Continui attacchi informatici: raggiungere l`eccellenza

Continui attacchi informatici:
raggiungere l’eccellenza operativa
per la nuova normalità
Anche la migliore strategia informatica difensiva può fallire se non viene attuata in
modo efficace. È la “strategia locale” del security team a determinare la sua capacità
di individuare e rispondere agli attacchi informatici, ma molte organizzazioni non
sono all’altezza. Quello che manca è un giusto mix di talento e competenze, oltre a
un solido modello di cyber security in grado di promuovere azioni adeguate quando
si presentano delle minacce.
Gli attacchi informatici non sono certo una novità, ma recentemente
hanno conseguenze sempre più significative. L’espansione dell’Internet
of Things (IoT), il proliferare di dispositivi connessi e la crescita del
cloud computing sono tutti elementi che implicano l’estendersi dei
“fronti di attacco”. Le banche, ad esempio, collegando i bancomat alle
proprie reti, si sono resi accessibili agli hacker così come le compagnie
petrolifere collegando raffinerie, impianti e sistemi per la gestione
degli oleodotti in rete, talvolta utilizzando Internet per implementare
il sistema di gestione dei fornitori, aprono la strada agli attacchi informatici. In questo ambiente ricco di obiettivi, gli hacker sono facilitati
nel trovare un punto di accesso alle organizzazioni. Contemporaneamente aumentano le conseguenze delle violazioni della sicurezza per
CEO e CIO, che si trovano maggiormente a rischio sia dal punto di
vista personale che professionale.1
Un altro problema è che la capacità di difesa informatica di molte
organizzazioni è sempre più disturbata da un “rumore di sottofondo”
che maschera le vere minacce provenienti sia dall’esterno che dall’interno dell’organizzazione. La costante evoluzione dell’ambiente dell’IT
che caratterizza la maggior parte delle grandi imprese può rendere
molto difficile per il team della sicurezza tenere traccia delle informazioni critiche e proteggerle. La maggior parte dei leader, ad esempio,
sa intuitivamente quali sono i “gioielli della corona” dell’azienda, siano
essi dati dei clienti, una “ricetta” segreta o algoritmi operativi. Far sì
che il team della sicurezza sappia dove trovare queste risorse, tuttavia,
richiede un solido approccio alla gestione delle informazioni, che
potrebbe rivelarsi arduo a causa delle esigenze del business che spesso
necessita di un’infrastruttura IT flessibile che sappia adeguarsi alle
continue nuove richieste. Per tenere traccia di queste problematiche,
lo staff della sicurezza deve sviluppare le proprie “soft skills”, per poter
dialogare e collaborare con il business dell’azienda in maniera più
efficace.
Incrementare l’efficacia operativa può produrre notevoli vantaggi in
termini di sicurezza, dalla riduzione del numero di incursioni messe a
segno alla riduzione dei tempi di risposta, fino a ripristinare più rapidamente l’attività a seguito di un’aggressione. Una solida strategia
locale per la sicurezza può inoltre ridurre i costi e i rischi per il business di un’azienda. La strada per raggiungere questo livello di performance, tuttavia, rimane per molte società costellata di ostacoli per
differenti ragioni.
Inoltre, nuovi approcci come l’infrastruttura definita dal software
(SDI), che distribuisce risorse di rete, di calcolo e di archiviazione come
servizi, possono rendere gli asset più dinamici in termini di ubicazione
e della funzione all’interno della topologia di rete. Se da un lato l’SDI
può dare un significativo impulso alla sicurezza dell’infrastruttura,
dall’altra parte può rendere confuso il contesto in base al quale, a
livello operativo, i team della security fanno affidamento per comprendere ciò che è un comportamento normale rispetto a ciò che non lo è.
Carenza di tecnologie e competenze
essenziali nelle organizzazioni
Analogamente, spesso la sicurezza non ha sufficiente visibilità nel
“panorama degli asset” dell’organizzazione per i limiti imposti dagli
strumenti e dai processi utilizzati. Ad esempio, un security analyst che
riceve una segnalazione di un potenziale attacco in atto sulla rete, a
causa dell’accesso limitato alle informazioni e alle persone necessarie
impiegherà giorni nel tentativo di verificare l’origine del problema. Un
altro ostacolo è il tempo stesso: mentre la maggior parte delle violazioni si verifica nell’arco di pochi giorni, l’industria del settore impiega
in media da sette a otto mesi per individuarle. Colmare questa lacuna
dovrebbe essere un compito prioritario.
