Le nuove minacce informatiche richiedono nuovi approcci
Ciao, stiamo testando un nuovo strumento di reporting. Potresti fare clic sul link sottostante ed eseguire un paio di report di esempio? Funziona con il nostro SSO, quindi se ti viene richiesta una password puoi usarne una di rete. Fammi sapere cosa ne pensi.
E-mail legittima o tentativo di phishing mirato? È questa la domanda che innumerevoli aziende e dipendenti affrontano ogni giorno e, man mano che gli attacchi si fanno più sofisticati, essere in grado di capire la differenza diventa ancora più impegnativo.
Circa il 40% degli attacchi informatici inizia con il phishing
Infatti, nel 2021 IBM ha osservato che i tentativi di phishing erano diventati il vettore di minaccia più comune, fungendo da punto di partenza per circa il 40% degli attacchi. E quando i criminali e i truffatori aggiungevano una telefonata associata, il cosiddetto "voice phishing", il tentativo aveva tre volte più probabilità di successo. Allo stesso modo, gli attacchi ransomware sono diventati una delle principali minacce informatiche, rappresentando il 21% degli attacchi totali.
Anche i settori più tradizionali stanno assistendo a un aumento delle minacce informatiche, in particolare quando le aziende iniziano a esplorare il modo in cui la trasformazione digitale può offrire un chiaro vantaggio competitivo. Secondo una ricerca di IBM, il settore manifatturiero ha sostituito i servizi finanziari come il settore più attaccato nel 2021, totalizzando il 23,2% degli attacchi a cui le aziende hanno dovuto porre rimedio quell'anno.
Settore manifatturiero: il bersaglio più colpito nel 2021
Così, mentre l'intelligenza artificiale e il cloud ibrido diventano sempre più comuni negli ambienti di produzione e i processi decisionali basati sull'analisi impongono modifiche in tempo reale ai flussi di lavoro, gli hacker e altri aggressori trovano nuovi ambienti ricchi di bersagli.
"Basta un solo tentativo di hacking riuscito per compromettere la vostra azienda", osserva Robert Oh, Executive Vice President e Head of Corporate Digital Strategy del Doosan Group e Chief Operating Officer (COO) di Doosan Digital Innovation (DDI), un'entità che fornisce Offerte IT e DT principalmente al gruppo Doosan. "Basta anche un'unica azione non dannosa da parte di un dipendente, ad esempio un clic su un link che non dovrebbe avere. E una volta che quella porta viene aperta, la maggior parte delle aziende non scopre di essere stata violata prima di un mese, un periodo davvero lungo in cui causare danni."
Distribuzioni più veloci
Previste e implementate in un'infrastruttura di sicurezza globale integrata in meno di 1 anno dal lancio del progetto
Risposte più rapide
Utilizza SOAR per accelerare le reazioni alle minacce, riducendo i tempi di risposta di circa l'85%
All'inizio del 2021, insieme al suo ruolo di Executive Vice President e Head of Corporate Digital Strategy del Doosan Group, Oh è stato anche nominato COO di DDI. Con questa nomina, ha preso in considerazione il mutevole panorama della sicurezza e il modo in cui affrontarlo, ritenendo che alla base di qualsiasi sforzo di trasformazione digitale debba esserci un programma di cybersecurity efficace. E, fortunatamente, nei suoi nuovi ruoli ha avuto la responsabilità di guidare il percorso di trasformazione digitale non solo di DDI ma dell’intero Gruppo Doosan.
"Una delle prime cose che ho menzionato al nostro team di dirigenti è stata l’importanza di proteggere i nostri investimenti nella trasformazione digitale", ricorda Oh, "e, come ci si può immaginare, ci è voluto un po’ per convincerli ad accettare di rafforzare la nostra strategia. Spesso la sicurezza viene data per scontata: finora non è successo nulla, quindi non accadrà mai nulla. Io invece mi sono concentrato nel dimostrare che la sicurezza era un fattore fondamentale per il nostro successo futuro. E questa non era una cosa che avremmo sviluppato in parallelo alla nostra trasformazione: ne sarebbe stata il fondamento."
In particolare, Oh voleva far passare il Gruppo Doosan verso un approccio di sicurezza più proattivo e consapevole a livello globale. In precedenza, gli sforzi di sicurezza dell'azienda venivano gestiti a livello di unità aziendale o regionale, il che rendeva inefficiente la collaborazione tra i team di sicurezza.
"Con Doosan Group, operiamo in oltre 40 paesi di tutto il mondo", aggiunge Oh. "Con dimensioni del genere, non c'è tempo di allineare tutti. Devono già esserlo attraverso politiche, processi e abilitatori tecnologici proattivi".
