Rapporto di ricerca sui responsabili della sicurezza: all'altezza della situazione o in ritardo sui tempi?

Adatto allo scopo o in ritardo sui tempi?

Scoprire come le organizzazioni odierne stanno affrontando le complesse minacce informatiche dei nostri tempi

Sintesi

Il genio è ormai fuori dalla lampada. Gli esperti ritengono che nel corso del 2020 molte aziende abbiano superato una sorta di “punto di svolta tecnologico” che ha accelerato la digitalizzazione di diversi anni. Le aziende cambieranno per sempre in meglio. Ma ci sono anche cattive notizie. La stessa trasformazione digitale che sta alimentando l’innovazione sta anche ampliando la superficie di attacco. Dalla rapida proliferazione del cloud crescente adozione di microservizi, DevOps e API, si stanno aprendo nuove nicchie di opportunità di cui gli autori delle minacce possono approfittare. E lo stanno facendo come mai prima d’ora.

La stessa trasformazione digitale che sta alimentando l'innovazione sta anche ampliando la superficie di attacco.
‍

Gli account Microsoft 365 compromessi rappresentano oggi il principale vettore di minaccia alla sicurezza nel cloud, con un aumento del 98% delle credenziali compromesse tra il 2018 e il 2020. Esistono molteplici punti ciechi negli ambienti cloud – spesso configurati in modo errato – che offrono ancora più opportunità agli autori delle minacce. Inoltre, nel 2020 il ransomware ha registrato un aumento del 150% su base annua, con un raddoppio degli importi medi richiesti a titolo di estorsione.

Questo è importante perché le violazioni possono causare danni su vasta scala. Possono compromettere le operazioni, danneggiare le catene di approvvigionamento, minare la fiducia dei clienti ed esporre le aziende a sanzioni normative. Inoltre, oggi gli attacchi informatici comportano costi ingenti: si stima infatti che la cifra media per ogni incidente sia pari a 4,2 milioni di dollari (3 milioni di sterline). Gli attacchi ransomware che comportano il furto di dati e lunghe interruzioni operative possono arrivare a costare molte volte di più. Alcune aziende hanno segnalato perdite dell'ordine di decine di milioni di sterline. Non sorprende che la sicurezza informatica sia ormai una questione di cui si occupa il consiglio di amministrazione.

Purtroppo per i CISO, i vecchi metodi di difesa dagli attacchi non sono più altrettanto efficaci. Che si tratti di sfruttamento delle vulnerabilità di sistema, phishing, utilizzo di account rubati o aggiramento dell'autenticazione a più fattori (MFA), c'è sempre un modo per entrare. E una volta all'interno, i criminali informatici sono maestri nel nascondersi: innovano costantemente, quindi la sicurezza informatica deve evolversi continuamente per stare al passo.

Per approfondire il modo in cui i responsabili della sicurezza stanno affrontando queste minacce in continua evoluzione, Vectra ha incaricato Sapio Research di intervistare 1.800 responsabili delle decisioni in materia di sicurezza informatica che operano in organizzazioni con oltre 1.000 dipendenti in Francia, Italia, Spagna, Germania, Svezia, Arabia Saudita e Stati Uniti, e con oltre 500 dipendenti nei Paesi Bassi, in Australia e in Nuova Zelanda.

Gli attacchi ransomware che comportano il furto di dati e lunghe interruzioni dell'attività operativa possono finire per costare molte volte di più dei 4,2 milioni di dollari (3 milioni di sterline) stimati.

In questo rapporto dimostreremo che:

• È ora di cambiare le regole del gioco quando si tratta di affrontare gli autori degli attacchi. Il settore della sicurezza non riesce a stare al passo con le tattiche, le tecniche e le procedure (TTP) della criminalità informatica, rendendo più difficile che mai proteggersi dalle minacce moderne.
• Il tradizionale approccio incentrato sulla prevenzione mette a rischio le organizzazioni. Gli strumenti e la mentalità tradizionali rappresentano un ostacolo nel nuovo panorama delle minacce. Eppure, molti continuano a investire eccessivamente in strategie di prevenzione destinate al fallimento, che falliscono in modo silenzioso e li lasciano esposti al rischio di violazioni.
• I responsabili della sicurezza devono sensibilizzare il consiglio di amministrazione. Il consiglio di amministrazione sta prendendo coscienza dei rischi legati agli attacchi informatici, ma non è composto da esperti in materia. I responsabili della sicurezza devono trovare modi più efficaci per comunicare tali rischi e fornire indicazioni su come mitigarli al meglio.
• Le autorità di regolamentazione stanno sostenendo gli sforzi in materia di sicurezza informatica. I responsabili della sicurezza sono fiduciosi che le autorità stiano elaborando una legislazione efficace, ma, in definitiva, è la mentalità da hacker, unita a un rilevamento e a una risposta rapidi, a garantire le migliori possibilità di successo.

