Nov 29, 2022 Dario Orlandi Minacce, News, Scenario, Tecnologia 0

Cisco ha recentemente organizzato un incontro con la stampa per presentare i risultati di alcune ricerche svolte dall’azienda a livello globale e nazionale, con l’obbiettivo di individuare le tendenze più importanti e catturare una fotografia d’insieme del panorama della sicurezza informatica.

Le principali tendenze a livello globale rimangono quelle emerse negli ultimi tempi, con grande crescita dei temi legati alla supply chain.

Innanzi tutto, la pandemia ha reso difficile la gestione degli asset per le aziende; ora però l’emergenza è passata ed è necessario compiere tutti i passaggi necessari per garantire una visione complessiva su tutti i dispositivi che possono accedere all’infrastruttura, a vario titolo e con diversi livelli.

In secondo luogo, l’azienda ha voluto sottolineare che i ransomware sono una delle molte azioni che gli attaccanti possono compiere una volta preso il controllo dei sistemi. Ci si può quindi preparare per un ransomware, ma una volta che gli attaccanti sono entrati nel sistema bisogna anche essere in grado rispondere prontamente a eventuali cambi di strategia.

Le incertezze economiche hanno rallentato e ritardato le spese per la sicurezza da parte delle aziende; molte organizzazioni rimandano gli investimenti all’anno prossimo, oppure mettono in sicurezza soltanto parte delle infrastrutture; ma la sicurezza non cresce linearmente con l’investimento ed eventuali buchi mettono a repentaglio l’intera operatività dell’impresa.

Infine, Cisco sottolinea come sia necessaria e fortemente richiesta una maggiore visibilità sulla supply chain; i Ciso vogliono più informazioni sui software che vengono utilizzati e integrati con le piattaforme aziendali.

La soglia di povertà nella cyber security

Un capitolo molto interessante nell’incontro è stato quello dedicato a un aspetto spesso trascurato ma di grande impatto, sia dal punto di vista sociale sia da quello operativo: Cisco, infatti, ha definito come soglia di povertà della sicurezza informatica il livello sotto cui un’azienda non è in grado di proteggersi in modo efficace.

Questo fenomeno non riguarda soltanto le aziende piccole, ma può invece interessare anche organizzazioni grandi, e può manifestarsi in vari modi: toccando le disponibilità economiche, le competenze, le capacità o l’influenza.

Il fattore denaro è il più semplice da definire: ci sono aziende che non si possono permette i costi degli strumenti di protezione e delle persone deputate a implementarli e utilizzarli.

Le competenze indicano la capacità di comprendere cosa è necessario per la sicurezza di base e quali sono i passi da compiere per garantirla. Non è un compito semplice, perché anche gli esperti spesso non hanno una visione chiara dei requisiti di base.

Le capacità indicano invece la possibilità di implementare davvero i progetti, senza essere bloccati da problemi ambientali o logistici, relativi alla cultura aziendale o al settore in cui lavora.

L’influenza, infine, è la capacità di spingere i fornitori a effettuare modifiche e miglioramenti; questo è molto più semplice per le aziende più grandi, ma invece potrebbe essere impossibile per una Pmi.

Questi problemi riguardano tutti, sempre più spesso: una ricerca ha mostrato come l’attacco ransomware a BlackBaud ha coinvolto in varia misura oltre 800 organizzazioni, compresi enti no-profit e attori del settore sanitario. Se le organizzazioni no-profit (o gli ospedali) si bloccano ci sono impatti significativi sulla società civile, che colpiscono in particolare le fasce più deboli della popolazione.

Le organizzazioni sotto la soglia di povertà possono essere coinvolte in attacchi o problemi con cui non hanno una connessione diretta e finire per pagare i costi di questi eventi.

Il barometro sicurezza per l’Italia

L’azienda ha poi presentato una ricerca denominata Barometro sicurezza, che ha raccolto un notevole numero di interviste a Ciso italiani per individuare le tendenze più importanti nel settore.

In un panorama sostanzialmente stabile (il primo posto tra le minacce più frequenti è occupato dal phishing), uno dei trend più significativi è la crescita degli attacchi Ddos, che ha visto un incremento sostanziale dopo lo scoppio del conflitto in Ucraina.

In generale, il panorama è molto più ricco di tensioni rispetto all’anno scorso: il Ministero dell’interno ha infatti rilevato un incremento degli attacchi pari al 78,5% a luglio 2022, e anche i dati Clusit confermano la tendenza con un ancora superiore +82% negli attacchi rilevati.

Secondo gli intervistati, gli aspetti che necessitano di più attenzione sono la scarsità di risorse (70%) e di competenze (68%). Positiva è la crescita nell’implementazione di strategie di threat intelligence: tra team interni ed esterni sono adottati dal 58% delle aziende.

Per quanto riguarda le intenzioni di investimento per il prossimo anno, il 53% delle aziende ha intenzione di spendere per strumenti di disaster recovery, in crescita del 20% rispetto all’anno scorso. Notevoli sono anche gli incrementi nel settore della cloud security (+21%) e nella sicurezza IoT, che rimane un mercato piccolo in termini assoluti (19%) ma in grande crescita rispetto all’anno scorso (+35%).

Per rispondere alle richieste delle aziende Cisco propone un approccio di sicurezza integrato, che segue il paradigma della security resilience.  Grazie agli strumenti proposti dall’azienda, e in particolare il Cisco Security Cloud, si può far evolvere la sicurezza dalla prevenzione alla detection/response/recovery, passare dall’approccio basato su silo a un’infrastruttura connessa, da un sistema basato sugli alert a una logica di contesto.

Grande importanza per le soluzioni di sicurezza dell’azienda sono le funzioni di threat intelligence di Cisco Talos (il team non governativo più grande al mondo), composto da 450 ingegneri che hanno accesso alle informazioni di tutto il traffico trattato dai dispositivi dell’azienda.

Non sono numeri di poco conto: infatti, l’80% del traffico Internet viaggia su sistemi Cisco; gli strumenti dell’azienda servono 840.000 reti al mondo, 67 milioni di mailbox e 87 milioni di endpoint. Questi dati offrono a Cisco, e in particolare al suo team di threat intelligence, una posizione privilegiata per analizzare le dinamiche legati alle minacce di sicurezza.

L’azienda deve quindi gestire un’enorme base di dati, che richiedono l’ausilio di strumenti automatici basati sull’intelligenza artificiale. Basti pensare che Cisco rileva 1,4 milioni di sample di malware ogni giorno.