L’esperienza dimostra che le operazioni di sicurezza non sono sufficientemente rigorose e interconnesse e che figure chiave continuano a
non essere consapevoli delle vulnerabilità dell’azienda. Spesso le organizzazioni adottano una serie non ben definita di processi e funzionalità ad hoc che presentano livelli di efficacia variabili. Oltretutto, molte
non hanno ancora adottato una sana “security routine” a livello aziendale, che includa elementi essenziali quali il controllo degli accessi,
l’autenticazione a due fattori, una rigorosa gestione della vulnerabilità
e la conformità ai criteri delle password. Nella maggior parte dei casi
poi, il principale problema operativo si riduce a persone e competenze,
sia a livello di aziende che tra i professionisti della sicurezza. Nel contesto attuale, caratterizzato da un elevato turnover del personale,
spesso le aziende si espongono affidando a un unico responsabile
un’area di sicurezza, come ad esempio il reverse engineering di
malware o l’Incident Response. Se questa persona lascia l’azienda,
tutto il know-how se ne va con lui o con lei.
@AccentureSecure
2
Come raggiungere l’eccellenza operativa nella difesa informatica
Ci sono alcune misure specifiche che le organizzazioni dovrebbero
adottare per migliorare le operazioni di sicurezza, a partire da una
serie di azioni fondamentali fino all’adozione di misure avanzate quale
l’utilizzo di “sparring partner”.
feed delle minacce e qual è il nesso con i crescente fronti di attacco.
È necessario anche aggiornarsi costantemente: un’organizzazione
aveva creato un sistema di monitoraggio della sicurezza ma poi non
lo aveva aggiornato periodicamente, con il risultato che nel giro
di un anno il sistema copriva solo il 70% del servizio in continua
espansione.
•Valutazione delle competenze di security. Valutare i processi di
sicurezza attualmente utilizzati dall’azienda in termini di efficacia
all’atto di rispondere a una minaccia. L’avvento di nuove importanti
fonti di dati come l’Internet of Things e il cloud computing rendono
questa sfida ancora più complessa. Sebbene molte organizzazioni
comprendano il problema da un punto di vista teorico, introdurre
elementi del mondo reale, come l’utilizzo di “sparring partner”
(vedere di seguito la descrizione) può aiutare i team della security a
verificare l’efficacia pratica delle proprie difese.
• Conoscere i propri punti deboli. Identificare i tipi di problemi
che la sicurezza non è in grado di risolvere con le sue competenze
attuali e quindi individuare i dati necessari per svolgere un’analisi
efficace e fare chiarezza. È anche possibile che l’azienda non si
ponga le domande giuste o che non abbia la visibilità indispensabile
per vedere i dati necessari, soprattutto data la rapida espansione
dei fronti di attacco digitali da difendere a fronte della crescita del
cloud e di altri elementi della rete. Oltre ad avere una solida conoscenza della situazione in cui si verifica la minaccia, è necessario
avere una piena cognizione delle capacità di difesa dell’azienda e
saperle controllare con efficacia.
• Investire nel talento quando opportuno. Le notizie pressoché
quotidiane di nuovi attacchi informatici di elevato profilo hanno
fatto schizzare alle stelle le richieste di talenti della sicurezza altamente qualificati, rendendo sempre più difficile attrarre e trattenere
le figure valide di questo settore. Le organizzazioni devono creare
nuove value proposition che vadano al di là della retribuzione, mettendo a disposizione ad esempio strumenti all’avanguardia, percorsi
di formazione e l’accesso delle conoscenze del settore condivise tra
colleghi. Altri incentivi potrebbero essere la partecipazione a conferenze e l’accesso a opportunità di innovazione, adattando strumenti e
tecnologie alle nuove applicazioni. Dati gli attuali vincoli di bilancio,
le organizzazioni devono anche capire quali sono le capacità realmente importanti affidando all’esterno quelle che non lo sono.
• Investire in un modello operativo altamente efficiente. Esistono
molti modelli che allineano i servizi IT alle esigenze del business
di un’organizzazione, fornendo un punto d’interfaccia per lo sviluppo di strategie operative efficaci per la sicurezza. Dato il tasso
di cambiamento pressoché costante delle funzioni IT, determinato
dall’integrazione massiccia di nuovi asset cloud e IoT nelle reti
aziendali, le società hanno la necessità di gestire l’evoluzione del
ruolo dell’organizzazione della sicurezza in termini di gestione del
rischio, trasferimento tecnologico al mondo delle imprese, utilizzo di
“team esplorativi” e rotazione delle mansioni dello staff. Inoltre l’esperienza conferma l’importanza di trovare un equilibrio tra il tempo
impiegato nell’esecuzione di operazioni di sicurezza, nell’implementazione di nuove tecnologie e nella verifica dello stato di sicurezza
dell’organizzazione. Le aziende devono anche creare uno scambio
continuo di informazioni ben strutturato al fine di aggiornare le
proprie difese in caso di incidenti.
