Rapporto di ricerca sui leader della sicurezza: Adatti allo scopo o indietro rispetto alla curva?

Adatti allo scopo o indietro rispetto alla curva?

Scoprire come le organizzazioni di oggi affrontano le complesse e moderne minacce informatiche

Sintesi

Il genio è uscito dalla bottiglia. Gli esperti ritengono che nel corso del 2020 molte aziende siano state spinte oltre un "punto di svolta tecnologico" che ha accelerato la digitalizzazione di diversi anni. Le aziende cambieranno per sempre in meglio. Ma c'è anche una cattiva notizia. La stessa trasformazione digitale che sta alimentando l'innovazione sta anche ampliando la superficie di attacco. Dalla rapida proliferazione del cloud alla crescente adozione di microservizi, DevOps e API, si stanno aprendo nuove sacche di opportunità che gli attori delle minacce possono sfruttare. E lo stanno facendo come mai prima d'ora.

La stessa trasformazione digitale che sta alimentando l'innovazione sta anche ampliando la superficie di attacco.
‍

Gli account Microsoft 365 dirottati sono oggi il più grande vettore di minacce alla sicurezza nel cloud, con un aumento del 98% delle credenziali compromesse tra il 2018 e il 2020. Gli ambienti di infrastruttura cloud , spesso mal configurati, presentano numerosi punti oscuri che offrono ancora più opportunità agli attori delle minacce. Inoltre, il ransomware ha registrato un'impennata del 150% su base annua nel 2020, con un raddoppio dell'importo medio delle estorsioni.

Questo è importante perché le violazioni hanno il potenziale di causare danni diffusi. Possono interrompere le operazioni, danneggiare le catene di fornitura, distruggere la fiducia dei clienti e esporre le aziende a sanzioni normative. E gli attacchi informatici oggi costano molto: la cifra media per incidente è stimata in 4,2 milioni di dollari (3 milioni di sterline). Gli attacchi ransomware che causano il furto di dati e lunghe interruzioni operative possono costare molto di più. Alcune aziende hanno riportato perdite per decine di milioni di sterline. Non sorprende che la cybersicurezza sia ormai un problema a livello di consiglio di amministrazione.

Purtroppo per i CISO, i vecchi metodi di difesa dagli attacchi non sono più così efficaci. Che si tratti di sfruttamento del sistema, phishing, utilizzo di account rubati o aggiramento dell'autenticazione a più fattori (MFA), c'è sempre un modo per entrare. E una volta entrati, i criminali informatici sono maestri nel rimanere nascosti: sono in costante innovazione, quindi la sicurezza informatica deve evolversi continuamente per stare al passo.

Per saperne di più su come i leader della sicurezza affrontano queste minacce dinamiche, Vectra ha commissionato a Sapio Research un'intervista a 1800 responsabili della sicurezza informatica che lavorano in organizzazioni con più di 1.000 dipendenti in Francia, Italia, Spagna, Germania, Svezia, Arabia Saudita e Stati Uniti, e più di 500 dipendenti nei Paesi Bassi e in Australia e Nuova Zelanda.

Gli attacchi ransomware che comportano il furto di dati e lunghe interruzioni operative possono costare molto di più dei 4,2 milioni di dollari stimati.

In questo rapporto riveleremo che:

• È ora di cambiare il gioco quando si tratta di affrontare gli aggressori. Il settore della sicurezza non riesce a tenere il passo con le tattiche, le tecniche e le procedure (TTP) della criminalità informatica, rendendo più difficile che mai la protezione dalle minacce moderne.
• La mentalità "prevenzione-centrica" ereditata dal passato mette a rischio le organizzazioni. Gli strumenti e il modo di pensare tradizionali sono un ostacolo nel nuovo panorama delle minacce. Eppure molti continuano a investire eccessivamente in strategie di prevenzione condannate, che falliscono silenziosamente e lasciano aperte le porte alle violazioni.
• I leader della sicurezza devono educare il consiglio di amministrazione. Il consiglio d'amministrazione si sta rendendo conto dei rischi posti dagli attacchi informatici, ma non è un esperto. I responsabili della sicurezza devono trovare modi più efficaci di comunicare i rischi e di educare su come mitigarli al meglio.
• Le autorità di regolamentazione favoriscono gli sforzi di cybersecurity. I leader della sicurezza sono fiduciosi che le autorità di regolamentazione stiano creando una legislazione efficace, ma in ultima analisi la mentalità degli hacker e la rapidità di rilevamento e risposta sono le migliori possibilità.

