Ehi - stiamo testando un nuovo tool di reporting. Potresti fare clic sul link sottostante ed eseguire un paio di report di esempio? Dovrebbe utilizzare il nostro SSO, quindi se richiede una password, usa solo quella della tua rete. Fammi sapere cosa pensi del tool.

Email lecita o tentativo di phishing mirato? Questa è la domanda che innumerevoli aziende e dipendenti affrontano ogni giorno e, man mano che questi attacchi diventano più articolati, capire la differenza diventa ancora più difficile.

Circa il 40% degli attacchi informatici inizia attraverso phishing

Infatti, IBM ha osservato nel 2021 che i tentativi di phishing erano diventati il vettore di minaccia più comune, fungendo da punto di partenza per circa il 40% degli attacchi. E quando criminali e truffatori hanno aggiunto una telefonata allo schema della truffa (vishing o phishing vocale), il tentativo ha avuto tre volte più probabilità di successo. Allo stesso modo, gli attacchi ransomware sono diventati una delle principali minacce, rappresentando il 21% degli attacchi totali.

Anche i settori più tradizionali stanno registrando un aumento delle minacce informatiche, in particolare quando queste aziende iniziano a verificare come la trasformazione digitale possa offrire un chiaro vantaggio competitivo. Secondo la ricerca IBM, quello manufatturiero ha sostituito i servizi finanziari come principale settore attaccato nel 2021, rappresentando il 23,2% degli attacchi di quell'anno.

Settore manifatturiero: il settore più attaccato nel 2021

Quindi, mentre l'AI e il cloud ibrido diventano sempre più comuni nell'area di produzione e il processo decisionale basato sull'analisi impone passaggi in tempo reale verso i flussi di lavoro, gli hacker e altri attori illegali stanno trovando nuovi ambienti ricchi di obiettivi.

"Basta un solo tentativo di hacking riuscito per compromettere la tua azienda", osserva Robert Oh,Executive Vice President - Head of Corporate Digital Strategy presso Doosan Group e Chief Operating Officer (COO) presso Doosan Digital Innovation (DDI), un'entità che fornisce servizi IT e DT principalmente al Doosan Group. “O anche solo un'azione non dolosa da parte di un dipendente, come fare un clic che non avrebbe dovuto fare su un link. E una volta che quella backdoor viene aperta, la maggior parte delle aziende non scopre di essere stata violata prima di un mese. È un sacco di tempo per causare più di qualche danno.”

Un'infrastruttura di sicurezza globale integrata è stata ideata e implementata in

< di 1 anno

dal lancio del progetto

Utilizza SOAR per accelerare le reazioni alle minacce, riducendo di

85% circa

i tempi di risposta

Un cambiamento di cultura

All'inizio del 2021, oltre al suo ruolo di Executive Vice President - Head of Corporate Digital Strategy per Doosan Group, Oh è stato nominato anche COO presso la DDI. E ricoprendo questo ruolo ha considerato il mutevole panorama della sicurezza e come affrontarlo, ritenendo che un programma di sicurezza informatica efficace e completo dovesse essere alla base di qualsiasi sforzo verso la trasformazione digitale. E fortunatamente, nei suoi nuovi ruoli, aveva la responsabilità di guidare il percorso di trasformazione digitale non solo per DDI ma anche per il Doosan Group a livello globale.

“Una delle prime cose che ho menzionato al nostro top executive team è stata l'importanza di proteggere il nostro investimento nella trasformazione digitale,” ricorda Oh, “E come si può immaginare, ci è voluto un po' di impegno per convincerli ad accettare di rafforzare la nostra posizione. Spesso la sicurezza è data per scontata: non è mai successo niente di brutto, quindi non accadrà niente di brutto. Ma mi sono concentrato sul dimostrare loro che la sicurezza era un fattore chiave fondamentale per il nostro successo. Che non era qualcosa che accompagnava il nostro processo di trasformazione, bensì ne era il fondamento.”

In particolare, Oh desiderava che Doosan Group assumesse un atteggiamento di sicurezza più proattivo e consapevole a livello globale. In precedenza, le attività di sicurezza dell'azienda erano gestite da un'unità aziendale o a livello regionale, il che rendeva inefficiente la collaborazione tra i team di sicurezza.

“Con Doosan Group, operiamo in oltre 40 paesi in tutto il mondo,” aggiunge Oh. “Con un'organizzazione su scala globale, non hai il tempo di allineare tutti i tuoi dipendenti. Devono già esserlo attraverso politiche, processi e abilitatori tecnologici proattivi.”

Prosegue: “Volevo accertarmi che tutti i nostri team di sicurezza globale avessero una visione consolidata su ciascun possibile endpoint che gestiamo sotto il nostro ombrello. Ciò significava che dovevamo costruire il nostro perimetro e dovevamo creare una visibilità globale, fruibile e in tempo reale.”

