Storicamente il sistema economico del nostro paese è imperniato sulla piccola e media impresa. Tuttavia, in questa fase complessa del processo di globalizzazione, le nostre piccole e medie imprese (di seguito PMI) hanno sempre più bisogno di una salvaguardia particolare dalle minacce provenienti dalla rete, che richiedono sistemi di Cyber Threat Intelligence.
La competizione a livello internazionale nel contesto economico attuale si è fatta via via sempre più difficile e la sopravvivenza delle imprese è messa a dura prova. Ricordiamo che le PMI occupano più di un terzo degli addetti e contribuiscono per più del 40% alla creazione di valore aggiunto[1], costituendo una parte notevole della nostra economia. Alle minacce provenienti dal mercato vanno ad aggiungersi quelle provenienti dalla rete. Questo contesto già di per sé sfidante, ha visto l’aumento costante negli ultimi anni degli attacchi informatici diretti contro le PMI, mirati principalmente alla compromissione dei sistemi informativi e a carpire i segreti industriali delle aziende. Con l’arrivo della pandemia, peraltro, la minaccia è in fase di rapida evoluzione e risulta determinante adeguare lo schermo di difesa contro i nuovi pericoli emergenti.
Indice degli argomenti
PMI: lo stato della minaccia al tempo della crisi pandemica
La crisi sanitaria ha significato per molte aziende il passaggio a un nuovo tipo di organizzazione del lavoro in cui il lavoro agile e il telelavoro hanno visto una rapida crescita. Secondo un’indagine ISTAT pubblicata a giugno 2020[2], il 90% delle grandi aziende (> 250 addetti) in Italia, il 73 % delle aziende di medie dimensioni (50- 249 addetti), il 37% delle piccole aziende (10-49 addetti) ed infine il 18 % fra le microimprese (3-9 addetti) ha fatto ricorso allo Smart Working. Si è passati dunque dall’1,2 % del totale del personale operante a distanza a gennaio-febbraio del 2020 all’8,8 % di marzo.
L’adozione del sistema di lavoro a distanza è stata determinante per l’evoluzione della minaccia. Si è, infatti, assistito a uno spostamento di interesse da parte degli attaccanti dalle superfici di attacco digitali a quelle fisiche. Dunque, se prima della pandemia l’attenzione dei team di cyber security si concentrava maggiormente sulla messa in sicurezza della rete, delle connessioni al suo interno e delle applicazioni, adesso di primaria importanza risulta essere la protezione dei endpoint devices e della loro relativa connessione alla rete primaria.[3]
I lavoratori attivi da casa hanno a disposizione computer, telefoni, tablet forniti dall’azienda oppure, se l’azienda adotta una politica di tipo Bring your own device (BYOD), dispositivi personali adattati alla funzione di dispositivo aziendale. Sebbene le aziende ricorrano a sistemi di protezione dei propri dispositivi, dei sistemi informativi e dei relativi accessi da remoto (come per esempio VPN, Remote Desktop etc.), le modalità di connessione utilizzate dai dipendenti, non possono essere considerate sicure tout court. Inoltre, per quanto riguarda i dispositivi BYOD, il tema risulta essere più complesso; infatti, diventa rilevante non solo la messa in sicurezza delle connessioni e reti in uso, ma anche lo stato di salute dei dispositivi personali stessi dei lavoratori che possono essere compromessi.
Il rapporto ENISA
A confermare questo rischio è un report di recente pubblicazione dell’Agenzia Europea per la Sicurezza delle Reti e delle Informazioni (ENISA)[4] in cui vengono classificate le tipologie di attacchi verificatisi più frequentemente nel corso del 2020. Gli attacchi tramite malware occupano la prima posizione, a seguire, i web-based attacks, le attività di phishing, i web Application attacks e lo spam. Questa “top five” descritta dall’ENISA è indice di una debole protezione dei dispositivi fisici (Malware, WBA, WAA) e di un comportamento poco consapevole ed informato degli utenti che ne fanno uso (phishing e spam).