Statistiche principali:

• L'83% ritiene che gli approcci tradizionali non siano in grado di proteggere dalle minacce moderne e che sia necessario cambiare le carte in tavola quando si tratta di affrontare gli aggressori.
• Il 79% dei responsabili delle decisioni in materia di sicurezza ha acquistato strumenti che non sono stati all'altezza delle loro promesse, adducendo come motivi la scarsa integrazione, l'incapacità di rilevare gli attacchi moderni e la mancanza di visibilità.
• Il 72% pensa di essere stato violato e di non esserne a conoscenza, mentre il 43% lo ritiene "probabile".
• L'87% degli intervistati afferma che i recenti attacchi di alto profilo hanno fatto sì che il consiglio di amministrazione inizi a prendere in considerazione la sicurezza informatica.
• L'83% afferma che le decisioni del consiglio di amministrazione in materia di sicurezza sono influenzate dalle relazioni esistenti con i fornitori di sicurezza e IT tradizionali.

La trasformazione digitale sta guidando il cambiamento a un ritmo sempre più incalzante. Tuttavia, le aziende non sono le uniche a innovare. Anche i criminali informatici lo fanno. Con l'evoluzione del panorama delle minacce, le difese tradizionali sono sempre più inefficaci. Le organizzazioni hanno bisogno di strumenti moderni che illuminino le zone d'ombra per offrire visibilità dal cloud all'on premise. Hanno bisogno di leader della sicurezza che sappiano parlare il linguaggio del rischio aziendale. Consigli di amministrazione disposti ad ascoltare. E di una strategia tecnologica basata sulla consapevolezza che non si tratta di "se", ma di "quando" vengono violati. Tim Wade, vice CTO, Vectra AI

È ora di cambiare il gioco quando si tratta di affrontare gli aggressori

L'attuale corsa agli armamenti della sicurezza informatica richiede una costante innovazione da entrambe le parti. Un'economia del crimine informatico che vale trilioni all'anno fornisce un ambiente fertile per la crescita e la diffusione di nuove TTP. Come sta affrontando il settore la sfida di difendersi da questo obiettivo in continua evoluzione?

Molti intervistati ritengono che il settore stia rimanendo indietro. Più di otto su dieci (83%) hanno giustamente riconosciuto che gli approcci tradizionali non proteggono dalle minacce moderne e che dobbiamo "cambiare il gioco quando si tratta di affrontare gli aggressori". A ciò fa eco il fatto che il 71% ritiene che i criminali informatici stiano superando gli strumenti attuali e che l'innovazione della sicurezza sia anni indietro rispetto a quella degli hacker. Un altro 71% ritiene che le linee guida, le politiche e gli strumenti di sicurezza non riescano a tenere il passo con le TTP degli attori delle minacce.

Forse non sorprende che più di tre quarti (79%) dei responsabili della sicurezza abbiano dichiarato di aver acquistato strumenti che non sono stati all'altezza delle loro promesse, con l'incapacità di rilevare gli attacchi moderni, di prevenire solo le minacce di basso livello e la scarsa integrazione con altri strumenti come ragioni principali.

I tre principali motivi per cui gli strumenti di sicurezza non mantengono le promesse:

1. Mancato rilevamento di attacchi moderni
2. Prevenzione solo di minacce di basso livello
3. Scarsa integrazione con altri strumenti

Nonostante queste sfide, si stanno facendo progressi. Del 74% degli intervistati che hanno sperimentato un evento che ha richiesto una risposta significativa agli incidenti, il 43% è stato avvisato del problema dai propri strumenti di sicurezza. Si tratta di uno sviluppo positivo. Nel 2015, una ricerca indicava che il 70% degli incidenti di violazione era stato scoperto da terzi. Quindi, gli strumenti di rilevamento e risposta stanno migliorando. Ma è anche vero che ciò che funzionava ieri potrebbe non funzionare oggi.