Dati salienti:

• L'83% ritiene che gli approcci tradizionali non garantiscano protezione contro le minacce moderne e che sia necessario cambiare radicalmente il modo di affrontare gli attacchi
• Il 79% dei responsabili delle decisioni in materia di sicurezza ha acquistato strumenti che non hanno mantenuto le promesse, citando come motivi una scarsa integrazione, l'incapacità di rilevare gli attacchi moderni e la mancanza di visibilità
• Il 72% ritiene di aver subito una violazione dei dati senza esserne a conoscenza — il 43% ritiene che ciò sia «probabile»
• L'87% degli intervistati afferma che i recenti attacchi di grande risonanza hanno indotto il consiglio di amministrazione a prestare la dovuta attenzione alla sicurezza informatica
• L'83% ritiene che le decisioni del consiglio di amministrazione in materia di sicurezza siano influenzate dai rapporti già esistenti con i fornitori storici di soluzioni di sicurezza e IT

La trasformazione digitale sta accelerando il ritmo del cambiamento. Tuttavia , le aziende non sono le uniche a innovare: anche i criminali informatici lo fanno. Con l’evolversi del panorama delle minacce, le difese tradizionali si rivelano sempre più inefficaci. Le organizzazioni hanno bisogno di strumenti moderni in grado di far luce sui punti ciechi e garantire visibilità dal cloud on-premise. Hanno bisogno di responsabili della sicurezza che sappiano parlare il linguaggio del rischio aziendale. E di consigli di amministrazione disposti ad ascoltarli. E una strategia tecnologica basata sulla consapevolezza che la violazione non è una questione di "se", ma di "quando" avverrà. Tim Wade, Vice CTO, Vectra AI

È ora di cambiare le regole del gioco quando si tratta di affrontare gli aggressori

La corsa agli armamenti in atto nel campo della sicurezza informatica richiede un'innovazione costante da entrambe le parti. Un'economia della criminalità informatica che genera profitti per trilioni di dollari all'anno offre un terreno fertile per la diffusione e la proliferazione di nuove tattiche, tecniche e procedure (TTP). In che modo il settore sta affrontando la sfida di difendersi da questo bersaglio in continuo mutamento?

Molti intervistati ritengono che il settore sia in ritardo. Più di otto su dieci (83%) hanno giustamente riconosciuto che gli approcci tradizionali non offrono protezione contro le minacce moderne e che è necessario «cambiare le regole del gioco quando si tratta di affrontare gli aggressori». A conferma di ciò, il 71% ritiene che i criminali informatici stiano superando gli attuali strumenti e che l'innovazione in materia di sicurezza sia in ritardo di anni rispetto a quella degli hacker. Un ulteriore 71% ritiene che le linee guida, le politiche e gli strumenti di sicurezza non riescano a stare al passo con le TTP (tattiche, tecniche e procedure) degli autori delle minacce.

Non sorprende forse che oltre tre quarti (79%) dei responsabili della sicurezza abbiano dichiarato di aver acquistato strumenti che non hanno mantenuto le promesse, indicando come motivi principali l'incapacità di rilevare gli attacchi moderni, la capacità di prevenire solo minacce di basso livello e la scarsa integrazione con altri strumenti.

I tre motivi principali per cui gli strumenti di sicurezza non mantengono le promesse:

1. Mancata individuazione degli attacchi moderni
2. Ha bloccato solo minacce di basso livello
3. Scarsa integrazione con altri strumenti

Nonostante queste difficoltà, si stanno compiendo progressi. Tra il 74% degli intervistati che ha subito un evento che ha richiesto un intervento significativo in caso di incidente, il 43% è stato avvisato del problema dai propri strumenti di sicurezza. Si tratta di uno sviluppo positivo. Nel 2015, alcune ricerche indicavano che il 70% degli incidenti relativi a violazioni di sicurezza veniva scoperto da terzi. Pertanto, gli strumenti di rilevamento e risposta stanno funzionando meglio. Tuttavia, è anche vero che ciò che funzionava ieri potrebbe non funzionare oggi.

