Continui attacchi informatici: raggiungere l`eccellenza
Transcript
Continui attacchi informatici: raggiungere l`eccellenza
Continui attacchi informatici: raggiungere l’eccellenza operativa per la nuova normalità Anche la migliore strategia informatica difensiva può fallire se non viene attuata in modo efficace. È la “strategia locale” del security team a determinare la sua capacità di individuare e rispondere agli attacchi informatici, ma molte organizzazioni non sono all’altezza. Quello che manca è un giusto mix di talento e competenze, oltre a un solido modello di cyber security in grado di promuovere azioni adeguate quando si presentano delle minacce. Gli attacchi informatici non sono certo una novità, ma recentemente hanno conseguenze sempre più significative. L’espansione dell’Internet of Things (IoT), il proliferare di dispositivi connessi e la crescita del cloud computing sono tutti elementi che implicano l’estendersi dei “fronti di attacco”. Le banche, ad esempio, collegando i bancomat alle proprie reti, si sono resi accessibili agli hacker così come le compagnie petrolifere collegando raffinerie, impianti e sistemi per la gestione degli oleodotti in rete, talvolta utilizzando Internet per implementare il sistema di gestione dei fornitori, aprono la strada agli attacchi informatici. In questo ambiente ricco di obiettivi, gli hacker sono facilitati nel trovare un punto di accesso alle organizzazioni. Contemporaneamente aumentano le conseguenze delle violazioni della sicurezza per CEO e CIO, che si trovano maggiormente a rischio sia dal punto di vista personale che professionale.1 Un altro problema è che la capacità di difesa informatica di molte organizzazioni è sempre più disturbata da un “rumore di sottofondo” che maschera le vere minacce provenienti sia dall’esterno che dall’interno dell’organizzazione. La costante evoluzione dell’ambiente dell’IT che caratterizza la maggior parte delle grandi imprese può rendere molto difficile per il team della sicurezza tenere traccia delle informazioni critiche e proteggerle. La maggior parte dei leader, ad esempio, sa intuitivamente quali sono i “gioielli della corona” dell’azienda, siano essi dati dei clienti, una “ricetta” segreta o algoritmi operativi. Far sì che il team della sicurezza sappia dove trovare queste risorse, tuttavia, richiede un solido approccio alla gestione delle informazioni, che potrebbe rivelarsi arduo a causa delle esigenze del business che spesso necessita di un’infrastruttura IT flessibile che sappia adeguarsi alle continue nuove richieste. Per tenere traccia di queste problematiche, lo staff della sicurezza deve sviluppare le proprie “soft skills”, per poter dialogare e collaborare con il business dell’azienda in maniera più efficace. Incrementare l’efficacia operativa può produrre notevoli vantaggi in termini di sicurezza, dalla riduzione del numero di incursioni messe a segno alla riduzione dei tempi di risposta, fino a ripristinare più rapidamente l’attività a seguito di un’aggressione. Una solida strategia locale per la sicurezza può inoltre ridurre i costi e i rischi per il business di un’azienda. La strada per raggiungere questo livello di performance, tuttavia, rimane per molte società costellata di ostacoli per differenti ragioni. Inoltre, nuovi approcci come l’infrastruttura definita dal software (SDI), che distribuisce risorse di rete, di calcolo e di archiviazione come servizi, possono rendere gli asset più dinamici in termini di ubicazione e della funzione all’interno della topologia di rete. Se da un lato l’SDI può dare un significativo impulso alla sicurezza dell’infrastruttura, dall’altra parte può rendere confuso il contesto in base al quale, a livello operativo, i team della security fanno affidamento per comprendere ciò che è un comportamento normale rispetto a ciò che non lo è. Carenza di tecnologie e competenze essenziali nelle organizzazioni Analogamente, spesso la sicurezza non ha sufficiente visibilità nel “panorama degli asset” dell’organizzazione per i limiti imposti dagli strumenti e dai processi utilizzati. Ad esempio, un security analyst che riceve una segnalazione di un potenziale attacco in atto sulla rete, a causa dell’accesso limitato alle informazioni e alle persone necessarie impiegherà giorni nel tentativo di verificare l’origine del problema. Un altro ostacolo è il tempo stesso: mentre la maggior parte delle violazioni si verifica nell’arco di pochi giorni, l’industria del settore