Cosa si intende per livello di sicurezza?

Secondo il report Cost of a Data Breach di IBM, il costo medio di una violazione dei dati a livello globale ammonta a 4,44 milioni di USD. Un solido livello di sicurezza generale aiuta a difendersi da questi attacchi migliorando la prontezza con cui un'organizzazione rileva, risponde e si riprende dalle minacce.

Per raggiungere un solido livello di sicurezza, le organizzazioni implementano controlli mirati e interconnessi per proteggere molteplici aspetti dei loro ecosistemi IT, tra cui la sicurezza dei dati, del cloud e delle identità.

Più i controlli di un'organizzazione sono efficaci per rilevare le minacce, bloccare le vulnerabilità, fermare gli attacchi e mitigare i danni, più forte è il suo livello di sicurezza.

Il livello di sicurezza di un'organizzazione rappresenta la sua forza complessiva in materia di sicurezza informatica. All'interno di questa categoria generale, le organizzazioni utilizzano strumenti e tecniche diversi per proteggere le varie parti dei loro ecosistemi IT. Alcuni dei tipi più prominenti o sottocampi di livello di sicurezza includono:

• Livello di sicurezza dei dati
• Livello di sicurezza del cloud
• Livello di sicurezza delle identità

Il livello di sicurezza dei dati si concentra sulla protezione dei dati sensibili, impedendo l'accesso non autorizzato o rilevando e bloccando comportamenti sospetti. Questi possono provenire da utenti autorizzati o meno, da interfacce di programmazione delle applicazioni (API), dispositivi Internet of Things (IoT), malware, attacchi di phishing, ransomware o altre fonti.

Man mano che le organizzazioni adottano nuove tecnologie come lo sviluppo cloud-native, l'intelligenza artificiale (AI) e il machine learning (ML), i rischi e le vulnerabilità per la sicurezza dei dati, incluso il rischio di terze parti, possono moltiplicarsi. L'aggiunta continua di nuove tecnologie ai sistemi digitali può complicare la gestione della sicurezza dei dati e mette le organizzazioni a rischio di violazioni dei dati e di mancato rispetto della conformità normativa.

Gli strumenti di gestione del livello di sicurezza dei dati (DSPM) identificano i dati sensibili in più ambienti e servizi cloud, valutandone la vulnerabilità alle minacce alla sicurezza e supportando la conformità normativa. La DSPM fornisce insight e automazione che consentono ai team di sicurezza di affrontare rapidamente i problemi di sicurezza e conformità dei dati e di prevenire le recidive.

Anziché proteggere i dispositivi, i sistemi e le applicazioni che ospitano, spostano o elaborano i dati, la DSPM spesso si concentra sulla protezione diretta dei dati integrando le altre soluzioni dello stack di sicurezza di un'organizzazione, comprese le soluzioni InfoSec (sicurezza delle informazioni).

Man mano che le organizzazioni adottano configurazioni multicloud (servizi di più provider di servizi cloud) e cloud ibrido (che combinano cloud pubblico e infrastruttura cloud privata), le loro superfici di attacco crescono. Il livello di sicurezza del cloud si concentra sulla riduzione della superficie di attacco mediante la protezione degli ambienti cloud.

Senza adeguate misure di sicurezza, l'infrastruttura cloud può essere altamente suscettibile a incidenti di sicurezza. Secondo il report Cost of a Data Breach, il 30% di tutte le violazioni riguarda dati distribuiti in più ambienti, come cloud privato, cloud pubblico e on-premise.

Le applicazioni cloud possono includere centinaia o migliaia di microservizi, funzioni serverless, contenitori e cluster Kubernetes. Con ogni nuova connessione, diventa fin troppo facile programmare, distribuire e perpetuare configurazioni errate che rendono i dati e le applicazioni vulnerabili alle minacce informatiche.

Gli strumenti di cloud security posture management (CSPM) automatizzano e semplificano l'identificazione e la correzione di configurazioni erronee e rischi per la sicurezza in ambienti e servizi cloud ibridi e multicloud, tra cui infrastructure-as-a-service (IaaS), platform-as-a-service (PaaS) e software-as-a-service (SaaS).

Il livello di sicurezza delle identità si concentra sull'individuazione e la correzione delle configurazioni errate dell'identità e delle lacune di visibilità. Questa funzione è fondamentale per il livello di sicurezza di un'organizzazione, soprattutto perché l'identità è diventata il nuovo perimetro e un pilastro chiave della cybersecurity.

Molte misure di sicurezza tradizionali si sono concentrate sull'applicazione dei controlli di accesso al perimetro della rete. Tuttavia, con l'adozione del cloud computing, del software as a service (SaaS) e dei posti di lavoro ibridi, il perimetro della rete è diventato meno rilevante per la sicurezza di rete. In questo nuovo panorama, la piena visibilità e il controllo delle attività delle identità umane e delle macchine sono fondamentali per mitigare le minacce informatiche.