Il panorama delle minacce è dinamico e mutevole, quindi è giusto adottare un approccio basato sul presupposto che la violazione sia già avvenuta. Non esiste una protezione totale. Se un autore di minacce determinato vuole penetrare nella vostra rete oggi, di solito ci riesce. Ci sono semplicemente troppi vettori di attacco su cui può fare affidamento e troppe risorse potenzialmente non gestite e poco protette da prendere di mira. Ha il vantaggio di poter contare sui progressi nel campo del malware, su set di strumenti automatizzati e su modelli "as-a-service", che hanno aperto le porte anche ai principianti in materia di tecnologia. Ecco perché è fondamentale dare la caccia agli aggressori nascosti nelle vostre reti per trovare gli aghi nel pagliaio." Tim Wade, Vice CTO, Vectra AI

Inoltre, oltre i due quinti (42%) degli intervistati si sono detti molto fiduciosi che il proprio portafoglio di strumenti sia in grado di rilevare e proteggere dalle minacce utilizzate negli attacchi a Kaseya, SolarWinds e JBS. Un ulteriore 37% si è detto pienamente fiducioso di avere una visione completa di tutte le minacce che la propria organizzazione deve affrontare.

Il tradizionale approccio incentrato sulla prevenzione mette a rischio le organizzazioni

Recentemente sono stati compiuti progressi nelle tecniche di attacco che consentono agli hacker di aggirare con relativa facilità le tecnologie di prevenzione, come l'autenticazione a più fattori. Tuttavia, continua a prevalere la mentalità tradizionale incentrata sulla prevenzione. Sebbene le organizzazioni debbano continuare ad adottare misure preventive, come l'abilitazione dell'autenticazione a più fattori, queste non sono sufficienti se considerate isolatamente.

Rimane diffusa la convinzione che, se un hacker riesce ad accedere alla rete aziendale, l'azienda abbia già perso la partita. Di conseguenza, il 50% degli intervistati ha dichiarato di investire di più nella prevenzione che nell'individuazione delle minacce, mentre solo un quinto (22%) investe di più nell'individuazione e meno di un terzo (29%) circa lo stesso importo.

Questo è un tipico esempio di mentalità obsoleta potenzialmente dannosa. Nell'attuale panorama delle minacce, è quasi impossibile mettere in atto una strategia di prevenzione efficace al 100%. I criminali informatici dispongono semplicemente di troppi modi per introdursi nei sistemi: dallo sfruttamento delle vulnerabilità all'ingegneria sociale. L'uso di credenziali rubate o ottenute con attacchi di forza bruta, unito alla facilità con cui riescono ad aggirare l'autenticazione a più fattori (MFA), fa sì che spesso non facciano scattare alcunmalware . Una volta entrati nelle reti, possono poi avvalersi di strumenti e tecniche legittimi per rimanere nascosti.

Tuttavia, la maggior parte degli intervistati è consapevole che la prevenzione non può essere efficace al 100%. Oltre due terzi (72%) degli intervistati ritiene di aver subito una violazione senza saperlo – il 43% di questi ritiene che sia probabile. Inoltre, il 62% degli intervistati ritiene che la sicurezza preventiva tradizionale stia diventando obsoleta, poiché gli hacker hanno accesso a tali strumenti e possono quindi ideare modi per aggirarli. Ciò suggerisce che si sta verificando un importante cambiamento di mentalità.

I responsabili della sicurezza devono informare il consiglio di amministrazione sulle minacce attuali

Non è solo la mentalità antiquata dei reparti di sicurezza a esporre i team a potenziali rischi. Anche i tradizionali modelli di pensiero verticistici e la cultura aziendale possono avere un impatto negativo. L'83% degli intervistati ritiene che le decisioni in materia di sicurezza informatica prese dai propri consigli di amministrazione siano influenzate dai rapporti esistenti con i fornitori storici. Più della metà (54%) ritiene che il consiglio di amministrazione sia in ritardo di un decennio quando si tratta di discutere di sicurezza.