Il panorama delle minacce è dinamico e volatile, quindi è giusto adottare una posizione di "presunzione di violazione". Non esiste una protezione totale. Se un attore determinato vuole entrare nella vostra rete oggi, di solito lo farà. Ci sono semplicemente troppi vettori di attacco che possono sfruttare e troppe risorse potenzialmente non gestite e non protette da colpire. Inoltre, possono contare sui progressi del malware, dei set di strumenti automatizzati e dei modelli "as-a-service", che hanno aperto la porta anche ai neofiti della tecnologia. Per questo è fondamentale dare la caccia agli aggressori nascosti nelle reti per trovare gli aghi nel pagliaio". Tim Wade, Vice CTO, Vectra AI

Inoltre, più di due quinti (42%) degli intervistati ha dichiarato di essere molto fiducioso che il proprio portafoglio di strumenti sia in grado di rilevare e proteggere contro i tipi di minacce utilizzate negli attacchi di Kaseya, SolarWinds e JBS. Un altro 37% ha dichiarato di essere pienamente fiducioso di avere visibilità su tutte le minacce che affliggono la propria organizzazione.

Il pensiero "prevenzione-centrico" ereditato mette a rischio le organizzazioni

I recenti progressi nei metodi di attacco consentono agli aggressori di aggirare con relativa facilità le tecnologie di prevenzione, come l'autenticazione a più fattori. Tuttavia, continua a prevalere una mentalità "prevenzione-centrica". Sebbene le organizzazioni debbano continuare ad adottare misure preventive come l'abilitazione dell'MFA, queste non sono sufficienti da sole.

La convinzione comune rimane quella che se un hacker riesce ad accedere a una rete aziendale, l'azienda ha già perso. Di conseguenza, il 50% ha dichiarato di spendere più per la prevenzione che per il rilevamento, mentre solo un quinto (22%) spende di più per il rilevamento e meno di un terzo (29%) più o meno lo stesso.

Questo è un tipico esempio di pensiero legacy potenzialmente dannoso. Una strategia di prevenzione efficace al 100% nell'attuale panorama delle minacce è quasi impossibile. I criminali informatici hanno semplicemente troppi modi per entrare: dagli exploit delle vulnerabilità al social engineering. L'uso di credenziali rubate o forzate e la facilità con cui aggirano l'MFA fanno sì che i criminali informatici non facciano scattare alcun allarme malware . Una volta all'interno delle reti, poi, possono utilizzare strumenti e tecniche legittime per rimanere nascosti.

Tuttavia, la maggior parte degli intervistati è consapevole che la prevenzione non può essere efficace al 100%. Oltre due terzi (72%) degli intervistati pensa di essere stato violato e di non esserne a conoscenza, il 43% dei quali ritiene che sia probabile. Inoltre, il 62% degli intervistati ha dichiarato di ritenere che la sicurezza di prevenzione tradizionale stia diventando obsoleta, perché gli hacker hanno accesso a tali strumenti e possono quindi progettare modi per aggirarli. Ciò suggerisce che si sta verificando un importante cambiamento di mentalità.

I responsabili della sicurezza devono istruire il consiglio di amministrazione sulle minacce moderne

Non è solo la mentalità tradizionale dei dipartimenti di sicurezza a esporre i team a potenziali rischi. Anche il tradizionale modo di pensare dall'alto verso il basso e la cultura aziendale possono avere un impatto negativo. L'83% degli intervistati ritiene che le decisioni in materia di cybersecurity prese dai loro consigli di amministrazione siano influenzate dai rapporti esistenti con i fornitori tradizionali. Oltre la metà (54%) ha dichiarato di ritenere che il consiglio di amministrazione sia indietro di un decennio quando si tratta di discussioni sulla sicurezza.

