Come faremo sicurezza: le cose che abbiamo imparato al Cybertech Europe

Dario Colombo

14/05/2022

Difendersi dal ransomware, tutelare l’identità digitale, capire se il quantum computing ci minaccia, costruire un digital trust: ne abbiamo parlato con gli esperti a Roma

Come faremo sicurezza: le cose che abbiamo imparato al Cybertech Europe

La guerra cyber in atto contro i sistemi paese, ossia le infrastrutture, i governi, le aziende chiave e, alla fine della catena, i cittadini, è di quelle non dichiarate, ma è estremamente reale, attuale e noi ci siamo pienamente in mezzo.

Se ne è parlato alla manifestazione Cybertech Europe 2022 di Roma, dove abbiamo avuto modo di raccogliere le opinioni di vari esperti italiani della cybersecurity.

La premessa ce l’ha offerta Christophe Morand, Head of security of information task force della Direzione Generale DEFIS della Commissione europea, che rispondendo a Franco Ongaro, Chief technology e innovation officer di Leonardo, sul tema dello scenario europeo della cybersecurity, ha detto che «è cambiato: oggi abbiamo bisogno di creare capacità e trust. La Commissione Europea sta sentendo stati membri e stakeholder per rivedere le direttive e adattarle al contesto mutato, con un meccanismo di cooperazione per la condivisione delle informazioni sui cyber attacchi”.

Per farlo, condividere le informazioni è il primo passo.
Una cosa che, peraltro, la comunità tecnologica fa da anni, ma purtroppo evidentemente non basta: gli attacchi paiono moltiplicarsi, in particolare quelli ransomware.

Attacchi, oltre tutto, che hanno iniziato a ibridarsi con quelli alle infrastrutture, creando una mistura venefica per cittadini e istituzioni.

Tsunami ransomware, tutta colpa dello smart working?

Il ransomware? Se non ci fosse stato il Covid e di conseguenza lo smart working “selvaggio”, forse non saremmo (ancora) in questa situazione.
Attacchi che si perpetuano ormai da oltre un anno e mezzo con una recrudescenza mai vista, impensabile.

Fabio Panada di Cisco Fabio Panada di Cisco

Secondo Fabio Panada, Responsabile dell’offerta tecnica e security architect di Cisco il fenomeno è in crescita esponenziale, e non sparirà certo nei prossimi anni. Fattori scatenanti?»Certe attività sono redditizie, le aziende si digitalizzano e lo smart working messo in piedi alla bell’è meglio ha fatto la sua parte".

Per David Gubiani, Regional Director Emea Southern di Check Point, “puoi mettere la migliore tecnologia, ma il fattore umano è sempre determinante. O spendi tanto tempo in formazione, o non se ne esce. La più grossa vulnerabilità è stata lo spostamento della forza lavoro a casa, non solo nelle aziende private, ma nella Pubblica amministrazione, soprattuto quella periferica. Chi accede a internet dimostra una fiducia istantanea, immediata. Quindi è a forma mentis a essere sbagliata”.

A sentire Giancarlo Marengo, country manager di Mandiant, da metà 2019 i pochi casi in Italia sono aumentati in modo esponenziale e hanno colpito tutti.
Motivo? «Più d’uno. L’adozione del cloud non è stata gestita bene. Poi oggi le vulnerabilità vengono sfruttate in modo orizzontale. Gli attacchi non sono più mirati, ma industrializzati: possono caderci tanto la banca quanto la panetteria. Le nostre previsioni dicono che nel 2022 il 70% degli attacchi sono su tecnologie distribuite, il resto viaggia su supply chain».

Aldo Di Mattia di Fortinet Aldo Di Mattia di Fortinet

Anche per Aldo Di Mattia, Manager Systems Engineering di Fortinet per il futuro dobbiamo attenderci un ransomware unito all’ambiente di operational technology.
Il pericolo viene dal fatto che generalmente sistemi IT hanno vita corta, mentre gli apparati OT nascono per vivere 20 anni. «Nell’IT si può usare l’intelligenza artificiale, nell’OT non si può fare, i sistemi non possono essere sottoposti a patch, sono più fragili. E integrati sempre di più con l’IT».

Come se ne esce dal ransomware?