E continua: "Volevo assicurarmi che tutti i nostri team di sicurezza globali avessero la stessa visione consolidata di ogni possibile endpoint che gestiamo sotto la nostra egida. Ciò significava ampliare il nostro perimetro e creare una visibilità globale, fruibile e in tempo reale".
Pensa globalmente, proteggi localmente
Standardizzare e centralizzare la politica di sicurezza in 40 paesi non è un compito semplice, come spiega Oh. "Quando abbiamo iniziato, ho detto al mio team che stavano per vivere la più grande avventura della loro vita", ricorda. "Raramente ci si presentano opportunità di trasformazione in grado di incidere sui modi di lavorare globali, ma sapevo che con il giusto supporto avremmo potuto rendere quest'avventura molto più prevedibile. E abbiamo trovato questo supporto con IBM."
Come primo passo, un team remoto di IBM Security X-Force ha valutato e identificato le aree in cui la visibilità poteva essere migliorata all'interno dei processi stabiliti da DDI. A seguire, il personale di sicurezza del cliente si è coordinato con un team di consulenza di IBM Security X-Force in loco per eseguire un'analisi più approfondita della maturità della rete globale del gruppo. E, armato di queste informazioni, il team congiunto ha raccolto suggerimenti che avrebbero aiutato a rafforzare ulteriormente i sistemi di sicurezza e promuovere una governance globale in linea con le migliori pratiche accettate dal settore.
Nell'ambito di questo impegno, il team DDI e IBM ha identificato e definito i ruoli e le responsabilità appropriati del personale Doosan operativo all'interno dell'infrastruttura di sicurezza. Allo stesso modo, il team congiunto si è impegnato nella pianificazione della capacità per questa nuova postura di sicurezza, identificando ulteriori casi d'uso e opzioni di guida all'utilizzo della risposta agli incidenti che avrebbero contribuito a rafforzare gli sforzi di protezione.
Il team congiunto di DDI e IBM ha inoltre stabilito che il Doosan Group sarebbe stato meglio servito consolidando i suoi centri operativi di sicurezza (SOC) regionali in un SOC unificato e globale. Con una strategia di supervisione più strettamente integrata e standardizzata, il gruppo avrebbe potuto stabilire metriche di performance comuni e coordinarsi più facilmente tra siti e aree geografiche.
Fiduciosa di queste valutazioni, DDI ha proseguito con i miglioramenti consigliati per la sicurezza. Il nuovo SOC globale, supervisionato da un team IBM Security X-Force, offre monitoraggio e protezione 24 ore su 24 secondo un modello "follow the sun". Durante ogni periodo di 24 ore, la responsabilità della sicurezza per l'infrastruttura globale di Doosan ruota su tre siti IBM, allineando il supporto di rilevamento e risposta gestita (MDR) con la regione più attiva in qualsiasi momento durante la giornata.
Inoltre, la soluzione SOC globale fornisce a DDI l'accesso continuo agli esperti di settore IBM e al supporto di consulenza in materia di sicurezza, oltre alle più recenti informazioni sulle minacce globali. Sfruttando questo pool di conoscenze regolarmente aggiornato, DDI e Doosan Group possono rimanere più protetti contro i più recenti vettori di minacce, compresi quelli specificamente mirati al settore manifatturiero.
Per controllare le operazioni del SOC globale, DDI ha collaborato con IBM per aggiornare la sua infrastruttura di sicurezza principale. Il team ha potenziato gli sforzi proattivi di gestione degli eventi e degli incidenti di sicurezza (SIEM) dell'azienda, implementando Cybereason EDR per monitorare il rilevamento e la risposta degli endpoint (EDR). Il software EDR è in grado di identificare, reagire e porre rapidamente rimedio alle potenziali minacce. Inoltre, IBM ha integrato la tecnologia IBM Security QRadar SOAR, fornita da IBM Cloud Pak for Security, che sfrutta la piattaforma aperta con la soluzione Cybereason EDR per offrire un'automazione basata sull'AI che semplifica ulteriormente le risposte alle minacce.
"Abbiamo implementato la funzionalità SOAR in modo da poter risolvere i rilevamenti di false minacce senza occupare il tempo prezioso dei nostri dipendenti", spiega Oh. "Si armonizza con il nostro SOC globale, quindi ora possiamo concentrarci su ciò che conta di più. E se il sistema trova effettivamente un problema reale, possiamo agire con agilità e convinzione".