Anche il tradizionale modo di pensare dall'alto verso il basso e la cultura aziendale possono avere un impatto negativo.

Ciò evidenzia l'urgente necessità per i team di sicurezza di istruire il consiglio di amministrazione sulle nuove minacce che l'organizzazione deve affrontare e sulle strategie di difesa più efficaci. Ma questa potrebbe essere una sfida. Quasi due terzi (61%) degli intervistati ha dichiarato che è difficile comunicare il valore della sicurezza al consiglio di amministrazione, poiché è notoriamente difficile da misurare. Ciò suggerisce che la comunicazione tra il consiglio di amministrazione e i team di sicurezza continua a rappresentare una sfida.

Oltre la metà (54%) ha dichiarato di ritenere che il consiglio di amministrazione sia indietro di un decennio quando si tratta di discussioni sulla sicurezza.

Sebbene sia certamente vero che comunicare e misurare il valore della sicurezza non sia sempre semplice, è possibile misurare specifiche capacità di sicurezza. Per farlo nel modo più efficace, i leader della sicurezza devono sempre cercare di allineare le loro metriche con gli obiettivi aziendali, quantificati in un modo basato sul rischio che abbia una certa risonanza. In caso contrario, è probabile che i fondi per le nuove tecnologie non vengano stanziati dal consiglio di amministrazione.

Tuttavia, ci sono segnali che indicano che le cose potrebbero cambiare, grazie alla maggiore esposizione mediatica. Circa l'87% degli intervistati ha dichiarato che i recenti attacchi di alto profilo hanno fatto sì che il consiglio di amministrazione iniziasse a prendere in considerazione la sicurezza informatica.

Il 92% degli intervistati è grato alla guida di queste organizzazioni per averli aiutati a distinguere i fornitori buoni da quelli mediocri.

Fortunatamente, l'esperienza dei partner di canale si sta rivelando preziosa per contrastare l'impatto negativo degli atteggiamenti tradizionali del consiglio di amministrazione. Circa il 92% degli intervistati è grato alla guida di queste organizzazioni per averli aiutati a distinguere i fornitori buoni da quelli mediocri. Le organizzazioni di canale offrono ai clienti nuove opportunità di esplorare diversi tipi di tecnologia, sfruttando le loro relazioni commerciali per organizzare dimostrazioni anticipate e prove di concetto. I loro team sono di solito ben addestrati e altamente motivati, e apportano ulteriori competenze in un momento in cui i team di cybersecurity aziendali interni stanno lottando contro il peso della carenza di competenze.

Nonostante la complessità della legislazione, i regolatori sono sulla strada giusta

A seconda del tipo di organizzazione per cui lavora, il ruolo di un professionista della cybersecurity può essere fortemente influenzato da una serie complessa di mandati normativi e legislativi che si sovrappongono. Secondo i dati della Conferenza delle Nazioni Unite sul commercio e lo sviluppo (UNCTAD), 156 Paesi (80%) hanno emanato una qualche forma di legislazione sulla sicurezza informatica. Tuttavia, in assenza di leggi internazionali generali attualmente in vigore, i professionisti della sicurezza devono attenersi a norme e regolamenti diversi nelle varie regioni, rendendo la conformità a livello mondiale un compito scoraggiante.

Di recente, il Regolamento generale sulla protezione dei dati (GDPR) dell'UE ha alzato notevolmente la posta in gioco per le violazioni dei dati, prevedendo multe potenzialmente astronomiche per le aziende inadempienti. Inoltre, la direttiva UE sulla sicurezza delle reti e delle informazioni (NIS), attualmente in fase di riscrittura, stabilisce nuovi requisiti minimi per gli "operatori di servizi essenziali" in vari settori. Sebbene sia incentrato sull'UE, il GDPR in particolare è stato implementato per salvaguardare i dati dei cittadini e dei residenti dell'UE ovunque siano conservati, il che significa che ha implicazioni globali per le organizzazioni internazionali.