Luca Nilo Livrieri, Sales Engineer Manager Southern Europe di Crowdstrike ci dà una spiegazione tecnica: “bisogna mitigare l’attacco per non farlo sviluppare, quindi proteggere le identità. Non è un tema del se ma del quando un attacco accadrà. Oggi il ransomware ha una modalità file less, senza codice binario, senza allegati, per attaccare utilizza strumenti che sono già sulla macchina. Ergo bisogna bloccare la propagazione lavorando sull’identità”.

Per Giancarlo Marengo di Mandiant lo si fa con una stratificazione del proprio ambiente di network: ci si può predisporre ad attenuare un attacco, ma non lo si può evitare. «Quindi massima attenzione all’utilizzo delle credenziali e cambio password con cadenza frequente».

David Gubiani risale ancora più a monte e allunga i tempi: se ne esce con la formazione comportamentale: “Nelle scuole bisognerebbe insegnare educazione informatica. Teniamo conto che ancora oggi il 91% delle minacce arriva via email, 1.600 attacchi di compromissione a settimana. Tutto ha bisogno di una componente umana per essere attivato”.

Luca Nilo Livreri di Crowdstrike Luca Nilo Livreri di Crowdstrike

Nell’attesa che le nuove generazioni vengano formate, cosa si può fare? “Bisogna fare formazione aziendale, e applicare policy veramente restrittive, zero trust: reale identità di chi si connette. Bisogna essere autorizzati a fare qualsiasi cosa: serve uno sforzo da parte degli utenti e degli amministratori”.

La password è morta ma l’identità digitale non si sente bene

Gli attacchi ransomware sono uno degli aspetti più critici, perché rivolti alla componente economica della vita digitale.
Ma non possiamo ridurre la cyberdifesa a evitare un blocco delle attività e a un riscatto da pagare.
Di mezzo ci sono i nostri dati, intendendo con “nostri” l’identità digitale.

Per proteggere la digital identity secondo Luca Nilo Livrieri di Crowdstrike bisogna cambiare approccio: “con gli attacchi di filiera che avvengono oggi ci cascano anche gli utenti sgamati. Bisogna capire i vettori di attacco, monitorare come si comportano. Forzare a fare l’autenticazione a due fattori è un primo passo”.

Per Aldo Di Mattia di Fortinet l’integrità dell’identità digitale è forse l’argomento più scottante. “Dobbiamo evolvere - dice - la password come strumento di difesa è morta cinque anni fa. Oggi che abbiamo centinaia di password ci sono sistemi che fanno machine learning sulle password, che capiscono l’algoritmo mentale che utilizziamo per crearle. Siamo tutti prevedibili”.
In luogo delle password allora? “Usiamo un sistema multifattore, che viaggia su dispositivi differenti”.
Forse è meglio la biometria? “Anche, ma teniamo presente che ogni cosa è hackerabile”.

David Gubiani di CheckPoint David Gubiani di CheckPoint

David Gubiani pensa che servano strumenti per la verifica delle identità. “Bisogna avere la tecnologia per identificare le persone. Il problema viene dal cloud: è qui che ci sono le misconfiguration. Passare da 1 a 10mila asset sul cloud ci vuole poco con i microservizi. Bisogna adottare un approccio least privilege, usare strumenti di posture management, che valutano privilegi e sicurezza accessi. Gli strumenti ci sono anche per proteggere l’identità personale da violazioni e frodi, Quelli che servono sono i comportamenti giusti”.

Noi siamo identità digitali

Fabio Panada di Cisco, concorda con Money.it sulla definizione: noi siamo identità digitali.
Come ci salviamo allora? “Con i comportamenti attenti. Comincio a essere meno d’accordo con chi dice che l’anello debole è l’utente. Questa non deve essere una giustificazione: le aziende devono comunque avere delle tecnologie, dei processi, un modello organizzativo per evitare che l’utente cada in inganno. L’utente finale deve essere messo in un sistema che lo protegge".

Allora l’approccio passwordless può funzionare? “È una delle tante buzzword, una moda. È un’’idea che indirizza un problema che abbiamo. È una risposta, ma come tutti gli strumenti vanno usati bene; chi archivierà la nostra identità digitale? Come verrà gestita? Meglio chiarirlo prima e bene".

E l’approccio zero trust? “Chi si occupa di cybersecurity nella mentalità dovrebbe averlo. La tecnologia è nulla senza il controllo”.

Chi ha paura del quantum computing?

