La difesa delle risorse digitali in azienda oggi si gioca sempre più in modalità di prevenzione, per cui non basta più riconoscere e bloccare i tentativi illeciti volti a ottenere l’accesso alla rete, ma occorre monitorare e comprendere cosa fa chi si muove all’interno dell’infrastruttura. Le tecniche di attacco informatico di ultima generazione non necessitano infatti più di introdurre per forza malware nella rete di un’organizzazione, software malevolo che i tradizionali strumenti di cybersecurity possono facilmente individuare e bloccare. Gli attaccanti oggi, una volta ottenuto l’accesso grazie a credenziali rubate, iniziano a muoversi e studiare la rete usando strumenti perfettamente legittimi, già presenti nei sistemi aziendali stessi.
Ciò fa sì che le nuove modalità di attacco siano più insidiose e di tipo invisibile, silenziose e camuffate da traffico apparentemente normale. Gli hacker si muovono infatti all’interno della rete utilizzando strumenti legittimi quali tool di amministrazione, script, ambienti di automazione o soluzioni per il monitoraggio e la gestione remota degli asset aziendali e delle OT interconnesse. Il primo passo di un attaccante è quindi garantirsi privilegi elevati, creando magari una volta all’interno nuovi account che gli garantiscano la persistenza, anche qualora le credenziali di accesso utilizzate per la violazione originaria dovessero in qualche modo scadere. Inizia dunque a muoversi indisturbato nella rete, esplorando l’infrastruttura per individuare risorse critiche e dati sensibili, procedendo alla loro raccolta ed esfiltrazione.
Questa sorta di ‘invisibilità operativa’ dell’attaccante impone uno spostamento nella postura di sicurezza cyber delle aziende: difese tradizionali basate su firme o indicatori statici non sono più efficaci, in quanto non basta sapere chi o cosa entra nel sistema, ma serve capire cosa succede al suo interno, passando al monitoraggio continuo del comportamento degli utenti e delle entità che si muovono nella rete. Diversi sono quindi i comportamenti da monitorare, includendo comandi eseguiti, sequenze di azioni e anomalie che si discostano dalle normali abitudini degli utenti e dei processi aziendali. Imprescindibili sono quindi tecnologie come gli strumenti EDR (Endpoint Detection and Response) e NDR (Network Detection and Response), che permettono di ricostruire la catena degli eventi e di individuare in tempo reale attività sospette.
La tempestività è quindi un fattore essenziale, in quanto tempo e velocità diventano determinanti: quanto più velocemente viene riconosciuto e intercettato un tentativo di attacco in corso, tanto più è possibile limitare e contenere i danni. Una risposta ritardata comporta di contro dover gestire danni già avvenuti, che possono andare dalla perdita di dati preziosi per l’organizzazione, al blocco operativo dei processi fino alle richieste di riscatto. In tal senso, oggi diventa sempre più vantaggioso ed efficace affidarsi a servizi gestiti, con strumenti MDR (Managed Detection and Response), che consentono alle aziende di avvalersi del supporto di team di esperti in cybersecurity che possono individuare le minacce reali distinguendole dai falsi positivi, per intervenire quindi in modo mirato e analizzare gli incidenti.
Un’altra importante e decisiva evoluzione riguarda il ruolo dell’intelligenza artificiale nella gestione della sicurezza informatica delle infrastrutture digitali. Se infatti gli attaccanti fanno già ampiamente ricorso alla AI per automatizzare e accelerare in maniera allarmante alcune fasi chiave dell’attacco, la AI deve essere utilizzata anche dai team nei SOC (Security Operation Center) per l’analisi preliminare di enormi quantità di dati, allarmi ed eventi di sicurezza, identificando e segnalando agli analisti pattern sospetti che non collimano con gli abituali schemi di comportamento degli utenti, e che potrebbero quindi portare a possibili incidenti di sicurezza. In questo contesto, l’Intelligenza Artificiale non sostituisce il ruolo dell’uomo, ma ne potenzia le capacità operative, contribuendo a ridurre il rumore di fondo generato dalla crescente quantità di eventi da analizzare. L’AI consente infatti di valorizzare il lavoro degli esperti di sicurezza, permettendo loro di concentrarsi sugli eventi più rilevanti e a maggiore rischio, con conseguente riduzione dei tempi di analisi, indagine e risposta agli incidenti.
Nell’attuale scenario della cybersecurity, il tempo rappresenta un fattore determinante. Se da un lato gli attaccanti, una volta ottenuto l’accesso a un’infrastruttura, sono in grado di analizzare rapidamente la rete e individuare in pochi istanti le vulnerabilità sfruttabili, dall’altro le organizzazioni devono dotarsi di strumenti e processi altrettanto rapidi, efficaci e reattivi, in grado di contrastare minacce sempre più sofisticate, veloci e difficili da individuare.
Ancora una volta, risulta strategicamente rilevante il modello Zero Trust, sempre più adottato dalle organizzazioni. Questo modello di sicurezza si basa su un principio essenziale: non fidarsi mai e verificare sempre. Ogni accesso viene quindi non solo autenticato e autorizzato, ma anche costantemente monitorato, attraverso un processo continuo e dinamico che può prevedere autenticazioni aggiuntive al variare delle condizioni contestuali e limitazioni temporali degli accessi. Un approccio Zero Trust è pertanto fondamentale per la riduzione del rischio informatico legato alle credenziali compromesse, che rappresentano ancora oggi uno dei principali vettori di attacco e punti di ingresso più semplici da sfruttare, in quanto possono essere rubate, acquistate o recuperate da account non più attivi. In molte organizzazioni, infatti, soprattutto di grandi dimensioni, utenti dismessi possono mantenere accessi validi per mesi o anni, ampliando la superficie di attacco e introducendo vulnerabilità apparentemente banali ma potenzialmente efficaci per i cybercriminali.
Infine, un’altra tendenza molto pericolosa consiste nell’uso di infrastrutture legittime di terze parti per mettere a segno gli attacchi, per cui occorre prestare attenzione anche alla robustezza e alla resilienza informatica offerta da partner e fornitori all’interno delle supply chain sempre più complesse, estese e interconnesse al cui interno le aziende oggi operano. In questo contesto, la complessa catena di fornitura digitale, insieme a cloud pubblici, servizi condivisi e piattaforme collaborative, finalizzati ad abilitare la creazione di valore negli ecosistemi aziendali estesi, può diventare un veicolo di attacco qualora non sia progettata e gestita secondo adeguate architetture di sicurezza informatica. Dal momento che un file proveniente da una fonte considerata affidabile non viene generalmente bloccato a priori, diventa ancora più importante spostare l’attenzione della sicurezza non solo sull’origine del contenuto, ma anche sull’analisi del comportamento complessivo del sistema, distinguendo tra attività normali e attività anomale. Questo approccio consente di ridurre i tempi di risposta e di anticipare le minacce, automatizzando dove possibile le difese a supporto del controllo umano, che rimane comunque essenziale nelle decisioni critiche.