impiega in media da sette a otto mesi per individuarle. Colmare questa lacuna dovrebbe essere un compito prioritario. L’esperienza dimostra che le operazioni di sicurezza non sono sufficientemente rigorose e interconnesse e che figure chiave continuano a non essere consapevoli delle vulnerabilità dell’azienda. Spesso le organizzazioni adottano una serie non ben definita di processi e funzionalità ad hoc che presentano livelli di efficacia variabili. Oltretutto, molte non hanno ancora adottato una sana “security routine” a livello aziendale, che includa elementi essenziali quali il controllo degli accessi, l’autenticazione a due fattori, una rigorosa gestione della vulnerabilità e la conformità ai criteri delle password. Nella maggior parte dei casi poi, il principale problema operativo si riduce a persone e competenze, sia a livello di aziende che tra i professionisti della sicurezza. Nel contesto attuale, caratterizzato da un elevato turnover del personale, spesso le aziende si espongono affidando a un unico responsabile un’area di sicurezza, come ad esempio il reverse engineering di malware o l’Incident Response. Se questa persona lascia l’azienda, tutto il know-how se ne va con lui o con lei. @AccentureSecure 2 Come raggiungere l’eccellenza operativa nella difesa informatica Ci sono alcune misure specifiche che le organizzazioni dovrebbero adottare per migliorare le operazioni di sicurezza, a partire da una serie di azioni fondamentali fino all’adozione di misure avanzate quale l’utilizzo di “sparring partner”. feed delle minacce e qual è il nesso con i crescente fronti di attacco. È necessario anche aggiornarsi costantemente: un’organizzazione aveva creato un sistema di monitoraggio della sicurezza ma poi non lo aveva aggiornato periodicamente, con il risultato che nel giro di un anno il sistema copriva solo il 70% del servizio in continua espansione. •Valutazione delle competenze di security. Valutare i processi di sicurezza attualmente utilizzati dall’azienda in termini di efficacia all’atto di rispondere a una minaccia. L’avvento di nuove importanti fonti di dati come l’Internet of Things e il cloud computing rendono questa sfida ancora più complessa. Sebbene molte organizzazioni comprendano il problema da un punto di vista teorico, introdurre elementi del mondo reale, come l’utilizzo di “sparring partner” (vedere di seguito la descrizione) può aiutare i team della security a verificare l’efficacia pratica delle proprie difese. • Conoscere i propri punti deboli. Identificare i tipi di problemi che la sicurezza non è in grado di risolvere con le sue competenze attuali e quindi individuare i dati necessari per svolgere un’analisi efficace e fare chiarezza. È anche possibile che l’azienda non si ponga le domande giuste o che non abbia la visibilità indispensabile per vedere i dati necessari, soprattutto data la rapida espansione dei fronti di attacco digitali da difendere a fronte della crescita del cloud e di altri elementi della rete. Oltre ad avere una solida conoscenza della situazione in cui si verifica la minaccia, è necessario avere una piena cognizione delle capacità di difesa dell’azienda e saperle controllare con efficacia. • Investire nel talento quando opportuno. Le notizie pressoché quotidiane di nuovi attacchi informatici di elevato profilo hanno fatto schizzare alle stelle le richieste di talenti della sicurezza altamente qualificati, rendendo sempre più difficile attrarre e trattenere le figure valide di questo settore. Le organizzazioni devono creare nuove value proposition che vadano al di là della retribuzione, mettendo a disposizione ad esempio strumenti all’avanguardia, percorsi di formazione e l’accesso delle conoscenze del settore condivise tra colleghi. Altri incentivi potrebbero essere la partecipazione a conferenze e l’accesso a opportunità di innovazione, adattando strumenti e tecnologie alle nuove applicazioni. Dati gli attuali vincoli di bilancio, le organizzazioni devono anche capire quali sono le capacità realmente importanti affidando all’esterno quelle che non lo sono. • Investire in un modello operativo altamente efficiente. Esistono molti modelli che allineano i servizi IT alle esigenze del business di un’organizzazione, fornendo un punto d’interfaccia per lo sviluppo di strategie operative efficaci per la sicurezza. Dato il tasso di cambiamento pressoché costante delle funzioni IT, determinato dall’integrazione massiccia di nuovi asset cloud e