• Automatizzare con intelligenza. Comprendere quali sono, all’interno delle operazioni di sicurezza, le attività più lunghe e ricorrenti
che tengono impegnato lo staff e valutare la possibilità di automatizzarle lasciando che i talenti si occupino di compiti più impegnativi. È
chiaro che oggigiorno gli hacker siano in una posizione di vantaggio
visto il proliferare dei fronti di attacco. Di conseguenza, le organizzazioni con un buon sistema di sicurezza si stanno adoperando per
passare dal monitoraggio continuo, al quale si affidano attualmente,
all’automazione che può aiutarle a gestire minacce elementari come
lo “spear phishing”, dove l’aggressione avviene mediante l’invio di
e-mail personalizzate ai destinatari. Attualmente, molte organizzazioni svolgono questo lavoro manualmente. Tuttavia, le organizzazioni, dovendo gestire rapidamente un volume di dati in rapida
crescita, hanno la necessità di scalare le risposte in modo adeguato
utilizzando l’automazione per risolvere il problema del “rumore di
sottofondo” nella sicurezza.
• Cercare uno sparring partner. Perfezionare le competenze di
sicurezza informatica può essere difficile se non si dispone di uno
“sparring partner” come nella boxe. Ad esempio, una volta affinata
la tecnica con dei “sacchi da box” statici, le aziende hanno bisogno
di un avversario a grandezza naturale per migliorare ulteriormente.
Lo sparring partner deve esercitare tutta la creatività e la determinazione di un aggressore reale per essere certi che le innovazioni
adottate dall’azienda nel campo della sicurezza siano al passo con i
progressi più recenti e in crescita esponenziale realizzati dagli hacker.
Ciò implica il coinvolgimento di tutti gli stakeholder: insurance,
risk management, marketing e comunicazione, ufficio legale, team
antifrode e così via. Se condotto in modo corretto, l’approccio dello
sparring partner replica gli attacchi reali molto meglio di quanto
non sia possibile attraverso lo svolgimento di esercizi di simulazione
preparati a tavolino, il controllo di una checklist di conformità o l’esecuzione di un penetration test annuale. Questo approccio rispecchia una dichiarazione di Joe Louis, un ex campione dei pesi massimi,
che sosteneva: “Tutti hanno un piano, finché non vengono colpiti”.
• Contestualizzare i dati raccolti sulle minacce. Spesso i team della
security non hanno una chiara percezione della situazione quando
si verifica un incidente. Devono conoscere le implicazioni a livello
di business aziendale, chi sono i player, quali sono le priorità e se
possono agire in base alle informazioni a disposizione. Le organizzazioni devono capire se il team della sicurezza ha una conoscenza
sufficiente degli asset specifici per poter contestualizzare in modo
efficace i dati relativi alle minacce. Ad esempio, con l’espansione
dell’attività di business, la sicurezza deve sapere cosa cercare nei
3
Accenture.com/CyberDefensePlan
Definizione di un modello operativo
efficace
• Analytics di alto livello in grado di anticipare e individuare gli
incidenti. Le aziende devono poter identificare variazioni che sono
un indice di rischio per la sicurezza di sistemi, reti, utenti e processi
aziendali. A dimostrazione di ciò, alcuni recenti casi di frode hanno
evidenziato che le variazioni nell’esecuzione dei processi di un’azienda possono essere correlati a una minaccia.
Una difesa informatica di successo si basa su un approccio a 360 gradi
con un’attenzione costante all’impatto aziendale. Le aziende hanno
bisogno di dipendenti ben allenati che sappiano recepire piani e procedure di risposta agli incidenti chiari e precisi per poter gestire qualsiasi evento, dalla vulnerabilità 0-day (vulnerabilità nascosta delle
applicazioni di calcolo) a una violazione pubblica su larga scala. Le
best practice sono una dimostrazione di ciò che contraddistingue realmente un buon modello operativo di cyber security. È un modello che
assiste il team della sicurezza nel prepararsi e proteggersi in caso di
una violazione fornendo una visione funzionale delle minacce e
gestendo attivamente le vulnerabilità. In secondo luogo consente alla
sicurezza di individuare le intrusioni e difendersi da queste mediante
analytics avanzati e il monitoraggio degli asset critici. Infine mette
l’organizzazione nelle condizioni di rispondere e recuperare con
efficacia, adottando strategie di difesa attiva e gestendo attivamente
gli incidenti.