Asia di notte dallo spazio con le luci della città che mostrano l'attività umana in Cina, Giappone, Corea del Sud, Taiwan e altri paesi, rendering 3d del pianeta Terra, elementi della NASA

Pensa su scala globale, proteggi a livello locale

Standardizzare e centralizzare la politica di sicurezza in 40 paesi non è un compito semplice, come riconosce Oh. “All'inizio, ho detto al mio team che stavano per vivere l'avventura di una vita,” ricorda. “Raramente abbiamo opportunità di trasformazione per influenzare i modi di lavorare a livello globale, ma sapevo che con il giusto supporto avremmo potuto rendere questa avventura meno imprevedibile. E abbiamo trovato quel giusto supporto in IBM.”

Come primo passo, un team IBM Security® X-Force® remoto ha valutato e identificato le aree all'interno dei processi definiti di DDI in cui la visibilità avrebbe potuto essere migliorata. Quindi il personale di sicurezza del cliente si è coordinato con un team di consulenza IBM Security X-Force in loco per eseguire un'analisi più approfondita del livello di adeguatezza della rete globale del gruppo. E armato di queste informazioni, il team congiunto ha raccolto suggerimenti che avrebbero aiutato a rafforzare ulteriormente i sistemi di sicurezza e promuovere una governance globale in linea con le migliori pratiche accettate dal settore.

Come parte di questa attività, il team DDI e IBM ha identificato e mappato i ruoli e le responsabilità appropriati del personale Doosan che lavora all'interno dell'infrastruttura di sicurezza. Allo stesso modo, il team congiunto si è impegnato nella pianificazione della capacità di questa nuova posizione di sicurezza, identificando ulteriori casi d'uso e opzioni del runbook di risposta agli incidenti che avrebbero aiutato a sostenere gli sforzi di protezione.

Il team congiunto DDI e IBM ha anche stabilito che Doosan Group sarebbe stato meglio servito concentrando i suoi centri operativi di sicurezza regionali (SOC) in un SOC globale unificato. Con una strategia di supervisione più strettamente integrata e standardizzata, il gruppo avrebbe potuto stabilire metriche di performance comuni e coordinarsi più facilmente tra siti e aree geografiche diversi.

Fiduciosa di queste valutazioni, DDI ha proseguito con i miglioramenti consigliati per la sicurezza. Il nuovo SOC globale, supervisionato da un team IBM Security X-Force, offre monitoraggio e protezione 24 ore su 24 secondo un modello "segui il sole". Durante ogni periodo di 24 ore, la responsabilità della sicurezza per l'infrastruttura globale di Doosan ruota su tre siti IBM, allineando il supporto al rilevamento e alla risposta gestiti (MDR) con la regione più attiva in qualsiasi momento della giornata.

Inoltre, la soluzione SOC globale fornisce a DDI la possibilità di entrare in contatto in modo continuo con gli esperti del settore IBM e con il supporto di consulenza sulla sicurezza, nonché all'intelligence delle minacce globale più recente. Sfruttando questo pool di conoscenze regolarmente aggiornato, DDI e Doosan Group possono proteggersi meglio dai vettori di minacce più recenti, compresi quelli indirizzati specificamente al settore manifatturiero.

Per controllare le operazioni del SOC globale, DDI ha collaborato con IBM per aggiornare la sua infrastruttura di sicurezza principale. Il team ha potenziato gli sforzi di gestione proattiva degli eventi e degli incidenti di sicurezza (security incident and event management, SIEM) dell'azienda, implementando Cybereason EDR per supervisionare il rilevamento e la risposta sugli endpoint (endpoint detection and response, EDR). Il software EDR può rapidamente identificare, reagire e rimediare alle potenziali minacce. E IBM ha anche provveduto ad integrare la tecnologia IBM Security QRadar® SOAR, derivata da IBM Cloud Pak® for Security, sfruttando la piattaforma aperta con la soluzione Cybereason EDR per fornire un'automazione basata sull'AI che semplifica ulteriormente la risposta alle minacce.

“Abbiamo integrato la funzionalità SOAR in modo da poter risolvere i rilevamenti di false minacce senza occupare il tempo prezioso dei nostri dipendenti,” spiega Oh. “Questa si armonizza con il nostro SOC globale, quindi ora possiamo concentrarci su ciò che è rilevante. E se il sistema trova un problema effettivo, possiamo agire con agilità e convinzione.”