Anche i tradizionali modelli di pensiero verticistici e la cultura aziendale possono avere un impatto negativo.

Ciò evidenzia l'urgente necessità che i team di sicurezza informino il consiglio di amministrazione sulle nuove minacce che l'organizzazione deve affrontare e sulle strategie di difesa più efficaci. Tuttavia, ciò potrebbe rappresentare una sfida. Quasi due terzi (61%) degli intervistati hanno affermato che è difficile comunicare al consiglio di amministrazione il valore della sicurezza, poiché si tratta di un aspetto notoriamente difficile da misurare. Ciò suggerisce che la comunicazione tra il consiglio di amministrazione e i team di sicurezza continui a rappresentare una sfida.

Più della metà (54%) ha dichiarato di ritenere che il consiglio di amministrazione sia in ritardo di un decennio per quanto riguarda le discussioni sulla sicurezza.

Sebbene sia certamente vero che comunicare e misurare il valore della sicurezza non sia sempre semplice, è possibile valutare specifiche capacità di sicurezza. Per farlo nel modo più efficace, i responsabili della sicurezza devono sempre cercare di allineare i propri indicatori agli obiettivi aziendali, quantificandoli in base al rischio in modo che risultino convincenti. In caso contrario, è probabile che il consiglio di amministrazione non stanzi i fondi necessari per le nuove tecnologie.

Tuttavia, vi sono segnali che indicano che la situazione potrebbe cambiare, grazie alla maggiore attenzione da parte dei media. Circa l'87% degli intervistati ha affermato che i recenti attacchi di grande risonanza hanno indotto il consiglio di amministrazione a iniziare a prestare la dovuta attenzione alla sicurezza informatica.

Il 92% degli intervistati è grato a queste organizzazioni per averli aiutati a distinguere i fornitori validi da quelli mediocri.

Fortunatamente, la competenza dei partner di canale si sta rivelando preziosa nel contrastare l’impatto negativo degli atteggiamenti tradizionali del consiglio di amministrazione. Circa il 92% degli intervistati è grato per la guida fornita da queste organizzazioni nell'aiutarli a distinguere i fornitori validi da quelli mediocri. Le organizzazioni di canale offrono ai clienti nuove opportunità di esplorare diversi tipi di tecnologia, utilizzando le loro relazioni commerciali per organizzare demo anticipate e prove di fattibilità. I loro team sono solitamente ben formati e altamente motivati, apportando competenze aggiuntive in un momento in cui i team interni di sicurezza informatica delle aziende stanno faticando a causa della carenza di competenze.

Nonostante la complessità della normativa, le autorità di regolamentazione sono sulla strada giusta

A seconda del tipo di organizzazione per cui lavorano, il ruolo dei professionisti della sicurezza informatica può essere fortemente influenzato da un complesso intreccio di disposizioni normative e legislative. Secondo i dati della Conferenza delle Nazioni Unite sul Commercio e lo Sviluppo (UNCTAD), 156 paesi (l'80%) hanno adottato una qualche forma di legislazione in materia di sicurezza informatica. Ma in assenza di leggi internazionali generali attualmente in vigore, i professionisti della sicurezza devono attenersi a norme e regolamenti diversi nelle varie regioni, rendendo la conformità a livello mondiale un compito arduo.

Di recente, il Regolamento generale sulla protezione dei dati (GDPR) dell’UE ha inasprito notevolmente le conseguenze delle violazioni dei dati, prevedendo sanzioni potenzialmente astronomiche per le aziende inadempienti. Inoltre, la direttiva UE sulla sicurezza delle reti e dell’informazione (NIS), attualmente in fase di revisione, stabilisce nuovi requisiti minimi per gli “operatori di servizi essenziali” in vari settori. Sebbene incentrato sull’UE, il GDPR in particolare è stato implementato per salvaguardare i dati dei cittadini e dei residenti dell’UE ovunque siano archiviati – il che significa che ha implicazioni globali per le organizzazioni internazionali.