IoT nelle reti aziendali, le società hanno la necessità di gestire l’evoluzione del ruolo dell’organizzazione della sicurezza in termini di gestione del rischio, trasferimento tecnologico al mondo delle imprese, utilizzo di “team esplorativi” e rotazione delle mansioni dello staff. Inoltre l’esperienza conferma l’importanza di trovare un equilibrio tra il tempo impiegato nell’esecuzione di operazioni di sicurezza, nell’implementazione di nuove tecnologie e nella verifica dello stato di sicurezza dell’organizzazione. Le aziende devono anche creare uno scambio continuo di informazioni ben strutturato al fine di aggiornare le proprie difese in caso di incidenti. • Automatizzare con intelligenza. Comprendere quali sono, all’interno delle operazioni di sicurezza, le attività più lunghe e ricorrenti che tengono impegnato lo staff e valutare la possibilità di automatizzarle lasciando che i talenti si occupino di compiti più impegnativi. È chiaro che oggigiorno gli hacker siano in una posizione di vantaggio visto il proliferare dei fronti di attacco. Di conseguenza, le organizzazioni con un buon sistema di sicurezza si stanno adoperando per passare dal monitoraggio continuo, al quale si affidano attualmente, all’automazione che può aiutarle a gestire minacce elementari come lo “spear phishing”, dove l’aggressione avviene mediante l’invio di e-mail personalizzate ai destinatari. Attualmente, molte organizzazioni svolgono questo lavoro manualmente. Tuttavia, le organizzazioni, dovendo gestire rapidamente un volume di dati in rapida crescita, hanno la necessità di scalare le risposte in modo adeguato utilizzando l’automazione per risolvere il problema del “rumore di sottofondo” nella sicurezza. • Cercare uno sparring partner. Perfezionare le competenze di sicurezza informatica può essere difficile se non si dispone di uno “sparring partner” come nella boxe. Ad esempio, una volta affinata la tecnica con dei “sacchi da box” statici, le aziende hanno bisogno di un avversario a grandezza naturale per migliorare ulteriormente. Lo sparring partner deve esercitare tutta la creatività e la determinazione di un aggressore reale per essere certi che le innovazioni adottate dall’azienda nel campo della sicurezza siano al passo con i progressi più recenti e in crescita esponenziale realizzati dagli hacker. Ciò implica il coinvolgimento di tutti gli stakeholder: insurance, risk management, marketing e comunicazione, ufficio legale, team antifrode e così via. Se condotto in modo corretto, l’approccio dello sparring partner replica gli attacchi reali molto meglio di quanto non sia possibile attraverso lo svolgimento di esercizi di simulazione preparati a tavolino, il controllo di una checklist di conformità o l’esecuzione di un penetration test annuale. Questo approccio rispecchia una dichiarazione di Joe Louis, un ex campione dei pesi massimi, che sosteneva: “Tutti hanno un piano, finché non vengono colpiti”. • Contestualizzare i dati raccolti sulle minacce. Spesso i team della security non hanno una chiara percezione della situazione quando si verifica un incidente. Devono conoscere le implicazioni a livello di business aziendale, chi sono i player, quali sono le priorità e se possono agire in base alle informazioni a disposizione. Le organizzazioni devono capire se il team della sicurezza ha una conoscenza sufficiente degli asset specifici per poter contestualizzare in modo efficace i dati relativi alle minacce. Ad esempio, con l’espansione dell’attività di business, la sicurezza deve sapere cosa cercare nei 3 Accenture.com/CyberDefensePlan Definizione di un modello operativo efficace • Analytics di alto livello in grado di anticipare e individuare gli incidenti. Le aziende devono poter identificare variazioni che sono un indice di rischio per la sicurezza di sistemi, reti, utenti e processi aziendali. A dimostrazione di ciò, alcuni recenti casi di frode hanno evidenziato che le variazioni nell’esecuzione dei processi di un’azienda possono essere correlati a una minaccia. Una difesa informatica di successo si basa su un approccio a 360 gradi con un’attenzione costante all’impatto aziendale. Le aziende hanno bisogno di dipendenti ben allenati che sappiano recepire piani e procedure di risposta agli incidenti chiari e precisi per poter gestire qualsiasi evento, dalla vulnerabilità 0-day (vulnerabilità nascosta delle applicazioni di calcolo) a una violazione pubblica su larga scala. Le best practice sono una