Coniugare Cyber Intelligence e ICT Risk Management, la grande sfida dei prossimi anni

In base ai dati raccolti ed analizzati da Clusit dal gennaio 2011 ai primi mesi del 2015, le minacce sul fronte ICT sono in forte crescita sia a livello globale che in Italia, e colpiscono indifferentemente società di servizi e di consulenza, studi professionali, PMI, GDO, aziende tecnologiche, marchi del lusso, utilities, infrastrutture critiche ed industrie di ogni settore.

Uno dei problemi più gravi è la durata della “finestra di compromissione”, ovvero del tempo che trascorre tra un attacco andato a buon fine e la sua scoperta, che ad oggi nel nostro Paese è in media di oltre 100 giorni, il che rende il modello tradizionale di “ICT Risk Management” sostanzialmente inapplicabile in questo scenario.

In un mondo diventato ormai “piatto”, grazie alla diffusione di Internet e del digitale, nel quale le minacce “cyber” arrivano in tempo reale da ogni angolo del pianeta, 24 ore su 24, le nostre aziende, indipendentemente dalla dimensione, sono sottoposte ad un bombardamento continuo di attacchi informatici, mirati a controllarne le risorse per finalità fraudolente (inviare spam, phishing, ospitare malware, sfruttarne il “brand” per colpirne gli utenti), a perpetrare “rapine” e truffe finanziarie, ed a sottrarne la proprietà intellettuale per finalità di spionaggio industriale.

A fronte delle nuove minacce ICT e della velocità della loro evoluzione, oggi è necessario affiancare ai tradizionali metodi di valutazione del rischio un’aggiornata conoscenza delle proprie vulnerabilità, monitorata in modo continuativo e non solo periodicamente, ed una profonda comprensione delle motivazioni, delle capacità e degli strumenti degli avversari, tramite tecniche avanzate e processi sistematici di Threat Risk Modeling e di Cyber Intelligence.

I due principali problemi che oggi i difensori devono affrontare sono da un lato come individuare con tempestività un attacco in corso e dall’altro come intervenire in modo efficace per ridurne al massimo l’impatto, interrompendo la “kill chain” prima che i danni potenziali diventino effettivi, nell’ottica di prevenire gli incidenti invece di limitarsi a reagire quando si verificano.

Risolvere questi problemi significa riuscire a combattere ad armi pari con gli attaccanti, applicando al meglio processi, competenze e tecnologie per fare prevenzione e per accelerare le attività di incident response.

In assenza di questi due elementi ICT Risk Management perde molta efficacia, il che diventa un ulteriore vantaggio per gli attaccanti, ed impedisce agli stakeholders di qualsiasi tipo di organizzazione (pubblica o privata) di gestire il rischio ICT in modo appropriato.

Che cosa è necessario fare per avviare questo cambiamento nel modo di fare ICT Risk Management?

Innanzi tutto, e con la massima urgenza, occorre fare Education, attivando programmi di trasformazione delle competenze del management e dei collaboratori, anche di quelli che non si occupano di ICT, così come si fa (per legge) in materia di sicurezza sul lavoro. Questa formazione deve essere continuamente aggiornata e non “di facciata”, perché il mondo digitale è complesso ed i pericoli per gli utenti (come lavoratori e come cittadini) stanno diventando un problema sistemico, di “salute pubblica”.

Parallelamente è necessario svolgere assessment di sicurezza approfonditi, che sono ormai fondamentali in un’ottica non solo di compliance, ma soprattutto di Cyber Security.

Quindi occorre dedicare tempo e risorse ad attività di Vulnerability Management (continuative nel tempo, non episodiche e non a “macchia di leopardo”) e di Penetration Testing (periodiche). A queste analisi va poi dato seguito, ovviamente, con interventi mirati di mitigazione, sia di tipo tecnologico che organizzativo ed educativo.

In terzo luogo è necessario utilizzare i servizi di un SOC (Security Operations Center), basato su piattaforme in grado di correlare ogni giorno migliaia di possibili anomalie per evidenziare in tempo reale le situazioni sospette da approfondire e sulle quali intervenire, per ridurre significativamente la “finestra di compromissione” e portarla a dimensioni ragionevoli (ore, invece di mesi).

Infine, dopo aver messo sotto controllo ciò che avviene all’interno della propria organizzazione, occorre dotarsi degli strumenti di Cyber Intelligence utili a monitorare e comprendere ciò che succede al di fuori, nel resto del mondo, possibilmente in tempo reale: non è infatti possibile difendersi da un attaccante che non si conosce, né anticiparne le mosse senza avere informazioni in merito agli attacchi che sta compiendo / ha compiuto ai danni di altri soggetti. Soprattutto è impossibile valorizzare correttamente i propri rischi ICT, non disponendo di informazioni aggiornate e puntuali sul fronte delle minacce e della loro frequenza.

Ricordando che oggi gestire correttamente il rischio ICT deve essere considerato un vantaggio competitivo sostanziale per il Business, e può fare davvero la differenza.

A cura di: Andrea Zapparoli Manzoni

Articolo pubblicato sulla rivista ICT Security – Maggio 2015

Profilo Autore

Board Advisor del Centre for Strategic Cyberspace & Security Science di Londra

Condividi sui Social Network:

Articoli simili