Per guidare la crescita continua, la maturità e il panorama mutevole, Doosan sfrutta gli impegni di consulenza di IBM X-Force per ottimizzare continuamente la strategia di sicurezza, la governance, le metriche e il modello operativo. "Il nostro approccio alla sicurezza è cambiato", prosegue Oh. "La nostra capacità di guardare e reagire alle potenziali minacce è cambiata. La nostra cultura è cambiata. E la nostra preparazione alla trasformazione digitale è cambiata con il team globale DDI e IBM".
Guarda e agisci
Con il SOC globale ora attivo, Oh e Doosan si sentono molto più preparati sia per il futuro che per il presente.
Immaginiamo che uno dei dipendenti nei 40 paesi in cui Doosan opera clicchi accidentalmente su un link dannoso. Il ransomware inizierà immediatamente a crittografare il disco rigido del dipendente. Fortunatamente, la nuova soluzione EDR di Doosan offre tre livelli di rilevamento degli incidenti, quindi la piattaforma rileva subito la crittografia sospetta e agisce, mettendo istantaneamente in quarantena il settore del disco rigido interessato.
Allo stesso tempo, i protocolli di sicurezza automatizzati notificano un team IBM Security Managed Detection and Response. E, dopo aver verificato che si tratti effettivamente di un attacco, il team IBM si coordina con il personale in loco per riformattare e riportare tempestivamente online il disco rigido interessato, riducendo al minimo le interruzioni dell'attività.
Il monitoraggio globale e in tempo reale fornito dalla tecnologia e dal team IBM pone DDI in una posizione migliore per gestire potenziali incidenti di sicurezza non appena si presentano. "Sta facendo quello che deve", osserva Oh. "Con l'EDR/MDR integrato, stiamo gestendo una grande quantità di potenziali minacce ogni mese, e stiamo affrontando tutti questi potenziali attacchi senza alcuna interruzione della nostra attività".
E continua: "Anche SOAR è stata fondamentale. Con la gestione automatica e anticipata del pattern matching basato sull'AI, possiamo rilevare, decifrare e intervenire sugli incidenti molto più velocemente, riducendo i tempi di risposta di circa l'85%".
Oltre all'automazione, il SOC globale fornisce una visibilità centralizzata sullo stato di integrità e sulle operazioni di sicurezza dell'azienda. "Siamo attivi in 40 paesi, quindi è importante avere una visione globale", spiega Oh. "Con IBM, ora abbiamo una visione accurata del mondo 24 ore su 24 in tempo reale. Possiamo vedere ogni endpoint, ogni sistema. E questo ha reso la nostra collaborazione tra team molto più efficiente”.
Questi sforzi standardizzati consentono anche indagini sulle minacce coerenti e orchestrate che offrono una maggiore protezione e supervisione, oltre a semplificare i processi di reporting, monitoraggio e controllo.
Oltre ai miglioramenti funzionali offerti dall'architettura di sicurezza aggiornata e dal SOC globale, DDI ha altri motivi per collaborare con IBM. "Abbiamo realizzato l'intero progetto in modo estremamente rapido", spiega Oh. "Ho detto: 'Voglio portare a termine il progetto in meno di un anno.' E, grazie al costante impegno del mio team globale e all’esperienza di IBM, ce l’abbiamo fatta."
Oh riconosce anche la leadership di pensiero fornita dal team IBM: "La nostra competenza aziendale principale in Doosan non è la cybersecurity. Quindi è stata una buona idea collaborare con aziende globali per trasformare la cultura e l’approccio della sicurezza informatica di Doosan.Ecco perché abbiamo ingaggiato un leader globale in grado di svolgere il lavoro di sicurezza e di concentrarsi sull'affinamento delle menti e delle competenze per affrontare le minacce quotidiane."
Inoltre, nel momento in cui DDI ha completato questo progetto e ha portato a termine i suoi sforzi di trasformazione digitale, l'azienda ha registrato un impatto culturale più ampio tra i suoi dipendenti. "Ora prestiamo molta più attenzione alla sicurezza", osserva Oh. "Facciamo molta formazione interna sulle campagne di phishing, anche inviando periodicamente finte e-mail di phishing per mettere alla prova i nostri dipendenti a livello globale. Nel corso dell'ultimo anno, durante l'implementazione di questa trasformazione, il tasso di clic su quei test è diminuito in modo evidente e continuo. E il numero di utenti disattenti che possono compromettere la propria password è drasticamente calato."
"Lavorare con IBM ha reso il nostro viaggio, la nostra avventura, più prevedibile", aggiunge Oh. “Si adattano bene alla nostra strategia 3A volta a ridurre l’ambiguità, costruire alleanze e abbracciare la metodologia Agile. Penso che, insieme, siamo arrivati a un punto in cui possiamo pensare a dove andare dopo, invece che a cosa migliorare”.