dimostrazione di ciò che contraddistingue realmente un buon modello operativo di cyber security. È un modello che assiste il team della sicurezza nel prepararsi e proteggersi in caso di una violazione fornendo una visione funzionale delle minacce e gestendo attivamente le vulnerabilità. In secondo luogo consente alla sicurezza di individuare le intrusioni e difendersi da queste mediante analytics avanzati e il monitoraggio degli asset critici. Infine mette l’organizzazione nelle condizioni di rispondere e recuperare con efficacia, adottando strategie di difesa attiva e gestendo attivamente gli incidenti. • Dare maggiore importanza alla Visualization per individuare rapidamente le anomalie a fronte di un aumento del volume dei dati. Dal punto di vista del monitoraggio operativo, leggere attentamente log e testo per capire che ciò che sta accadendo oggi richiede troppo tempo se si considera la massa di informazioni digitali provenienti dallo IoT e dal cloud. • Piattaforme che guidino gli operatori della security nella ricerca di minacce sconosciute tra i dati della sicurezza per aiutare le aziende a individuare più rapidamente le incursioni. • Dedicare alla formazione la stessa attenzione che l’azienda riserva alla lotta contro gli aggressori costituisce il modo migliore per preparare il team della sicurezza agli avversari del mondo reale. Le esercitazioni dovrebbero riguardare sia le operazioni di sicurezza che la capacità di coinvolgere i canali strategici dell’azienda. Le organizzazioni leader conducono le proprie operazioni di sicurezza sulla base di un’intelligence ad immediato impatto operativo. Di conseguenza, necessitano di un modello che sia in grado di informare il security team sulle minacce incombenti. In particolare, gli addetti cyber security devono capire quali sono gli strumenti, le tattiche e le procedure utilizzate quotidianamente dagli aggressori contro l’organizzazione. In altre parole, una volta che la miccia è innescata, come si deve comportare la sicurezza? Bloccarla con l’automazione, fermare il sistema e studiare l’intrusione, o tutte e tre le cose? L’unico modo certo per trovare la risposta giusta è fare pratica e allenarsi con diversi tipi di incidenti in modo costante. Le organizzazioni infatti di norma non riescono ad accumulare una mole di conoscenze generalizzate sufficiente a reagire rapidamente a nuovi attacchi a livello aziendale. I modelli utilizzati dalle organizzazioni con azioni di cyber defense efficaci hanno molte caratteristiche in comune. Partendo da una strategia globale su come il lavoro della sicurezza supporta le performance aziendali, arrivano a fornire processi e roadmap dettagliati e consolidati su misura dell’organizzazione. Stabiliscono canali di comunicazione e relazioni efficaci con l’IT, il business e i fornitori di servizi esterni. Definiscono con chiarezza ruoli e responsabilità dei team che gestiscono le capacità di difesa informatica, dimostrando la necessità di lavorare insieme. Conducono operazioni di sicurezza monitorando in modo attento e costante le esigenze aziendali. Sono concentrati sulla risposta agli incidenti, l’intelligence delle minacce, l’intelligence tecnologica e la gestione delle vulnerabilità. Le organizzazioni proattive prevedono anche analytics e misure di difesa attive. Infine, affrontano i problemi di governance e del processo decisionale, le esigenze del personale e le modalità per misurare il successo su base globale. Gli elementi chiave del modello sono: • Competenze lungimiranti che aiutino a scalare le attività della sicurezza consentendo di gestire le minacce prevedibili e preparare i team ad affrontare le sfide poste da nuove realtà come IoT, cloud e lo sviluppo di nuovi prodotti. • Una strategia IT che specifichi che cos’è un asset, facendo uso di tecniche operative avanzate che non si fermino all’hardware e al punto in cui è fisicamente collegato. I team della sicurezza devono raggiungere una conoscenza approfondita delle identità, dei set di dati e delle funzioni tecniche e commerciali del loro ambiente. Devono possedere solide competenze di gestione delle vulnerabilità per sapere quali sono le minacce alla sicurezza che possono colpire più gravemente l’azienda nel suo insieme e quali relazioni intercorrono tra i diversi elementi di queste minacce. @AccentureSecure 4 Modello del ciclo di vita della cyber security EG IA E AR AR PR O E ER GG TE PR EP ST T RA Allineamento di strategia e business Persone e