X-Labs
Dicembre 1, 2021

Si alza il sipario sull’era della prevenzione

Future Insights 2022: Parte 5
Petko Stoyanov

Questo è il quinto post della nostra serie Forcepoint Future Insights, con approfondimenti e previsioni sulla sicurezza informatica che nel 2022 potrebbero diventare vere e proprie urgenze.

Ecco il prossimo post di Petko Stoyanov, Global Chief Technology Officer di Forcepoint:

I ransomware sono diventati l’infiltrato che cospira ai danni della sicurezza informatica. Un infiltrato è una spia che si introduce di soppiatto all’interno di un paese o un’azienda e si comporta normalmente finché non è chiamato a portare a termine la sua missione, anche se possono volerci mesi oppure anni. Nel caso dei ransomware, è luogo comune che producano i loro effetti nocivi immediatamente. Se una collega ti invia un documento, è molto probabile che tu lo apra. Una volta attivato, il malware può sopraffare e compromettere il tuo sistema in pochi secondi, se quello è il suo intento. Ma non sempre è così.

Spesso il codice ransomware resta nascosto in incubazione per mesi, per attivarsi soltanto in uno specifico momento, ad esempio in un certo giorno o persino in concomitanza con una specifica fase lunare. E nel corso dei mesi, il malware può diffondersi lentamente e crittografare contenuti, non tutti insieme ma a poco a poco, trasformando elementi positivi in negativi a livello dell’intera organizzazione o dell’ecosistema. Come dicevo, proprio come un agente infiltrato.

E, quindi, come possiamo sviluppare sistemi resilienti e continuare a gestire le nostre aziende o i nostri governi considerando la minaccia crescente dei ransomware?

Intensificare il rilevamento? Non è questa la soluzione

Aziende e governi globali, a livello nazionale e locale, hanno investito miliardi nel tentativo di rilevare e mettere fine ai ransomware. Il rilevamento è una parte importante di un’infrastruttura resiliente, ma per portare alla luce le violazioni dei dati possono volerci da sei a nove mesi. Quindi un’intensificazione dei rilevamenti non è una soluzione. Il settore della sicurezza non ha avuto successo nel rilevamento. Ci abbiamo provato per decenni. Per ogni nuova soluzione viene trovato un nuovo inganno. Di recente abbiamo sviluppato strumenti anti-malware basati sull’apprendimento automatico e l’intelligenza artificiale. Innovazioni come l’IA sono utili ma, sorpresa sorpresa, anche i criminali usano l’IA, tra l’altro per creare deepfake. La corsa alle armi dell’innovazione non ha eliminato né ridotto le minacce come i ransomware. Anzi, gli attacchi ransomware continuano a crescere per ampiezza e impatto economico.

Come risposta, il nostro settore si è rivolto alle architetture Zero Trust e agli approcci explicit-trust, ma nella maggior parte dei casi le strategie Zero Trust si sono focalizzate sulle identità e gli accessi. La recente evoluzione delle forze lavoro ibride e la trasformazione digitale, insieme al fatto che contenuti e informazioni digitali sono fruibili ovunque, offrono chiari indizi su quale debba essere la meta finale dello Zero Trust: i dati.

Passaggio alla prevenzione totale

Si può tranquillamente affermare che i dati siano il sistema nervoso centrale di ogni organizzazione. I dati sono ovunque e praticamente standardizzati, dai PDF alle mail, fino alle pagine web e ai database. Le aziende devono riconsiderare il loro perimetro, visto che oggi il perimetro si trova laddove vengono utilizzati i loro dati. Per dirla in altre parole, chi concentra l’attenzione sull’autenticazione e il rilevamento può riuscire a conoscere l’identità degli utenti presenti sulla rete e i contenuti a cui possono avere accesso. Ma probabilmente non saprà a quali dati hanno accesso e perché.