• Dare maggiore importanza alla Visualization per individuare rapidamente le anomalie a fronte di un aumento del volume dei dati.
Dal punto di vista del monitoraggio operativo, leggere attentamente
log e testo per capire che ciò che sta accadendo oggi richiede
troppo tempo se si considera la massa di informazioni digitali provenienti dallo IoT e dal cloud.
• Piattaforme che guidino gli operatori della security nella ricerca
di minacce sconosciute tra i dati della sicurezza per aiutare le
aziende a individuare più rapidamente le incursioni.
• Dedicare alla formazione la stessa attenzione che l’azienda riserva
alla lotta contro gli aggressori costituisce il modo migliore per
preparare il team della sicurezza agli avversari del mondo reale. Le
esercitazioni dovrebbero riguardare sia le operazioni di sicurezza che
la capacità di coinvolgere i canali strategici dell’azienda.
Le organizzazioni leader conducono le proprie operazioni di sicurezza
sulla base di un’intelligence ad immediato impatto operativo. Di conseguenza, necessitano di un modello che sia in grado di informare il
security team sulle minacce incombenti. In particolare, gli addetti
cyber security devono capire quali sono gli strumenti, le tattiche e le
procedure utilizzate quotidianamente dagli aggressori contro l’organizzazione. In altre parole, una volta che la miccia è innescata, come si
deve comportare la sicurezza? Bloccarla con l’automazione, fermare il
sistema e studiare l’intrusione, o tutte e tre le cose? L’unico modo
certo per trovare la risposta giusta è fare pratica e allenarsi con diversi
tipi di incidenti in modo costante. Le organizzazioni infatti di norma
non riescono ad accumulare una mole di conoscenze generalizzate
sufficiente a reagire rapidamente a nuovi attacchi a livello aziendale.
I modelli utilizzati dalle organizzazioni con azioni di cyber defense
efficaci hanno molte caratteristiche in comune. Partendo da una strategia globale su come il lavoro della sicurezza supporta le performance
aziendali, arrivano a fornire processi e roadmap dettagliati e consolidati su misura dell’organizzazione. Stabiliscono canali di comunicazione e relazioni efficaci con l’IT, il business e i fornitori di servizi
esterni. Definiscono con chiarezza ruoli e responsabilità dei team che
gestiscono le capacità di difesa informatica, dimostrando la necessità
di lavorare insieme. Conducono operazioni di sicurezza monitorando in
modo attento e costante le esigenze aziendali. Sono concentrati sulla
risposta agli incidenti, l’intelligence delle minacce, l’intelligence tecnologica e la gestione delle vulnerabilità. Le organizzazioni proattive
prevedono anche analytics e misure di difesa attive. Infine, affrontano
i problemi di governance e del processo decisionale, le esigenze del
personale e le modalità per misurare il successo su base globale.
Gli elementi chiave del modello sono:
• Competenze lungimiranti che aiutino a scalare le attività della
sicurezza consentendo di gestire le minacce prevedibili e preparare
i team ad affrontare le sfide poste da nuove realtà come IoT, cloud e
lo sviluppo di nuovi prodotti.
• Una strategia IT che specifichi che cos’è un asset, facendo uso di
tecniche operative avanzate che non si fermino all’hardware e al
punto in cui è fisicamente collegato. I team della sicurezza devono
raggiungere una conoscenza approfondita delle identità, dei set
di dati e delle funzioni tecniche e commerciali del loro ambiente.
Devono possedere solide competenze di gestione delle vulnerabilità
per sapere quali sono le minacce alla sicurezza che possono colpire
più gravemente l’azienda nel suo insieme e quali relazioni intercorrono tra i diversi elementi di queste minacce.