In questo scenario la cybersecurity del futuro potrà non essere come quella di oggi: accadrà quando il quantum computing, con la sua enorme capacità di calcolo, consentirà anche di violare gli attuali sistemi di protezione crittografici. Un problema già sentito?

Per Aldo Di Mattia di Fortinet fronteggiare il quantum sarà “importantissimo, cambierà le logiche per decifrare la cifratura. La comunità è al lavoro per trovare una strada condivisa”. Si temono fughe in avanti? “C’è chi ci prova, come sempre, nulla di nuovo. Bisognerà però anche cambiare le leggi. Negli USA per esempio ci sono limiti alla cifratura”.

Secondo Luca Nilo Livrieri quantum o non quantum “l’importanza della comprensione dell’attaccante per noi non cambierà mai. Abbiamo una regola, che manterremo: 1 minuto per trovare il problema di una violazione, 10 per investigarne le cause, 60 per tornare a essere operativi".

Giancarlo Marengo di Mandiant Giancarlo Marengo di Mandiant

Giancarlo Marengo di Mandiant ritiene la minaccia quantum prematura. “Siamo a un passo precedente. Siamo ancora in una fase in cui dobbiamo adottare i meccanismi di difesa. Oggi ci sono ancora troppe backdoor, troppe vulnerabilità risolvibili con i meccanismi di base. Investiamo piuttosto sull’intelligence e sui rischi reali di adesso. La difesa passa da conoscenze di threat intelligence, per verificare i propri sistemi, e poi investire in skill interni medio alti”.

Per David Gubiani di Check Point “La crittografia oggi esiste, ma le informazioni criptate sono per proteggere i dati fra me e l’interlocutore. Lasciamo già oggi tante tracce digitali che il quanum è un non-problema".

Anche Fabio Panada di Cisco è sulla linea no fear: “il quantum? Non mi fa paura adesso. Mi fa alzare il livello di attenzione, questo sì. L’adozione di questo paradigma potrebbe cambiare tanti fattori di gioco, minare certezze. Gli strumenti di cifratura che usiamo possono diventare obsoleti, e con essi i processi che abbiamo creato attorno. Ci stiamo preparando come community, ma nessuno ha ancora le risposte definitive, non sappiamo ancora dove arriveremo”.

Sicurezza vuol dire fiducia

La sintesi del sentiment che abbiamo raccolto al Cybertech Europe di Roma, è che la crasi dei temi della sicurezza digitale personale, aziendale e del sistema paese ha generato un’inversione della tendenza che dominava anni fa.

Siamo passati da un’eccessiva sicurezza a uno stato latente di insicurezza, dal non temere nulla (sbagliando, evidentemente) al temere qualsiasi cosa. Una posizione mediana è quella che chiama a fortificare il digital trust, ossia la fiducia nella propria sfera digitale.

Per Luca Nilo Livrieri di Crowdstrike “lo stato di insicurezza a prescindere si deve trasformare in consapevolezza dell’utilizzo del mezzo a prescindere: non vivere con l’ansia, Il punto è arrivare a una concreta e protetta gestione delle identità”.

Giancarlo Marengo di Mandiant pensa che “stiamo vivendo un periodo in cui è necessario creare la giusta consapevolezza sulla capacità di reazione della propria struttura cyber. Siamo passati da zero tecnologia a una tecnologia ridondante. Siamo tutti a rischio, ma oggi ci sono sistemi di validation che permettono alle aziende di validare se la loro tecnologia si sta muovendo in maniera efficace verso gli attacchi che stiamo correndo. Con la coscienza a posto di chi ha investito in tecnologia, skill altri e continua a testare l’ambiente”.

Per Aldo Di Mattia di Fortinet la formazione è alla base di tutto: “noi ci impegniamo a creare la consapevolezza a tutti i livelli, nelle scuole e con le università” e trova una sponda in David Gubiani di Check Point: “dobbiamo puntare sulla consapevolezza, su programmi scolastici dalle elementari in su, che inizino oggi e per sempre”. E provocatoriamente propone: “Si dovrebbe istituire la patente per poter usare i mezzi informatici”.

Senza avere la certezza di poter arrivare a tanto, valga allora la chiosa di Fabio Panada di Cisco “il digital trust si alimenta con le informazioni. Più cose sappiamo, più acquisiamo fiducia: trasparenza, informazione, educazione”.

Iscriviti a Money.it