Tuttavia, a livello globale si registra un ampio sostegno nei confronti delle autorità di regolamentazione e dei legislatori in materia di sicurezza informatica. Più di tre quarti (76%) ritengono che le autorità di regolamentazione abbiano una comprensione sufficientemente solida della vita "in prima linea" per poter redigere leggi destinate ai professionisti della sicurezza informatica. Un ulteriore 65% ritiene che, in quanto esperti, i legislatori siano ben attrezzati per prendere decisioni sulle normative relative alla sicurezza informatica. Il consenso sembra quindi essere che, sebbene le leggi sulla sicurezza informatica siano impegnative sia da attuare che da seguire, attualmente ci sono le persone migliori per prendere queste decisioni.

La maggior parte degli intervistati nella maggior parte dei paesi aveva letto le linee guida regionali specifiche su cui abbiamo chiesto loro di esprimersi. Ciò suggerisce che, per molti, tali istruzioni forniscono tutto ciò di cui i professionisti della sicurezza informatica hanno bisogno per migliorare il rilevamento delle minacce e la risposta alle stesse. Il 57% ha concordato sul fatto che «seguire queste linee guida ci aiuterà a proteggerci dalla maggior parte delle minacce», mentre oltre la metà ha anche convenuto che esse «contribuiscono a promuovere le migliori pratiche» e «ci proteggono dalle minacce moderne» (entrambi al 55%).

Conclusione

Gli approcci alla sicurezza tradizionali, incentrati sulla prevenzione, offrono agli hacker un vantaggio quando si tratta di affrontare le complesse minacce moderne. In materia di sicurezza non esistono soluzioni miracolose. Tutto è fallibile. Gli hacker hanno accesso a strumenti specifici; possono testare e capire cosa riesce a superare le difese e cosa no. Alla fine, riusciranno nel loro intento. Come settore, dobbiamo spostare la nostra attenzione sulla creazione di programmi basati sulla resilienza.

La resilienza deve partire dall'atteggiamento giusto. Partiamo dal presupposto che ci sia stata una violazione. Pertanto, la maggioranza dei professionisti della sicurezza informatica a livello mondiale, convinta di aver già subito una violazione senza saperlo, è sulla strada giusta. Semplicemente, non possono più fare affidamento sugli strumenti tradizionali basati sulla prevenzione e sui consigli ormai superati forniti dal consiglio di amministrazione.

Tuttavia, accettando questa evoluzione strategica, i CISO possono creare le condizioni giuste per una gestione efficace dei rischi informatici. Comprendere che alcune minacce potrebbero sfuggire ai controlli non equivale ad ammettere la sconfitta, anzi. Il nuovo approccio dovrebbe consistere nel fare tutto il possibile per impedire agli hacker di entrare, ma poi disporre degli strumenti per individuare comportamenti sospetti nel caso in cui riescano a sfuggire ai controlli. Agendo in modo efficace, le organizzazioni a livello globale possono rilevare e contenere gli incidenti prima ancora che abbiano la possibilità di trasformarsi in qualcosa di più grave.

Tutto è gestibile finché un hacker non ha raggiunto il suo obiettivo. Ma chi si occupa della gestione degli incidenti non può operare nel vuoto. Ha bisogno degli strumenti giusti per massimizzare la produttività degli analisti e aiutare a individuare l'ago nel pagliaio.

In che modo Vectra può aiutarti

La nostra piattaforma leader nel rilevamento e nella risposta alle minacce aiuta le organizzazioni a evitare di finire sui giornali, individuando e neutralizzando gli autori degli attacchi prima che possano causare danni. Come ci riusciamo? Adottando un approccio cloud dall'intelligenza artificiale, che supporta i team dei Centri operativi di sicurezza (SOC) consentendo loro di classificare gli eventi in base a valutazioni accurate delle minacce.

La piattaforma Vectra AI accelera il rilevamento e l'analisi delle minacce utilizzando algoritmi intelligenti di apprendimento automatico per arricchire i metadati cloud alla rete che raccoglie e archivia con il contesto appropriato. È proprio questo contesto che consente agli analisti del SOC di rilevare, individuare e analizzare le minacce note e sconosciute in tempo reale. Il risultato? Una sicurezza proattiva che permette alla vostra organizzazione di sfruttare al meglio le capacità dell'uomo e della macchina per ridurre al minimo i rischi informatici. Vi aspetta un mondo digitale più sicuro e protetto.