@AccentureSecure
4
Modello del ciclo di vita della
cyber security
EG
IA
E
AR
AR
PR
O
E
ER
GG
TE
PR
EP
ST
T
RA
Allineamento di
strategia e business
Persone e cambiamento
culturale
Risposta agli incidenti
Ripristino
Application & Data
Security
Platform & Infrastructure
Security
SFORMAZIONE
Governance, rischio e
compliance
TRA
Assessment & Architecture
Identità digitale
Gestione delle vulnerabilità
e Threat intelligence
MA
Simulazioni avanzate degli
avversari
PO
D
SE
CU
RI
ER
TY
E
&
DIFE
CYB
ND
RE
ID
Analytics delle
minacce
informatiche
IV
RIS
GE
ND
UA
NA
Monitoraggio della
sicurezza
ER
I
EE
ND
ER DEFENSE
5
Accenture.com/CyberDefensePlan
Conclusioni
3 Rispondere e recuperare
La strategia di cyber security di
un’organizzazione necessita di un giusto
mix di talento, competenza, capacità
e tecnologia. Ma richiede anche
qualcos’altro: un solido modello operativo
che consenta alla strategia aziendale
di gestione del rischio di centrare tre
obiettivi:
Rispondere e recuperare rapidamente
dopo gli attacchi e con la minima
esposizione possibile, applicando approcci
di gestione degli incidenti di sicurezza
all’avanguardia e adottando una strategia
di difesa attiva.
Il brutale attacco agli asset digitali di
società e istituzioni internazionali non
accenna a diminuire nel prossimo futuro;
anzi probabilmente è vero il contrario.
Dato il contesto ad alto rischio, le
aziende devono impiegare le migliori
capacità operative nell’ambito della
sicurezza se vogliono raggiungere la
coesione e la chiarezza necessarie per
difendere gli asset digitali più preziosi
dell’organizzazione.
1 Preparare e proteggere
Prepararsi e proteggersi per le sfide
future fornendo un intelligence delle
minacce utile e un programma di
gestione delle vulnerabilità che supporti
la strategia di business della società.
2 Difendere e individuare
Difendere e individuare le minacce
utilizzando una combinazione di analytics
della sicurezza avanzati e competenze di
monitoraggio operativo avanzate.
@AccentureSecure
6
7
Accenture.com/CyberDefensePlan
Autori
Fonti
Bill Phelps
Managing Director, Global Security Services
[email protected]
Twitter: @waphelps
1. Secure State, C-Level Executives No Longer Immune to the Effects of
a Security Breach, July 31, 2015. https://www.securestate.com/blog/
2015/07/31/c-level-executives-no-longer-immune-to-the-effectsof-a-security-breach
Ryan LaSalle
Managing Director, Security Growth & Strategy Lead
[email protected]
Twitter: @labsguy
Kevin Richards
Managing Director, North America Security Practice
[email protected]
Twitter: @kevin_richards
Matt Devost
Co-founder and CEO of FusionX
[email protected]
Twitter: @MattDevost
Steve Culp
Senior Managing Director, Accenture Finance & Risk Services
[email protected]
Twitter: @steve_culp
David Smith
Senior Managing Director, Talent & Organization
[email protected]
Accenture
Accenture è un’azienda leader a livello globale nel settore dei servizi
professionali, che fornisce una vasta gamma di servizi e soluzioni
nei settori strategy, consulting, digital, technology e operations.
Combinando un’esperienza unica e competenze specialistiche in più
di 40 settori industriali e in tutte le funzioni aziendali - sostenuta
dalla più ampia rete di delivery center a livello mondiale – Accenture
opera all’intersezione tra business e tecnologia per aiutare i clienti
a migliorare le proprie performance e creare valore sostenibile per
i loro stakeholder. Con oltre 373.000 professionisti impegnati a servire i suoi clienti in più di 120 paesi, Accenture favorisce l’innovazione per migliorare il modo in cui il mondo vive e lavora.
Visita: www.accenture.it – www.accenture.com
DISCLAIMER: Questo documento è inteso a fini di informazione
generale e non prende in considerazione circostanze specifiche del
lettore, e potrebbe non riflettere gli sviluppi più recenti. Accenture
nega, nella misura massima consentita dalla legge applicabile,
qualsiasi responsabilità per l’esattezza e la completezza delle
informazioni contenute in questo documento e per qualsiasi atto
o omissione fatta sulla base di queste informazioni. Accenture
non fornisce servizi legali, di regolamentazione, di controllo, o di
consulenza fiscale. I lettori sono responsabili di ottenere tali servizi
dal proprio legale o da professionisti certificati.
I diritti su marchi menzionati nel presente documento, a parte i
marchi Accenture, appartengono ai rispettivi proprietari. Decliniamo
qualsiasi interesse di natura patrimoniale nei marchi e nomi di terzi.
Copyright © 2016 Accenture
All rights reserved.
Accenture, il suo logo e
High Performance. Delivered.
sono marchi commerciali di Accenture