Gli attacchi colpiscono tutti, spesso ripetutamente, si investe in sicurezza ma in maniera poco oculata, c’è poca cultura e molta confusione sulle tecnologie e sugli effetti attesi. Questo è il quadro che emerge dal report stilato da Carbon Black, azienda statunitense di cybersecurity, basato su un survey effettuato su 250 tra CIO e CSO di aziende italiane, di diverse dimensioni e segmenti di mercato, sulla percezione della sicurezza ICT.
Un’iniziativa, quella italiana, che segue di qualche mese quanto già fatto negli UK, che pur confermando una scarsa cultura generale della sicurezza, segnala anche quanto il nostro Paese non si discosti, nella situazione generale, dalle altre country.
«A riprova che il problema sicurezza continua ad accomunare tutti i Paesi – commenta Paolo Cecchi, Regional Sales Manager di Carbon Black per l’Italia -. Tra i dati del report che maggiormente colpiscono sta il fatto che il 90% delle aziende interpellate ha subito qualche forma di attacco informatico nel corso degli ultimi 12 mesi. Un dato che, probabilmente, è stato possibile raccogliere, ora, grazie agli effetti del GDPR, che anche dal punto di vista culturale ha reso gli italiani meno restii a condividere questo tipo di informazioni. L’altro dato molto interessante che emerge è che il 59% di chi dichiara di essere stato attaccato, ha subito non un unico evento, ma almeno 5 eventi nel corso dell’anno. Con un dato medio di 5,74 attacchi subiti da ciascuna organizzazione italiana in un anno».
Indice degli argomenti
Sbagliare è umano, perseverare è diabolico
Ciò significa che, se già per una violazione le difese tradizionali tipo antivirus non sono più efficaci, quando si arriva ad averne 5 in uno stesso anno è indice che la strategia difensiva adottata finora è sbagliata proprio alla base. Evidente conseguenza di chi cerca di rispondere al primo attacco con le stesse tecnologie di sempre, dimostrandone apertamente l’inefficacia, visto il reiterarsi degli episodi.
«Un segnale di come le aziende italiane debbano iniziare a migliorare il modo in cui pensano alla sicurezza – riprende Cecchi -, e crediamo che le nostre soluzioni, che si differenziano da quelle legacy più tradizionali, possano dare alle aziende una risposta adeguata alle loro esigenze di protezione, cambiando il loro approccio e portandole a difendersi in maniera più efficace».
Tra gli attacchi più comuni riscontrati si annoverano i commodity malware (32%), il cryptojacking (28%) e gli attacchi distruttivi (14%). Il cryptojacking spopola, invece, tra le aziende di servizi finanziari, dove rappresenta la causa principale di attacco (44%), e tra le aziende di grandi dimensioni (tra i 50.000 e i 100.000 dipendenti), dove la percentuale sale al 63%.
Cresce la complessità degli attacchi
Altri dati degni di nota che emergono dal report di Carbon Black riguardano l’aumento della sofisticazione degli attacchi. Quasi la totalità delle aziende intervistate ha infatti dichiarato che gli attacchi subiti 12 mesi fa erano sensibilmente più semplici che non quelli osservati nell’ultimo anno, con la conseguenza che un maggior numero di attacchi cyber riescono ad andare a buon fine rispetto al passato. «E non necessariamente si tratta di attacchi particolarmente evoluti – spiega Cecchi -: se il breach la prima volta è stato effettuato con strumenti semplici e l’azienda ha usato risposte inadeguate, lo stesso strumento, anche se semplice, può essere utilizzato ancora per gli attacchi successivi. Nei casi, invece, in cui le aziende hanno optato per un approccio più evoluto alla sicurezza, chi attacca è costretto a cambiare metodologie d’attacco, con investimenti per renderli più sofisticati. In un’eterna corsa a “guardie e ladri” che prosegue all’infinito e che sta portando a un aumento della sofisticazione degli attacchi. Con il risultato che ormai gli attacchi basati su oggetti, rilevabili da strumenti tradizionali, sono sempre meno frequenti».
