L’ultimo Rapporto Fortinet rilevava 5.973 rilevamenti di exploit unici, con una media di 153 per impresa. Il 79 percento delle aziende aveva subito attacchi gravi come nel caso della violazione dell’’agenzia di controllo dei crediti americana Equifax con l’esposizione delle informazioni personali di circa 145 milioni di consumatori. Il Report registrava anche 14.904 varianti uniche di malware appartenenti a 2.646 famiglie diverse, di cui il 25 percento da mobile e il 22 percento di ransomware.

Evidenze importanti, tantopiù in un cambiamento di scenario come quello attuale secondo due tendenze principali: da un lato lo spostamento in un’architettura multi-cloud dei dati con l’adozione di reti e dispositivi IoT e con il fiorire di servizi IT sempre basati sulla rete, dall’altro appunto la crescita allarmante di attacchi sempre più automatizzati rivolti costantemente e con successo alle vulnerabilità già note di dispositivi, applicazioni e reti che se non vengono aggiornati possono diventare vere e proprie bombe ad innesco garantito (come è accaduto con Petya).

Fortinet in questo scenario propone alle aziende un metodo basato su priorità. Tre sarebbero i punti chiave.

Considerare le vulnerabilità

L’ordine delle priorità si definisce a partire dalla comprensione di quali siano le vulnerabilità che con maggiore probabilità saranno prese di mira. Conoscere il tipo di vulnerabilità su cui gli aggressori insistono in prevalenza può contribuire a determinare quali asset richiederanno per primi un patching. Servono strumenti e analytics per farlo, per esempio questi dati sono forniti dai report di cybersicurezza, così come è importante prestare attenzione soprattutto agli attacchi riusciti, che probabilmente verranno proprio per questo ripetuti. Prima regola quindi è: rendere la gestione di tali vulnerabilità una priorità sui controlli utilizzati per proteggere gli asset informatici.

Valutare i rischi

E’ il secondo aspetto importante. Bisogna scoprire in anticipo dove è necessario rinforzare le difese. Secondo ISACA (Information Systems Audit and Control Association), lo scopo è comprendere il sistema e l’ambiente esistente, quindi identificare i rischi tramite l’analisi delle informazioni e dei dati raccolti.

Si raccolgono le informazioni, certo attraverso il censimento anche di tutti i beni fisici infrastrutturali, quindi anche di tutti i dispositivi IoT e i sistemi stessi anti-intrusione, si catalogano le applicazioni e si comprende quali informazioni relative a componenti di rete, applicazioni e servizi siano disponibili pubblicamente.

La maggior parte di queste informazioni si può raccogliere automaticamente con diversi strumenti come una soluzione Siem. Quindi si incrociano le informazioni con i requisiti di conformità che servono da bussola e definiscono i controlli di sicurezza minimi, nonché qualsiasi politica, procedura o linea guida documentata o anche informale. Arrivano a questo punto i compiti operativi.

Individuare obiettivi aziendali a breve e lungo termine che influiscono su IT e sicurezza

Rivedere politiche standard, linee guida, protocolli e procedure di sicurezza esistenti

Analizzare gli asset aziendali per stabilire le potenziali minacce e vulnerabilità

Valutare protezioni fisiche per componenti di computing e reti

Analizzare dispositivi di sicurezza, sistemi di accesso remoto e dispositivi AAA e confrontarli con requisiti di rete e aziendali

Valutare l’attuale livello di consapevolezza della sicurezza e di impegno dei dipendenti

Rivedere gli accordi di sicurezza con venditori, appaltatori e fornitori di servizi e cloud

Elaborare una strategia per la sicurezza

L’ultimo compito è strategico. Secondo Fortinet, le organizzazioni – in particolare quelle sottoposte a trasformazione digitale – hanno un’incredibile urgenza e priorità che è la cyber hygiene della sicurezza volta ad identificare i rischi emergenti. Tuttavia, poiché volume, velocità e automazione degli attacchi continuano ad aumentare, diventa sempre più importante anche allineare il programma di priorità delle patch a quanto accade nel mondo, in modo da concentrare le risorse sui rischi emergenti e di maggiore criticità.

Si comprende come proprio la valutazione dei rischi dell’ambiente sia prioritaria e contribuisca a contrastare quello che rappresenta oggi la nuova normalità, una digitalizzazione diffusa e pervasiva che rende l’azienda costantemente esposta a molteplici tipologie di attacco.

Solo mettendo in campo le best practice è possibile approdare a una strategia efficace e a un modello di sicurezza rigorosa ma flessibile che sia in grado di adattarsi e proteggere l’azienda dalla continua evoluzione delle minacce.