La consueta analisi annuale di Clusit[5] riporta fra i malware più diffusi nel 2019 i ransomware rappresentando circa il 46% del totale. Inoltre, secondo il rapporto di Cisco[6], almeno il 52% delle PMI ha subito un attacco di questo tipo. Per ransomware si intende un malware che induce la limitazione nell’uso del dispositivo o impedendone l’accesso. La pericolosità di questa minaccia è collegata alla facilità di reperibilità e accessibilità di questo tipo di malware da parte degli attaccanti. Infatti, i ransomware sono venduti a basso prezzo “as service” presso alcuni “marketplace” presenti nel dark web che forniscono toolkit completi di istruzioni d’uso e materiale necessario a condurre questo tipo di attacco.
Per quanto concerne il phishing, va considerato che la crescita di questo fenomeno è collegata in parte anche all’incremento dello smart working in queste aziende: il telelavoro non solo come detto aumenta la superficie d’attacco, ma è anche facile pensare che potrebbe incentivare il dipendente a tenere comportamenti meno aderenti alle policy di sicurezza aziendali e, quindi, ad un uso scorretto dei dispositivi (es. pagamenti online). Proprio a tal riguardo, va specificato che la tipologia di phishing più in voga al momento risulta essere la cosiddetta Business E-mail Compromise che si concretizza nella richiesta di trasferimento di fondi indirizzata all’account aziendale del malcapitato da parte dell’hacker. Tale attacco risulta in rapida crescita nelle PMI.
L’importanza della Cyber Threat Intelligence
Certamente, un piano di sicurezza della componente informativa del patrimonio aziendale deve prevedere un articolato sistema di gestione delle informazioni basato sull’implementazione di numerose misure di sicurezza quali, ad esempio, policy e procedure per la governance dei sistemi, implementazione di protocolli crittografici per le comunicazioni in rete, videosorveglianza. È la cosiddetta layered security che attraverso l’implementazione di controlli di tipo diverso (organizzativo, tecnico e fisico) garantisce una difesa appropriata contro le minacce provenienti dal cyberspace.
Tuttavia, specialmente in contesti come le PMI in cui il budget allocato per garantire la sicurezza del sistema informativo non è di certo illimitato, si pone il problema di un attento impiego delle risorse per tradurre in operazioni concrete il piano di sicurezza steso sulla carta. Il punto centrale è quello di scegliere le misure di sicurezza più appropriate al contesto basando tale scelta sul rischio a cui è soggetta la propria organizzazione; ciò al fine di evitare lo spreco di risorse che risulterebbe dall’investimento in misure di sicurezza implementate per l’abbattimento di rischi remoti.
L’analisi dei rischi su cui si deve basare la scelta delle misure di sicurezza non può prescindere da una attenta attività di intelligence finalizzata alla raccolta e all’analisi dei dati per produrre informazioni verificate e quindi, in ultima analisi, utilizzabili. Proprio per questa ragione la Cyber Threat Intelligence (ovvero la ricerca e l’elaborazione di dati e notizie di interesse sul cyberspace al fine di prevenire, rilevare, contenere contrastare le minacce provenienti dalla rete – di seguito CTI) dovrebbe essere il perno su cui le PMI devono basare il piano di sicurezza delle informazioni.
La CTI segue lo stesso ciclo di una qualsiasi altra attività di intelligence. È un’attività che parte generalmente dalla definizione degli obbiettivi che si vogliono conseguire che, come abbiamo detto, sono tesi a gestire al meglio la security posture dell’organizzazione, calibrando adeguatamente gli sforzi economici per l’implementazione delle misure di sicurezza. Prevede poi una fase di raccolta informativa alla quale segue quella di analisi dei dati. A questo riguardo, si sottolinea che la CTI è un’opzione di difesa attiva che richiede molteplici competenze, non solo di natura puramente tecnica poiché non tutti gli indicatori di rischio attengono a tale dimensione. Infatti, esemplificativamente un indicatore di rischio può essere considerato anche lo stato di salute delle relazioni tra due paesi nella misura in cui un peggioramento di queste potrebbe causare l’aumento del numero di attacchi di tipo state sponsored. Infine, il ciclo si chiude con la produzione delle informazioni che dovranno supportare la decisione circa le misure di sicurezza da applicare o rafforzare e la valutazione dei risultati confrontati con gli obbiettivi che inizialmente fissati.