Tuttavia, vi è un ampio sostegno globale per i regolatori e i legislatori in materia di cybersecurity. Più di tre quarti (76%) ritiene che le autorità di regolamentazione abbiano una comprensione sufficiente della vita "in prima linea" per scrivere leggi per i professionisti della sicurezza informatica. Un altro 65% ritiene che i legislatori, in quanto esperti, siano ben attrezzati per prendere decisioni sulle normative relative alla cybersecurity. Il consenso sembra quindi essere che, sebbene le leggi sulla cybersecurity siano impegnative sia da implementare che da seguire, al momento ci sono le persone migliori per prendere queste decisioni.

La maggior parte degli intervistati nella maggior parte dei Paesi ha letto le specifiche linee guida regionali che abbiamo chiesto loro. Ciò suggerisce che per molti queste istruzioni forniscono tutto ciò di cui i professionisti della cybersecurity hanno bisogno per migliorare il rilevamento e la risposta alle minacce. Il 57% concorda sul fatto che "seguire queste linee guida ci aiuterà a proteggerci dalla maggior parte delle minacce", mentre oltre la metà concorda anche sul fatto che "aiutano a incoraggiare le migliori pratiche" e "ci proteggono dalle minacce moderne" (entrambi 55%).

Conclusione

Gli approcci di sicurezza tradizionali, incentrati sulla prevenzione, danno agli aggressori un vantaggio quando si tratta di minacce moderne e complesse. Non esistono proiettili d'argento nella sicurezza. Tutto è fallibile. Gli aggressori hanno accesso agli strumenti. Possono testare e vedere cosa può o non può passare. Alla fine, ci riusciranno. Come settore, dobbiamo concentrarci sulla creazione di programmi basati sulla resilienza.

La resilienza deve iniziare con il giusto atteggiamento. Ipotizzare una violazione. La maggioranza globale dei professionisti della sicurezza informatica che ritiene di essere già stata violata senza saperlo è sulla strada giusta. Semplicemente non possono più fare affidamento su strumenti di prevenzione tradizionali e su input obsoleti da parte del consiglio di amministrazione.

Tuttavia, accettando questa evoluzione della strategia, i CISO possono creare le condizioni giuste per una gestione efficace del rischio informatico. Capire che le minacce possono passare inosservate non significa ammettere la sconfitta, tutt'altro. Il nuovo approccio dovrebbe consistere nel fare tutto il possibile per impedire agli hacker di entrare, ma anche nel dotarsi degli strumenti per individuare i comportamenti sospetti se dovessero sfuggire alla rete. In questo modo, le organizzazioni di tutto il mondo possono individuare e contenere gli incidenti prima che abbiano la possibilità di trasformarsi in qualcosa di più serio.

Tutto è contenibile fino a quando l'attaccante non raggiunge il suo obiettivo. Ma chi risponde agli incidenti non può lavorare nel vuoto. Hanno bisogno degli strumenti giusti per massimizzare la produttività degli analisti e aiutarli a individuare l'ago nel pagliaio.

Come può aiutare Vectra

La nostra piattaforma di rilevamento e risposta alle minacce, leader nel settore, aiuta le organizzazioni a non finire sulle prime pagine dei giornali, individuando e bloccando gli aggressori prima che possano causare danni. Come lo facciamo? Adottando un approccio di sicurezza cloud guidato dall'intelligenza artificiale, che supporta i team del Security Operations Centre (SOC) consentendo loro di dare priorità agli eventi in base a valutazioni accurate delle minacce.

La piattaforma Vectra AI accelera il rilevamento e l'investigazione delle minacce utilizzando algoritmi di ML intelligenti per arricchire i metadati cloud e della rete che raccoglie e archivia con il giusto contesto. È questo contesto che consente agli analisti del SOC di rilevare, cacciare e investigare minacce note e sconosciute in tempo reale. Il risultato? Una sicurezza proattiva che consente alla vostra organizzazione di sfruttare il meglio dell'uomo e della macchina per ridurre al minimo il rischio informatico. Un mondo digitale più sicuro e protetto vi aspetta.