Non si confonda EDR con il threat hunting
Un ulteriore dato di rilievo è che dal report risulta che ben l’88% delle aziende italiane fa threat hunting. Il che suscita la perplessità di Carbon Black e di Cecchi: «Sul fatto che tutte le aziende che fanno threat hunting in maniera corretta lo trovino efficace, sono pienamente d’accordo, perché si tratta di uno strumento di protezione e di visibilità altamente utile. Ma una percentuale così alta insospettisce sul significato che viene dato al threat hunting, che è diverso da quello che diamo in Carbon Black. Segno che dobbiamo fare ancora molta formazione su quelle che sono le pratiche del threat hunting».
Viene fatta, infatti, una certa confusione tra il termine EDR (End Point Detection and Response) e il threat hunting, e spesso le aziende li interscambiano. La registrazione continuativa e non filtrata dei dati provenienti dagli end point è certamente alla base del threat hunting, consentendo di avere visibilità di quanto accade, ma da sola non è sufficiente. Per fare threat hunting correttamente ci vuole threat intelligence e le giuste informazioni, perché bisogna sapere cosa cercare, e richiede persone con skill e strumenti che consentano di andare a cercare le tracce dell’attacco in maniera approfondita.
Cresce il budget, ma per strumenti insufficienti
Per quanto riguarda gli investimenti, il report indica una maggiore attenzione alla sicurezza: il 96% degli intervistati conferma di avere intenzione di aumentare il budget dedicato. Con l’auspicio che tale spesa sia indirizzata verso le soluzioni non tradizionali, che abbiamo visto non funzionano più nel contesto attuale, ma che sia intenzione di investire in strumenti innovativi, in grado di risolvere i problemi di attacco una volta per tutte.
Un ambito, questo, dove Carbon Black vuole collocare il proprio offering, con soluzioni «che rispondono pienamente a quanto emerge dal survey, andando a complementare o sostituire le soluzioni antivirus tradizionali, riuscendo a dare visibilità di quanto accade all’interno delle organizzazioni e, soprattutto, di rilevare gli attacchi fileless» puntualizza Cecchi.
L’offerta del vendor comprende CB Defence, la soluzione di next generation antivirus che include anche la parte EDR e di risposta agli incidenti; CB Response è invece la soluzione dedicata al threat hunting e all’incident response on premise, mentre CB Threat Hunter è la soluzione in cloud.
La sicurezza ha bisogno di un canale competente
Consapevole della scarsa cultura del mercato sui temi della sicurezza, confermata dai risultati del survey, Carbon Black sopperisce adottando la strategia di appoggiarsi a un canale molto qualificato. «Le carenze di skill evidenziate dal report vanno lette come un’enorme opportunità per il nostro canale – interviene Cristiano Voschion, Regional Channel Account Manager di Carbon Black -. E probabilmente una situazione di skill gap si trova anche sul canale. Per questo motivo abbiamo deciso di lavorare solo ed esclusivamente con dei partner qualificati, evitando di fare un recruiting massivo, proprio perché vogliamo affrontare il mercato con qualità e competenza. Da qui la strategia di lavorare con un gruppo ristretto e qualificato di operatori, che abbiano ben presente cosa significa fare sicurezza e proporre soluzioni di EDR e di threat hunting. Partner che abbiano la volontà di conoscere in maniera approfondita le nostre soluzioni, che sono complesse, e che vogliano essere ingaggiati a lavorare con noi, con strategie condivise».
Quindi non si punta alla numerica né tantomeno su partner opportunistici, non volendo diventare un arricchimento della gamma d’offerta, ma essere parte della strategia di sicurezza del partner stesso. Partner che il vendor spinge anche verso la modalità MSP (Managed Security Service) «oggi ormai garantire sicurezza è un lavoro full time, non basta installare la tecnologia, ma va gestita e manutenuta e aggiornata con intelligenza. Credo che buona parte del canale italiano oggi debba pensare a come sfruttare le tecnologie di sicurezza per erogare servizi di sicurezza gestiti, potendo inoltre sfruttare le tecnologie e glii skill su clienti multipli. Una grandissima opportunità anche per i clienti, sempre a rischio ma con poche risorse, tecnologie o skill, per gestire in maniera adeguata e in autonomia la sicurezza» conclude Voschion.