L'IBM X-Force Threat Intelligence Index mostra che gli attacchi basati sull'identità, in cui gli attori delle minacce dirottano identità valide per entrare in una rete, sono uno dei due vettori di attacco più comuni. Ciò nonostante gli ingenti investimenti in soluzioni per la sicurezza delle infrastrutture, la sicurezza delle identità e la gestione delle vulnerabilità .

Oggigiorno i criminali informatici non si limitano a hackerare. Molti effettuano l'accesso utilizzando configurazioni errate e lacune di visibilità. Una configurazione errata dell'identità si verifica quando l'infrastruttura di identità, i sistemi e i controlli di accesso non sono configurati correttamente. Le lacune di visibilità sono invece rischi che potrebbero essere trascurati dai controlli di identità esistenti di un'organizzazione, lasciando inosservate le vulnerabilità che gli autori delle minacce potrebbero utilizzare.

Gli strumenti di gestione delle identità e degli accessi e le soluzioni complete di identity orchestration possono aiutare le organizzazioni a proteggere gli account e a contrastare l'abuso di privilegi validi. 

Un buon livello di sicurezza nasce da buoni programmi di sicurezza. I programmi di sicurezza completi solitamente includono questi componenti.

• Inventario degli asset
• Governance
• Controlli di sicurezza
• Piani di risposta agli incidenti
• Formazione
• Miglioramento continuo

Per proteggere i sistemi e i dati IT, un'organizzazione ha bisogno di un inventario completo dei suoi asset: cosa sono, dove si trovano, in che modo sono vulnerabili e come mitigare i rischi. Questo inventario aiuta a definire la superficie di attacco da difendere e i controlli richiesti.

La governance si riferisce a framework e processi che aiutano le organizzazioni a garantire l'uso appropriato dei sistemi IT e a rispettare le leggi e i regolamenti pertinenti.

I processi di governance si concentrano spesso sul controllo dell'accesso e dell'uso degli asset aziendali, come le informazioni di identificazione personale (PII), i dati finanziari, i sistemi proprietari o i segreti commerciali. I livelli di accesso sono spesso determinati in base alla relativa sensibilità dei dati e alla necessità di conoscerli da parte di un individuo. Gli utenti in genere hanno accesso solo agli asset di cui hanno bisogno, con i giusti livelli di autorizzazione, per svolgere il proprio lavoro.

Le organizzazioni di determinate località o settori potrebbero anche dover aderire a framework normativi specifici, come il Regolamento generale sulla protezione dei dati (GDPR), il Payment Card Industry Data Security Standard (PCI DSS) o il California Consumer Privacy Act (CCPA). La violazione di questi requisiti normativi può comportare pesanti sanzioni da parte delle autorità governative e ripercussioni sull'opinione pubblica.

L'automazione di governance, rischio e conformità (GRC) aiuta a rafforzare e ad accelerare le attività di governance in corso. Le organizzazioni possono anche adottare framework specifici di governance e gestione del rischio, come il National Institute of Standards and Technology Cybersecurity Framework (NIST CSF).

Un'architettura di sicurezza completa incorpora vari strumenti di sicurezza complementari per proteggersi da ogni tipo di attacco, tra cui phishing e social engineering, ransomware, attacchi DdoS (Distributed Denial-of-Service), minacce interne e altri. I controlli più comuni includono:

• Soluzioni per la sicurezza degli endpoint
• Firewall
• Sistemi di rilevamento e prevenzione delle intrusion (intrusion detection and prevention systems, IDPS)
• Security Information and Event Management (SIEM)
• Security orchestration, automation and response (SOAR)
• Prevenzione della perdita di dati (DLP) 
• Controlli di gestione delle identità e degli accessi (IAM)
• Piattaforme di threat intelligence

Molte soluzioni di sicurezza di livello aziendale forniscono un alto grado di automazione e scansionano continuamente dati sensibili e asset ovunque esistano. Il monitoraggio automatico e continuo aiuta le organizzazioni a tenere traccia delle risorse, a scoprire e rispondere alle minacce in tempo reale.

Un piano di risposta agli incidenti (IRP) definisce le misure che un'organizzazione deve adottare per contrastare gli attacchi in corso. Questi piani delineano i ruoli e le responsabilità dei membri del team di sicurezza, gli strumenti da utilizzare e i compiti da portare a termine per eliminare le minacce.

Quando gestiscono un IRP, i team di sicurezza spesso si affidano a soluzioni di sicurezza che eseguono valutazioni dei rischi, forniscono report in tempo reale e dispongono di dashboard che li aiutino a stabilire le priorità dei potenziali rischi in base alla gravità. Queste soluzioni possono anche fornire istruzioni dettagliate per la correzione o playbook predefiniti per la risposta agli incidenti che semplificano la risoluzione delle minacce.

Alcune soluzioni modificano automaticamente le impostazioni di sistema o applicano nuovi controlli e patch per aumentare la cybersecurity e proteggere meglio dagli attacchi in corso.

I dipendenti, gli stakeholder e gli altri utenti sono spesso l'anello debole della sicurezza. Una regolare formazione di sensibilizzazione alla sicurezza può aiutare a rafforzare la capacità di un'organizzazione di respingere le minacce, facendo conoscere a tutti gli utenti i requisiti di governance e le best practice di sicurezza.