Gli strumenti di analisi sono incredibilmente utili per identificare i momenti di rischio potenziale, che restano comunque difficili da individuare come il proverbiale ago nel pagliaio. Se seguiamo il modello Zero Trust, allora non dobbiamo fidarci in principio di nessuna risorsa che entra nelle nostre reti. Un modello di prevenzione totale parte dal presupposto che ogni contenuto sia negativo e che occorre ripulire tutto, a prescindere dalla fonte.
Tutto o niente, o semplicemente niente, è una mentalità radicale, ma le minacce esistenziali come i ransomware impongono un approccio nuovo. I leader dell’imprenditoria e della sicurezza informatica devono accogliere le tecnologie Zero Trust per la trasformazione dei contenuti, ad esempio la CDR (Content Disarm and Reconstruction), maturate per le imprese. La CDR presume che tutti i file che arrivano in rete contengono dei malware. Intercetta un documento al confine della rete, ne ricrea il contenuto da zero e lo consegna pulito e sicuro al destinatario previsto. Non importa se un pirata informatico si è introdotto nell’account e-mail di un fornitore per indurmi (ahah, buona fortuna a chi ci prova) a cliccare su un allegato infetto. Il file sarà pulito prima ancora di arrivare nella mia casella di posta. Minaccia prevenuta.

In quest’epoca ci servono approcci non convenzionali per difendere le nostre economie, la nostra infrastruttura critica e il nostro stile di vita. Quando la sicurezza informatica sarà in grado di creare condizioni operative “normali”, il settore avrà nuove opportunità. L’iperscalabilità delle risorse IT necessaria per tenere il passo con le esigenze della forza lavoro ibrida moderna impone una scalabilità equivalente anche alle funzionalità di sicurezza informatica. Clienti che in passato erano pronti ad adottare miriadi di prodotti specializzati, oggi sono sempre più spesso alla ricerca di modelli di distribuzione integrati nel cloud. Vorranno una sicurezza informatica facile quanto qualsiasi altro servizio, con un rapido interruttore per attivare la rimozione delle minacce, la sicurezza dei dati, il firewall, la sicurezza web e altre funzionalità ovunque occorrano e in qualsiasi momento.

Mentre i leader di imprese pubbliche e private proseguono nei loro sforzi di trasformazione digitale, riconoscono l’importanza della sicurezza informatica per consentire le loro attività. Il percorso verso il modello Zero Trust continuerà, con le organizzazioni che tenteranno di prevenire in modo proattivo ogni compromissione, piuttosto che ricorrere a misure di rilevamento o risposta alle minacce. Sono ottimista per quanto riguarda il prossimo anno e quelli successivi.

Conclusioni di Future Insights:

  • La prevenzione totale diventa lo standard, con le organizzazioni che accolgono i principi Zero Trust. Partendo dal presupposto che tutti i contenuti siano infetti, i team IT li sottoporranno a sanificazione, consentendo l’accesso con privilegio minimo.
  • La convergenza e l’iperscalabilità delle funzionalità saranno la norma e il lavoro diventerà più semplice grazie alla maturazione del SASE e della sicurezza del cloud as-a-service.
  • La rimozione delle minacce può estendersi a imprese e organizzazioni pubbliche: da tecnologia di nicchia, la combinazione di CDR, SWG ed RBI si diffonderà dando alle imprese una solida strategia di difesa dagli attacchi ransomware.

Petko Stoyanov

Petko Stoyanov serves as Forcepoint's Global Chief Technology Officer. He focuses on strategy, technology and go-to-market for  enterprise-focused solutions across the government verticals in Australia, Canada, New Zealand, United Kingdom, and the United States.

Read more articles by Petko Stoyanov

Informazioni su Forcepoint

Forcepoint è l'azienda leader nel settore della sicurezza informatica per la protezione degli utenti e dei dati. La sua missione è tutelare le aziende e guidare la crescita e la trasformazione digitale. Le nostre soluzioni armonizzate si adattano in tempo reale al modo in cui le persone interagiscono con i dati, forniscono un accesso sicuro e, allo stesso tempo, consentono ai dipendenti di creare valore.