cambiamento culturale Risposta agli incidenti Ripristino Application & Data Security Platform & Infrastructure Security SFORMAZIONE Governance, rischio e compliance TRA Assessment & Architecture Identità digitale Gestione delle vulnerabilità e Threat intelligence MA Simulazioni avanzate degli avversari PO D SE CU RI ER TY E & DIFE CYB ND RE ID Analytics delle minacce informatiche IV RIS GE ND UA NA Monitoraggio della sicurezza ER I EE ND ER DEFENSE 5 Accenture.com/CyberDefensePlan Conclusioni 3 Rispondere e recuperare La strategia di cyber security di un’organizzazione necessita di un giusto mix di talento, competenza, capacità e tecnologia. Ma richiede anche qualcos’altro: un solido modello operativo che consenta alla strategia aziendale di gestione del rischio di centrare tre obiettivi: Rispondere e recuperare rapidamente dopo gli attacchi e con la minima esposizione possibile, applicando approcci di gestione degli incidenti di sicurezza all’avanguardia e adottando una strategia di difesa attiva. Il brutale attacco agli asset digitali di società e istituzioni internazionali non accenna a diminuire nel prossimo futuro; anzi probabilmente è vero il contrario. Dato il contesto ad alto rischio, le aziende devono impiegare le migliori capacità operative nell’ambito della sicurezza se vogliono raggiungere la coesione e la chiarezza necessarie per difendere gli asset digitali più preziosi dell’organizzazione. 1 Preparare e proteggere Prepararsi e proteggersi per le sfide future fornendo un intelligence delle minacce utile e un programma di gestione delle vulnerabilità che supporti la strategia di business della società. 2 Difendere e individuare Difendere e individuare le minacce utilizzando una combinazione di analytics della sicurezza avanzati e competenze di monitoraggio operativo avanzate. @AccentureSecure 6 7 Accenture.com/CyberDefensePlan Autori Fonti Bill Phelps Managing Director, Global Security Services [email protected] Twitter: @waphelps 1. Secure State, C-Level Executives No Longer Immune to the Effects of a Security Breach, July 31, 2015. https://www.securestate.com/blog/ 2015/07/31/c-level-executives-no-longer-immune-to-the-effectsof-a-security-breach Ryan LaSalle Managing Director, Security Growth & Strategy Lead [email protected] Twitter: @labsguy Kevin Richards Managing Director, North America Security Practice [email protected] Twitter: @kevin_richards Matt Devost Co-founder and CEO of FusionX [email protected] Twitter: @MattDevost Steve Culp Senior Managing Director, Accenture Finance & Risk Services [email protected] Twitter: @steve_culp David Smith Senior Managing Director, Talent & Organization [email protected] Accenture Accenture è un’azienda leader a livello globale nel settore dei servizi professionali, che fornisce una vasta gamma di servizi e soluzioni nei settori strategy, consulting, digital, technology e operations. Combinando un’esperienza unica e competenze specialistiche in più di 40 settori industriali e in tutte le funzioni aziendali - sostenuta dalla più ampia rete di delivery center a livello mondiale – Accenture opera all’intersezione tra business e tecnologia per aiutare i clienti a migliorare le proprie performance e creare valore sostenibile per i loro stakeholder. Con oltre 373.000 professionisti impegnati a servire i suoi clienti in più di 120 paesi, Accenture favorisce l’innovazione per migliorare il modo in cui il mondo vive e lavora. Visita: www.accenture.it – www.accenture.com DISCLAIMER: Questo documento è inteso a fini di informazione generale e non prende in considerazione circostanze specifiche del lettore, e potrebbe non riflettere gli sviluppi più recenti. Accenture nega, nella misura massima consentita dalla legge applicabile, qualsiasi responsabilità per l’esattezza e la completezza delle informazioni contenute in questo documento e per qualsiasi atto o omissione fatta sulla base di queste informazioni. Accenture non fornisce servizi legali, di regolamentazione, di controllo, o di consulenza fiscale. I lettori sono responsabili di ottenere tali servizi dal proprio legale o da professionisti certificati. I diritti su marchi menzionati nel presente documento, a parte i marchi Accenture, appartengono ai rispettivi proprietari. Decliniamo qualsiasi interesse di natura patrimoniale nei marchi e nomi di terzi. Copyright © 2016 Accenture All rights reserved. Accenture, il suo logo e High Performance. Delivered. sono marchi commerciali di Accenture