Come cambia la sicurezza aziendale nell’era post-Covid

Se c’è un’eredità che ci ha lasciato l’emergenza sanitaria è la consapevolezza dell’utilità della tecnologia anche nei manager più tradizionalmente “luddisti”. Forti di questa consapevolezza, la fase di ripartenza sarà l’occasione migliore per le aziende per mettere mano alla propria infrastruttura informatica e riprogettarla in base ai limiti evidenziati nei mesi dell’emergenza sanitaria.

Tra le macerie da smaltire, invece, ci sono i danni provocati dagli attacchi alle infrastrutture IT. I cybercriminali hanno sguazzato tra le “debolezze emotive” dei dipendenti e tra le falle di un’infrastruttura troppo spesso non strutturata per uno smartworking protetto adeguatamente.

Si sprecano i report su violazioni, danni e attacchi nei primi sei mesi del 2020. Uno dei più citati è il report di Check Point “Cyber Attack Trends: 2020 Mid-Year”. Secondo l’analisi, gli attacchi di phising e malware collegati in qualche modo al Covid-19 sono passati da circa 5mila a settimana registrati a febbraio, agli oltre 200mila registrati a fine aprile. Le attività malevole che non hanno espressamente usato il Covid-19 come testa di ponte, invece, sono aumentate del 34% da aprile a giugno.

Il “pericolo” più grande per un’azienda? Il dipendente

È opportuno parlare di “debolezza emotiva” e di attacchi espressamente correlati al trend “Covid-19” per un motivo molto semplice. Da tempo, ormai, il pericolo più grande per le infrastrutture IT aziendali è il dipendente. Così, cliccare distrattamente su un link contenuto in una mail inviata dall’AD è molto più probabile se si è in una situazione di “debolezza emotiva”.

La maggioranza delle incursioni all’interno della rete aziendale avviene a seguito di una mail di phishing inviata da uno dei contatti, oppure a seguito di un furto di credenziali. Entrambe le azioni non determinano un alert da parte dei classici sistemi di protezione, perché il software non ritiene – giustamente dal canto suo – che l’accesso al cloud di un utente autorizzato o il clic su un link in una mail che arriva dall’AD siano attività malevole.

È evidente, insomma, che l’approccio alla protezione deve cambiare radicalmente. Per esempio, si sfrutta l’Intelligenza Artificiale per un monitoraggio intelligente della rete in tempo reale o si passa da un concetto di difesa a uno di attacco.

Nuovi strumenti di difesa: il Cloud Access Security Broker

Parlando di monitoraggio intelligente in tempo reale attraverso il machine learning, intendiamo l’utilizzo di strumenti precedentemente noti come CASB (Cloud Access Security Broker) nati, appunto per il monitoraggio del traffico di dati in transito nel cloud. Di questi servizi è stata ampliata, o aggiunta, una componente di protezione proattiva che li ha fatti salire in vetta alle classifiche di gradimento delle aziende.

In termini molto semplici, attraverso la console centralizzata di un servizio CASB – generalmente disponibile tra i Managed Services di un Cloud Service Provider come Reevo – si monitora il traffico dati registrando le anomalie e bloccando istantaneamente l’attività. L’esempio più classico riguarda l’attività di un dipendente che accede al cloud prima da un luogo fisico e subito dopo da un altro a migliaia di km di distanza. Questo non è ovviamente ammissibile dall’algoritmo di machine learning e l’attività viene immediatamente bloccata.

L’utilizzo degli algoritmi di machine learning consente al software di imparare le abitudini di chi accede ai dati e rilevare immediatamente comportamenti sospetti fino a manutenere in modo autonomo l’intero impianto di sicurezza. Inoltre, servizi di questo tipo integrano strumenti di Identity Access Management, fortemente consigliati.

Rivedere i privilegi di accesso al cloud è una priorità

Succede, infatti, che la definizione dei privilegi di accesso al cloud e, in genere, alle infrastrutture informatiche, sia un altro tallone d’Achille per le aziende. Generalmente non si fa troppa attenzione a chi accede a cosa e, spesso per pigrizia del team IT, si forniscono privilegi da amministratore a dipendenti che non se ne fanno niente.

E il discorso non riguarda solo i dipendenti meno tecnologici. Esistono tanti esempi di accessi non autorizzati perpetrati da profili di sviluppatori non troppo attenti alla sicurezza.

Infine, il nuovo approccio alla sicurezza prevede di passare dal difendersi all’attaccare. Un esempio riguarda l’attivazione di trappole che indirizzano l’attaccante verso container o set di dati non utili. Questa tecnica è utilizzata soprattutto in ambienti IT completi di disaster recovery per proteggere lo storage secondario.

Le strutture di backup, infatti, si stanno rivelando le meno protette, spesso per questioni di budget, diventando facile preda per un furto di dati. Per questo, oltre a seminare trappole, è utile sfruttare software di gestione dello storage che isolano dalla rete i dati di backup, come un castello medioevale, aprendo il “ponte levatoio” solo in determinati momenti.