e/o affaticamento del personale. Solo poche organizzazioni hanno riscontrato che il livello di carico di lavoro è rimasto pressoché invariato, senza alcun impatto sulla sicurezza, e nessuna di esse ha segnalato una diminuzione.
Le organizzazioni dovrebbero concentrarsi sul rendere più efficiente il lavoro del team di sicurezza e quindi ridurre il carico di lavoro, cosa che non sta avvenendo in nessuno di questi casi. Il nostro obiettivo con Vectra AI ESO è rendere più efficaci i processi di rilevamento e concentrarci sul risparmio di tempo e costi. È importante che le organizzazioni sappiano su cosa concentrarsi e quali cambiamenti devono apportare ai loro processi per facilitare una migliore posizione di sicurezza, ed è esattamente ciò che stiamo facilitando con il nostro approccio ESO.
Di fronte a una minaccia informatica, le organizzazioni sono preparate?
Per proporre il nostro approccio alle organizzazioni, dobbiamo prima comprendere le loro attuali capacità. Per valutare il livello complessivo di sicurezza del pubblico, abbiamo chiesto informazioni sull'efficacia dell'organizzazione nel rispondere alle minacce informatiche con la domanda: Sapete quanto è efficace la vostra organizzazione nel rispondere alle minacce informatiche?
Tenendo presente questa domanda, abbiamo notato che le organizzazioni che hanno partecipato al webinar hanno riconosciuto che potrebbero esserci delle lacune nella loro capacità di rispondere a determinati attacchi. Ciò è prevedibile, poiché è difficile essere preparati ad attacchi sconosciuti a causa della mancanza di visibilità e delle lacune nell'ambiente di un'organizzazione. Inoltre, nessuno degli intervistati ha risposto di non essere preparato, il che dimostra che tutti sono consapevoli delle minacce informatiche e della necessità di adottare misure adeguate.
Tuttavia, pensare non equivale a dimostrare, il che ci porta a chiederci in che modo le organizzazioni quantificano l'efficacia dei propri professionisti della sicurezza nella gestione delle minacce informatiche.
Il nostro sondaggio mostra che un'organizzazione su quattro non misura l'efficacia dei propri processi nella gestione delle minacce informatiche, il che significa che non è in grado di valutare accuratamente il proprio livello di sicurezza. Si tratta di un risultato preoccupante, poiché conferma la nostra idea che ritenersi efficaci non significa poterlo dimostrare con prove concrete.
Infine, abbiamo voluto identificare come il pubblico percepisce il cambiamento nel panorama delle minacce per le organizzazioni che gestiscono infrastrutture critiche nell'ultimo anno. Il pubblico condivide le nostre preoccupazioni riguardo agli attacchi alle infrastrutture critiche e riconosce che queste rappresentano un bersaglio reale per gli attacchi informatici. Implicitamente, è consapevole della necessità di essere preparato in caso di attacchi, ma come dimostrato in precedenza, ciò non significa che lo sia effettivamente.
Migliora il tuo livello di sicurezza con ESO e Vectra AI
Esaminando tutte le risposte, osserviamo una tendenza generale tra queste organizzazioni che è in linea con le nostre aspettative: sebbene le organizzazioni siano consapevoli delle minacce che potrebbero dover affrontare, la maggior parte di esse riconosce che esistono delle lacune nella propria capacità di rispondere a tali minacce. Inoltre, aumentare il carico di lavoro dei professionisti della sicurezza e dell'IT sembra essere un approccio comune, ma, come menzionato sopra, questo è in gran parte inefficace e nella maggior parte dei casi non porta a un miglioramento della postura di sicurezza. Quindi, la domanda è: qual è il modo migliore per colmare queste lacune?
Il nostro approccio per affrontare questi problemi è l'Effective Security Observability (ESO). Grazie all'ESO, le organizzazioni ottengono la giusta visibilità sul proprio ambiente IT e rendono i propri processi più efficaci sapendo su cosa concentrarsi. In questo senso, la Vectra AI si adatta perfettamente agli obiettivi dell'ESO con il suo Attack Signal IntelligenceTM (ASI), leader del settore, progettato per rilevare le minacce che sfuggono alle soluzioni di sicurezza tradizionali. Con l'ASI Vectra AI, l'ESO consente di:
- Copertura della superficie di attacco: eliminazione delle minacce sconosciute su quattro delle cinque superfici di attacco ( Cloud, SaaS, identità e reti) senza necessità di agenti.
- Chiarezza con Attack Signal Intelligence utilizzo del rilevamento basato sull'intelligenza artificiale per pensare come un aggressore, triage basato sull'intelligenza artificiale per individuare ciò che è dannoso e definizione delle priorità basata sull'intelligenza artificiale per capire cosa è urgente.
- Controllo intelligente con operazioni basate sull'intelligenza artificiale: ottimizzazione degli investimenti della vostra organizzazione in strumenti, processi e playbook per aumentare l'efficienza e l'efficacia del SOC.
Per implementare l'ESO nella tua organizzazione sono necessari cinque passaggi fondamentali:
- Visione: acquisire informazioni dettagliate sui requisiti aziendali e definire la strategia SOC.
- Convalidare: definire il modello operativo target ESO e i requisiti tecnologici.
- Costruire: definire casi d'uso, flussi di lavoro, architettura delle soluzioni e integrazioni.
- Implementazione: implementare la configurazione tecnologica e le modalità di lavoro nella vostra organizzazione.
- Evolvere: realizzare il valore dell'ESO, stabilendo uno stato stabile e un miglioramento continuo.
In pochi giorni potrai avere una visione chiara delle minacce alla sicurezza nel tuo ambiente, preparandoti così meglio agli attacchi che lo mettono a rischio, riducendo il carico di lavoro del personale e colmando le lacune.