Alcuni dei prossimi passi si concentreranno sull'ulteriore consolidamento della struttura della sicurezza di DDI. Ad esempio, l’azienda sta attualmente esplorando l’uso esteso dei principi di sicurezza Zero-Trust. E ora che la DDI ha protetto il perimetro della sua rete globale, l'azienda sta creando nuovi livelli di autenticazione mentre gli utenti navigano all'interno dell'architettura.
"Così, quando si accede a infrastrutture o server più critici, si dovrà dare ulteriore prova della propria identità", spiega Oh. "Si creerà un ambiente a Zero-Trust molto più sicuro e controllato".
E mentre DDI continua a rafforzare la sua architettura di sicurezza di base, l'azienda ha compiuto passi sufficienti per iniziare a procedere con la trasformazione digitale in senso più ampio. Come spiega Oh: "Ormai non penso più a cosa dobbiamo fare. Ora sto valutando cosa possiamo fare. Come possiamo rendere le cose più efficienti nel reparto di produzione utilizzando la tecnologia? Come incorporiamo queste nuove funzionalità di sicurezza nei prodotti che realizziamo? Come utilizzare questa trasformazione per creare nuovi business che non avremmo mai pensato possibili?”
Informazioni sui componenti della soluzione Doosan Digital Innovation (DDI)
DDI (link esterno a ibm.com) è responsabile della fornitura di offerte IT e DT al più ampio Doosan Group (link esterno a ibm.com), un conglomerato composto principalmente da aziende di produzione industriale. Con una ricca storia che risale al 1896, Doosan Group opera in 40 paesi in tutto il mondo e sia esso che DDI hanno attualmente sede a Seoul, in Corea del Sud.
Legale
© Copyright IBM Corporation 2022. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Prodotto negli Stati Uniti d'America, ottobre 2022.
IBM, il logo IBM, ibm.com, IBM Cloud Pak, IBM Security, QRadar e X-Force sono marchi di International Business Machines Corp., registrati in molte giurisdizioni in tutto il mondo. Altri nomi di prodotti e servizi potrebbero essere marchi di IBM o di altre società. Un elenco aggiornato dei marchi IBM è disponibile sul web alla pagina "Copyright and trademark information" all'indirizzo ibm.com/legal/copyright-trademark.
Le informazioni contenute nel presente documento sono aggiornate alla data della prima pubblicazione e possono essere modificate da IBM senza preavviso. Non tutte le offerte sono disponibili in ogni Paese in cui opera IBM.
Gli esempi citati relativi a dati di prestazione e clienti sono presentati unicamente a scopo illustrativo. Gli attuali risultati in termini di performance possono variare a seconda delle specifiche configurazioni e delle condizioni operative. LE INFORMAZIONI RIPORTATE NEL PRESENTE DOCUMENTO SONO DA CONSIDERARSI “NELLO STATO IN CUI SI TROVANO”, SENZA GARANZIE, ESPLICITE O IMPLICITE, IVI INCLUSE GARANZIE DI COMMERCIABILITÀ, DI IDONEITÀ A UN PARTICOLARE SCOPO E GARANZIE O CONDIZIONI DI NON VIOLAZIONE. I prodotti IBM sono coperti da garanzia in accordo con termini e condizioni dei contratti sulla base dei quali vengono forniti.
Dichiarazione di buone pratiche di sicurezza: la sicurezza dei sistemi IT comporta la protezione dei sistemi e delle informazioni tramite la prevenzione, il rilevamento e la risposta ad accessi impropri all'interno e all'esterno dell'azienda. Gli accessi impropri possono causare alterazione, distruzione, appropriazione indebita o abuso dei dati e danni o abuso dei sistemi, anche per essere utilizzati per attacchi verso terzi. Nessun sistema o prodotto IT va considerato totalmente sicuro e nessun singolo prodotto, servizio o misura di sicurezza è da considerarsi completamente efficace nella prevenzione dell’uso o dell’accesso improprio. I sistemi, i prodotti e i servizi IBM sono progettati per far parte di un approccio legittimo e completo alla sicurezza, il quale implica necessariamente procedure operative supplementari, e potrebbe richiedere altri sistemi, prodotti o servizi per fornire la massima efficacia. IBM NON GARANTISCE CHE SISTEMI, PRODOTTI O SERVIZI SIANO ESENTI DA O RENDERANNO L’AZIENDA ESENTE DA CONDOTTA MALEVOLA O ILLEGALE DI UNA QUALSIASI PARTE.