Il panorama delle minacce è in continuo cambiamento. Per rimanere aggiornato sui rischi più recenti e mantenere la cyber resilience, le organizzazioni esaminano regolarmente le metriche di sicurezza, valutano le prestazioni di sicurezza, conducono test di penetrazione ed eseguono valutazioni complete del livello di sicurezza.

Queste misure aiutano le organizzazioni a identificare i rischi e a sviluppare nuovi modi per contrastare gli attacchi. Ciò consente un processo di miglioramento continuo in cui le organizzazioni aggiornano i propri programmi di sicurezza per rispondere meglio all'evoluzione delle minacce.

La crescente varietà degli attacchi e le superfici di attacco aziendali in continua espansione possono rendere difficile elaborare strategie di sicurezza adeguate, e rischiano di danneggiare il livello di sicurezza dell'organizzazione.

In particolare, le organizzazioni hanno bisogno di considerare in che modo i seguenti problemi potrebbero influire sul livello di sicurezza.

• Intelligenza artificiale (IA)
• Sfide della gestione di identità e accessi
• Shadow IT

L'AI può essere utilizzata per avviare attacchi informatici, e i dati utilizzati per addestrarla possono rappresentare un bersaglio allettante di violazione di sicurezza.

Ad esempio, i modelli linguistici di grandi dimensioni (LLM) possono aiutare gli autori di un attacco a creare attacchi di phishing più personalizzati e sofisticati. Essendo una tecnologia relativamente nuova, i modelli AI offrono a malintenzionati nuove opportunità per gli attacchi informatici, come ad esempio gli attacchi alla supply chain e gli attacchi avversari.

La risposta potrebbe essere più AI, anziché meno. Secondo il report Cost of a Data Breach, le organizzazioni che implementano l'AI per la sicurezza e l'automazione nei loro security operations center possono aumentare la sicurezza del sistema e risparmiare sui costi.

Quando queste misure sono state implementate in modo estensivo nei workflow di sicurezza come la gestione della superficie di attacco (ASM), red teaming e la gestione del livello di sicurezza, le organizzazioni hanno registrato in media 1,9 milioni di USD in meno di costi di violazione rispetto a quelle che non hanno utilizzato l'AI. 

L'identità è oggi un pilastro fondamentale della cybersecurity. Tuttavia, la complessità della gestione delle identità e delle autorizzazioni di accesso dei vari utenti nella forza lavoro distribuita in ambienti ibridi e multicloud può essere fonte di notevoli rischi per la sicurezza.

• Configurazioni errate: se non configurati correttamente, i controlli IAM possono essere aggirati da amministratori o autori di minacce esperti, riducendo notevolmente la protezione che forniscono.
  
  
• Account di servizio dimenticati: un account di servizio è progettato per aiutare a eseguire azioni come l'esecuzione di applicazioni, l'automazione dei servizi e chiamate API autorizzate. Di conseguenza, questi account dispongono in genere di privilegi di sistema elevati. Se gli account di servizio inattivi non vengono ritirati correttamente, gli utenti malintenzionati possono utilizzarli per ottenere l'accesso non autorizzato.
  
  
• Autorizzazioni inadeguate: l'overentitlement, noto anche come "overpermissioning", concede agli utenti privilegi o permessi di accesso ai dati superiori a quelli necessari per svolgere il proprio lavoro, che possono essere facilmente abusati. Al contrario, nel tentativo di proteggere i dati sensibili, le organizzazioni potrebbero concedere agli utenti permessi troppo restrittivi che finiscono per impedire di svolgere efficacemente il proprio lavoro.
  
  
• Igiene delle password: le organizzazioni che consentono password deboli o ripetute facilitano l'accesso agli account da parte degli hacker attraverso semplici tentativi o attacchi brute force.

Lo shadow IT si riferisce agli asset IT (come app, dispositivi e dati) utilizzati su una rete aziendale senza l'approvazione, la conoscenza o la supervisione del reparto IT. Poiché questi asset non sono gestiti, è più probabile che contengano vulnerabilità non mitigate che gli hacker possono utilizzare.

Lo shadow IT si presenta in molte forme, tra cui:

• Shadow access: uno shadow access si verifica quando un utente mantiene l'accesso non gestito utilizzando un account locale a un'applicazione o un servizio per comodità o per velocizzare la risoluzione dei problemi.

• Shadow asset: gli shadow asset sono applicazioni, dispositivi o servizi sconosciuti ai team e ai sistemi IT che rendono più difficile l'applicazione di misure di sicurezza come i controlli di accesso, l'autenticazione degli utenti e i controlli di conformità.
  
  
• Shadow data: gli shadow data includono set e archivi di dati non gestiti dai team IT e di sicurezza. Man mano che le organizzazioni estendono l'accesso ai dati a un numero maggiore di utenti con una minore conoscenza delle corrette norme di sicurezza e governance dei dati, aumenta il rischio di shadow data. L'avvento dei sistemi cloud rende inoltre più facile per gli utenti trasferire i dati sensibili in storage personali non autorizzati.