Per guidare la crescita continua, la maturità e il panorama in continua evoluzione, Doosan sfrutta i servizi di consulenza di IBM X-Force per ottimizzare continuamente la strategia di sicurezza, la governance, le metriche e il modello operativo. “La nostra posizione di sicurezza è cambiata,” aggiunge Oh. “La nostra capacità di osservare e reagire a una potenziale minaccia è cambiata. La nostra cultura è cambiata. Con il team globale DDI e IBM il nostro livello di adeguatezza al percorso di trasformazione digitale è cambiato.”

Sala controllo X-Force Threat Intelligence

Vedi qualcosa, fai qualcosa

Con il SOC globale, Oh e Doosan si sentono molto più pronti per il futuro e il presente.

Immagina, se vuoi, che uno dei dipendenti di Doosan in 40 paesi selezioni accidentalmente un link dannoso. Istantaneamente, il ransomware inizierà a criptare l'hard disk del dipendente. Fortunatamente, la nuova soluzione EDR di Doosan offre tre livelli di rilevamento degli incidenti, quindi la piattaforma rileva la crittografia sospetta e agisce prontamente, mettendo istantaneamente in quarantena il settore relativo del disco rigido.

Allo stesso tempo, i protocolli di sicurezza automatizzati informano un team IBM Security Managed Detection and Response. E dopo aver verificato se si tratta effettivamente di un attacco, il team IBM si coordina con il personale in loco per riformattare il disco rigido interessato e riportarlo tempestivamente online per ridurre al minimo le interruzioni dell'attività.

Un'azione più rapida produce meno complicazioni

Il monitoraggio globale in tempo reale offerto dalla tecnologia e dal team IBM colloca DDI in una posizione migliore per affrontare potenziali incidenti di sicurezza nel momento in cui si presentano. “Fa che quello che deve,” osserva Oh. “Con l'EDR/MDR integrato, gestiamo una grande quantità di potenziali minacce ogni mese. E stiamo affrontando tutti questi potenziali attacchi senza causare alcuna interruzione alla nostra attività.”

Continua: “E anche SOAR è stato fondamentale. Con il confronto del modello basato sull'AI gestito automaticamente in precedenza, possiamo rilevare, decifrare e agire sugli incidenti molto più velocemente, riducendo i tempi di risposta di circa l'85%.”

Oltre all'automazione, il SOC globale fornisce una visibilità centralizzata sullo stato di integrità e sulle operazioni di sicurezza dell'azienda. “Operiamo in 40 paesi, quindi è importante avere una visione globale,” aggiunge Oh. “Con IBM, ora abbiamo un'accurata visione del mondo 24 ore su 24 in tempo reale. Possiamo vedere ogni endpoint, ogni sistema. E questo ha reso la nostra collaborazione tra team molto più efficiente.”

Pannelli luminosi rossi nella sala server buia

Questi sforzi standardizzati consentono anche indagini sulle minacce coerenti e orchestrate che offrono una maggiore protezione e supervisione, oltre a semplificare i processi di reporting, monitoraggio e controllo.

Oltre ai miglioramenti funzionali offerti dall'architettura di sicurezza aggiornata e dal SOC globale, DDI ha altri motivi per collaborare con IBM. “Abbiamo realizzato l'intero progetto rapidamente,” spiega Oh. “Ho detto: "Voglio farlo in meno di un anno". E grazie all'impegno incrollabile del mio team globale e all'esperienza di IBM, ce l'abbiamo fatta.”

Oh riconosce anche la leadership di pensiero fornita dal team IBM, poiché afferma: “La nostra competenza principale in Doosan non è la sicurezza informatica. Quindi lavorare con aziende di livello globale per trasformare la cultura e l'approccio alla sicurezza informatica di Doosan aveva senso. Ecco perché abbiamo assunto un leader globale in grado di svolgere il lavoro sulla sicurezza, che può concentrarsi sull'affinare le proprie nozioni e capacità per affrontare le minacce quotidiane.”

Inoltre, mentre DDI portava a termine questo progetto e si dedicava alla preparazione della trasformazione digitale, l'azienda ha riconosciuto un impatto culturale più ampio tra i suoi dipendenti. “Stiamo prestando molta più attenzione alla sicurezza,” osserva Oh. “Facciamo molta formazione interna sulle campagne e-mail di phishing, il che significa che inviamo periodicamente e-mail di phishing fittizie per testare i nostri dipendenti a livello globale. Bene, nell'ultimo anno, quando abbiamo implementato questa trasformazione, la percentuale di clic su queste e-mail di test è diminuita notevolmente e in modo costante. E il numero di utenti abbastanza disattenti da compromettere la propria password è stato drasticamente ridotto.”

L'avventura continua

“Lavorare con IBM ha reso il nostro viaggio, la nostra avventura, meno imprevedibile,” aggiunge Oh. “Si adattano bene alla nostra strategia delle 3A per ridurre l'ambiguità, costruire alleanze e adottare la metodologia Agile. E penso che insieme siamo arrivati a un punto in cui possiamo pensare a dove andare, invece di cosa migliorare.”