Quali soluzioni di Cyber Threat Intelligence
Sul mercato esistono diverse soluzioni di Cyber Threat Intelligence per le PMI. Ci sono vere e proprie suite di software che mettono a disposizione dell’organizzazione una vasta gamma di indicatori e tecnologie avanzate come artificial intelligence e machine learning, per produrre una conoscenza immediatamente azionabile. Queste soluzioni collezionano informazioni da fonti aperte e non, sia nel web che al di fuori, al fine di produrre alert specifici e su misura rispetto al contesto organizzativo. Di solito integrate con i sistemi SIEM dell’organizzazione, queste suite permettono anche di riconoscere eventuali attacchi in corso grazie al confronto con i pattern d’attacco più comuni, fornendo così un contributo di elevatissimo valore. Infatti, anche se attacchi diversi sembrano seguire differenti modi di infiltrazione, in pratica hanno un ciclo di vita simile chiamato kill chain: in breve, cominciano da una ricognizione, proseguono con la conquista di un pivot point sulla rete target e finiscono per eseguire le loro attività dannose sui sistemi.
Alle aziende si presenta anche l’opzione di esternalizzare l’attività, la quale offre indubbi vantaggi per quelle aziende che non ritengono di avere sufficiente competenza all’interno per gestire il servizio. Infatti, alcuni tra i più famosi system integrator forniscono managed security services che includono servizi di SOC nell’ambito dei quali normalmente le attività di threat intelligence costituiscono una parte rilevante. Negli ultimi anni sono cresciute anche solide realtà italiane che offrono simili servizi. Il vantaggio relativo all’esternalizzazione si estende anche al lato economico in quanto i fornitori di tali servizi sono in grado di generare economie di scala e offrire il servizio ad un costo talvolta minore rispetto al costo che un’azienda dovrebbe sostenere se il servizio fosse gestito al suo interno.
Quando né investire in una suite di software di CTI né appaltare il servizio è economicamente alla portata dell’organizzazione, è fortemente consigliato cercare ugualmente di gestire l’attività con strumenti quali bollettini o report di società e informative di istituzioni e gruppi specialistici. A questo proposito il sito web del CSIRT – Italia offre validi contributi in tal senso. Quasi quotidianamente, infatti, il gruppo incardinato presso il Dipartimento delle Informazioni per la Sicurezza (DIS) della Presidenza del Consiglio dei Ministri pubblica notizie su vulnerabilità, zero-day, disponibilità di aggiornamenti e patch. Inoltre, mette a disposizione alcune pubblicazioni che riguardano descrizioni di malware e indicazioni sulle misure di contrasto, nonché linee guida e buone pratiche di settore. Da citare sicuramente il vademecum sul lavoro da remoto[7] tra le cui indicazioni figurano in testa l’incentivazione della consapevolezza da parte dei dipendenti circa l’uso dei dispositivi, l’accesso sicuro alla rete dell’organizzazione e l‘adeguata sicurezza dei dispositivi: misure di sicurezza che vanno ad indirizzare proprio le principali minacce descritte sopra.
- http://dati.istat.it/Index.aspx?DataSetCode=DICA_ASIAUE1P ↑
- https://www.istat.it/it/files/2020/06/Imprese-durante-Covid-19.pdf ↑
- Fortinet, Global Threat Landscape Report, Agosto 2020 ↑
- https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends/etl-review-folder/etl-2020-malware ↑
- https://clusit.it/rapporto-clusit/ ↑
- https://www.cisco.com/c/dam/global/it_it/solutions/small-business/pdf/security-essentials.pdf ↑
- https://csirt.gov.it/contenuti/lavoro-da-remoto-vademecum-delle-policy-di-sicurezza-per-le-organizzazioni ↑
