Il mondo della cyber security si muove a una velocità impressionante e le strategie per garantire la sicurezza informatica aziendale non sono immuni alla trasformazione che interessa l’intero settore. Se in passato le logiche di protezione puntavano sulla difesa del perimetro di rete, con l’evoluzione dei servizi digitali e il passaggio ai servizi cloud, questa impostazione è stata progressivamente sostituita dalla declinazione di security ispirata alla filosofia della “detection and response”. Il concetto, in sintesi, parte dalla considerazione del fatto che un data breach deve essere considerato inevitabile. In altre parole, non si tratta più di considerare “se” la rete aziendale verrà violata, ma “quando”.
La visibilità prima di tutto
In quest’ottica, i fattori fondamentali per garantire una protezione efficace sono rappresentati dalla capacità di reagire agli attacchi in maniera tempestiva e con la massima efficacia. Da un punto di vista operativo, questo compito è affidato alla squadra di cybersecurity e, più precisamente, al SOC (Security Operation Center) delegato alla gestione delle operazioni a livello di sicurezza informatica. Per consentire questo tipo di attività, però, sono necessari alcuni prerequisiti o “fattori abilitanti”. Uno di questi è quello di permettere agli operatori di individuare rapidamente i segnali che consentono di mettere in campo le contromisure necessarie per contrastare un cyber attacco. Il primo imperativo, di conseguenza, è quello di avere la massima visibilità della rete, con l’obiettivo di identificare il prima possibile attività anomale o sospette che possono rappresentare indizi di un attacco informatico da parte dei pirati.
Un approccio strategico
Se gli strumenti di rilevazione di nuova generazione consentono di sfruttare tecnologie di machine learning e intelligenza artificiale per ottimizzare le attività di monitoraggio degli eventi di sicurezza in rete, per utilizzarli in maniera efficiente è necessario che la rete aziendale stessa abbia caratteristiche di trasparenza tali da consentire un controllo granulare e puntuale di qualsiasi attività. La scelta delle piattaforme, dei processi e delle policy a livello di implementazione dei servizi digitali riveste, di conseguenza, una particolare rilevanza. La logica, nella definizione e nella scelta delle soluzioni implementate, deve ispirarsi alla logica “security first” in cui ogni scelta è orientata a permettere di garantire la sicurezza informatica aziendale. Insomma: la predisposizione di un ecosistema richiede un’attenzione che parte dalla fase di progettazione stessa dei servizi IT, per esempio attraverso l’implementazione di sistemi di logging che consentano di dialogare con i sistemi di SIEM (Security Information and Event Management) attraverso standard aperti e compatibili che permettano di raccogliere, organizzare e analizzare tutti gli eventi di sicurezza rilevati nella rete.
Dalla visibilità al controllo
Se il monitoraggio consente di individuare tempestivamente una potenziale minaccia, un approccio strategico deve comprendere anche l’obiettivo di creare tutte le condizioni per poter intervenire con la massima efficacia e bloccare l’attacco prima che raggiunga il suo obiettivo. Uno degli strumenti più utili in quest’ottica è quello della segmentazione (o microsegmentazione) dei servizi e processi interni alla rete aziendale. La tecnica, per la verità, ha un duplice effetto. Da un lato consente di avere una migliore visibilità a livello di ogni singolo processo. Dall’altro consente di isolare i processi stessi a livello server, impedendo così che una eventuale violazione dei sistemi possa consentire ai pirati informatici di eseguire quello che in gergo viene chiamato “movimento laterale”, cioè quell’attività che i cyber criminali mettono in atto per individuare e compromettere i bersagli più “appetibili” all’interno della rete stessa. Un’impostazione che, combinata all’uso di strumenti di automazione che consentono di gestire con precisione e rapidità tutti gli aspetti della cybersecurity all’interno del network aziendale, permette di garantire un elevato livello di protezione delle risorse e dei servizi digitali.