Alcuni di questi prossimi passi si concentrano sull'ulteriore rafforzamento della struttura di sicurezza di DDI. Ad esempio, l'azienda sta attualmente sperimentando l'uso esteso dei principi di sicurezza zero-trust. E ora che DDI ha protetto il perimetro della propria rete globale, l'azienda sta creando nuovi livelli di autenticazione man mano che gli utenti navigano all'interno dell'architettura.

“Quindi, quando accedi a infrastrutture o server più critici, dovrai ulteriormente autenticarti,” spiega Oh. “Ciò creerà un ambiente zero-trust molto più sicuro e molto più controllato.”

E mentre DDI continua a rafforzare la sua architettura di sicurezza di base, l'azienda ha compiuto passi sufficienti per iniziare a procedere con la sua più ampia trasformazione digitale. Come spiega Oh: “Non guardo più a cosa dobbiamo fare. Ora sto guardo a cosa potremmo fare. Come rendere le cose più efficienti sul piano manifatturiero usando la tecnologia? Come possiamo incorporare queste nuove funzionalità di sicurezza nei prodotti che realizziamo? Come possiamo sfruttare questa trasformazione per creare nuove attività che non avremmo mai pensato possibili?

Logo Doosan

Informazioni su Doosan Digital Innovation (DDI)

DDI (link esterno) è responsabile dell'erogazione di offerte IT e DT al più ampio Doosan Group (link esterno), un conglomerato di aziende principalmente manifatturiere. Con una ricca storia che risale al 1896, Doosan Group opera in 40 paesi in tutto il mondo e sia esso che DDI hanno attualmente sede a Seoul, in Corea del Sud.

Componenti della soluzione
IBM Cloud Pak® for Security
IBM Security® QRadar® SOAR
IBM Security Managed Detection and Response
IBM Security X-Force®

© Copyright IBM Corporation 2022. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504

Prodotto negli Stati Uniti d'America, ottobre 2022.

IBM, il logo IBM, ibm.com, IBM Cloud Pak, IBM Security, QRadar e X-Force sono marchi di International Business Machines Corp., registrati in molte giurisdizioni in tutto il mondo. Altri nomi di servizi o prodotti possono essere marchi di IBM o di altre società. Un elenco aggiornato dei marchi IBM è disponibile sul web in "Copyright and trademark information" all'indirizzo www.ibm.com/legal/copytrade.shtml.

Questo documento è aggiornato alla data iniziale della pubblicazione e può essere modificato da IBM senza necessità di preavviso. Non tutte le offerte sono disponibili in ogni paese in cui opera IBM.

I dati relativi alle prestazioni e gli esempi relativi ai clienti, citati nel presente documento, vengono presentati a scopo meramente esplicativo. Le prestazioni reali possono variare a seconda delle specifiche configurazioni e condizioni operative. LE INFORMAZIONI CONTENUTE IN QUESTO DOCUMENTO SONO FORNITE NELLO STATO IN CUI SI TROVANO, SENZA ALCUNA GARANZIA, ESPRESSA O IMPLICITA, INCLUSE, A TITOLO DI ESEMPIO, GARANZIE IMPLICITE DI COMMERCIABILITÀ E DI IDONEITÀ PER UNO SCOPO SPECIFICO E DI NON VIOLAZIONE. I prodotti IBM sono garantiti secondo i termini e le condizioni dei contratti che ne regolano la fornitura.

Dichiarazione delle buone procedure di sicurezza: la sicurezza del sistema IT implica la protezione dei sistemi e delle informazioni attraverso la prevenzione, il rilevamento e la risposta ad eventuali accessi impropri all'interno e all'esterno dell'azienda. L'accesso improprio può causare l'alterazione, la distruzione, l'appropriazione indebita o l'uso improprio delle informazioni; può inoltre provocare danni e uso improprio dei sistemi, che possono essere utilizzati per attaccare altri sistemi. Nessun prodotto o sistema IT può essere considerato completamente sicuro e nessun prodotto, servizio o misura di sicurezza è del tutto efficace nel prevenire l'uso o l'accesso improprio. Sistemi, prodotti e servizi IBM sono progettati come elementi di un approccio di sicurezza completo, nel rispetto delle normative, che richiederà necessariamente procedure operative aggiuntive e il probabile impiego di altri sistemi, prodotti o servizi per raggiungere la massima efficienza. IBM NON GARANTISCE IN ALCUN MODO CHE SISTEMI, PRODOTTI O SERVIZI SIANO IMMUNI O RENDANO IMMUNI LE AZIENDE DA ATTIVITÀ ILLEGALI O DANNOSE DI TERZE PARTI.