La sicurezza informatica non è un monolite: anzi, è una materia di studio complessa e ricca di sfaccettature. Tanto che il Rapporto Clusit 2023 presentato al Security Summit Milano in questi giorni conta centinaia di pagine di dati. Ma non solo: durante la tre giorni del Security Summit gli esperti di cybersecurity si sono confrontati su diversi temi interessanti, in ben 63 sessioni che hanno coinvolto quasi un centinaio di speaker.
NordVPN, Miglior servizio VPN in Italia
In questo articolo vogliamo raccontarvi, senza pretese di essere esaustivi, alcune di queste sessioni. Per darvi un assaggio digitale di questo evento che, quest’anno, torna a essere solo dal vivo a Milano.
Security Summit Milano, un assaggio delle sessioni di sicurezza
Come ogni anno, anche l’edizione 2023 del Security Summit ha avuto inizio analizzando i dati del Rapporto Clusit, che valuta dodici mesi nell’ambito della sicurezza informatica. Non solo analizzando gli attacchi e i vettori, ma anche come le aziende rispondono alle sfide di sicurezza – e cosa fa il sistema Paese per aiutarle.
Terminata la lettura del rapporto, una tavola rotonda (che vi raccontiamo qui) ha messo al centro il punto di vista degli esperti delle principali aziende di cybersecurity attive in Italia e nel mondo, analizzando i dati, che vedono l’Italia nel “mirino dei cybercriminali”. Ma anche dando prospettive su come sarebbe possibile cambiare tendenza e difendere meglio aziende e PA.
Qualcosa che continua nelle oltre 63 sessioni del Security Summit Milano, che hanno tenuto sempre questo doppio punto di vista: analisi dei dati e proposta di soluzioni.
Ricerca e soluzioni federate
Dopo aver analizzato la complessità enorme dei rischi informatici, Pier Luigi Rotondo e Benedetto Lafortezza di IBM ci ricordano che un approccio riduttivo e semplice in cybersecurity non è più possibile. Ma, invece di destreggiarsi fra tante soluzioni separate, una soluzione potrebbe stare nella capacità di orchestrare al meglio più risposte.
L’approccio di IBM è quello di portare le aziende verso piattaforme open per avere una visibilità maggiore. Con la piattaforma XDR di IBM, l’azienda vuole estendere la risposta alle minacce. Diventa così possibile monitorare i dati senza bisogno di spostarli.
“Quando andiamo dai clienti, non troviamo aziende che partono da zero, ma hanno già delle soluzioni. Noi quindi andiamo a integrarci con tantissimi diversi prodotti, già utilizzati in aziende. L’XDR deve inoltre poter scatenare allarmi in tempo reale, interrogando tutte queste soluzioni in un unico ambiente. Ma deve anche guidarmi nella fase di risposta degli incidenti” spiega Rotondo.
Tante soluzioni in uno
IBM Security QRadar XDR diventa uno strato di interconnessione fra le varie soluzioni già presenti in azienda, offrendo poi diverse soluzioni: ASM, EDR, SIEM, NDR, SOAR, XDR-C e Threat Intel.
Rotondo spiega: “Questo mi permette, per esempio, di ricevere un alert strategico dal Threat Intel: un gruppo hacker sta attaccando la mia tipologia di azienda nella mia zona. Poi posso valutare se trovo vulnerabilità sui miei dispositivi, se sono esposto sui servizi attacchi, se nella rete passano attività sospette. Una ricerca federata, per capire reagire: posso ora passare alla fase di risposta”.
In alternativa, l’analisi degli endpoint rileva un ransomware e io posso subito valutare se altre zone delle reti sono sotto attacco, prendendo informazioni dal Threat Intelligence (e condividendole) per capire come agire. Ma questi, ci spiegano, sono solo due delle tante casistiche: il vantaggio di un approccio federato è che posso ricevere alert da qualsiasi campo, approfondire, capire il problema mentre isolo e poi reagire.
Attacchi veloci e polimorfi: serve una risposta completa
Oltre a questi esempi, vediamo tantissimi altri tool nell’XDR di IBM. Le soluzioni EDR basano il proprio lavoro sul comportamento, capendo così quando un processo sconosciuto sta mettendo in atto un qualcosa di malevolo. Quando rileva movimenti laterali o altri eventi a rischio, isola l’endpoint e inizia a risolvere il problema.
ReaQta permette per esempio di identificare una macro malevola dentro un file Word, che un dipendente ha scaricato da un allegato, capendo non solo che qualcosa di anomalo sta succedendo, ma anche quale file è stato aperto, che azione ha messo in atto e quale processo malevolo ha attivato. Ma c’è anche un assistente virtuale che permette di capire il rischio di pericolosità degli alert, risolvendo i più semplici e lasciando agli operatori il “lavoro difficile”.
IBM ci parla anche di una soluzione come Randori, pensata per rispondere ai rischi di una superficie d’attacco in continua espansione, per la digitalizzazione delle aziende e per l’aumento del lavoro da remoto. In sostanza, Randori restituisce alle aziende la visione della superficie d’attacco esposta a internet – anche i cosiddetti shadow IP e le backdoor. Una soluzione ASM completa.
L’importanza della sovranità digitale
Simone Mola, di Thales, entra invece nel vivo con un argomento molto scottante e discusso, anche di recente per questioni geopolitiche oltre che economiche: la sovranità dei dati.
I cloud server provider pubblici parlano di “Cloud Shared Responsability”, che significa che sta all’utente finale gestire i dati a livello di governance. In Europa lo abbiamo visto in maniera evidente. Ma cosa significa davvero la Data Sovereignity? Il World Economic Forum spiega che: “La sovranità digitale riferisce all’abilità di avere il controllo del proprio destino digitale”.
Qualcosa di complesso sulla carta, visto che il 92% dei dati nel mondo occidentale sta in server di proprietà americana – un mercato che spende 1,3 trilioni di dollari annuali. Tuttavia, Mola ci spiega che stanno nascendo delle iniziative per garantire la sovranità dei dati nelle varie region. In Europa lo Schrems-II parla di sovranità dei dati ma anche delle chiavi d’accesso. Ed è proprio qui che, fin da subito, le aziende possono fare la differenza.
Chi ha le chiavi crittografiche ha il vero controllo dei dati
I dati devono sempre rimanere sotto il controllo dell’azienda. Anzi – secondo Mola, anche all’interno dell’azienda bisogna limitare molto bene l’accesso ai dati in chiaro. Ma non basta: affinché un’azienda possa davvero avere sotto mano il “proprio destino digitale”, serve essere sovrani anche in termini operativi e di software. Essi servono per garantire che i dati siano interoperabili, in modo da poter passare eventualmente a un altro fornitore senza problemi.
“Proteggere i dati significa criptarli: chi controlla le chiavi crittografiche controlla i dati cifrati“. Se il Cloud Provider cifra e gestisce i dati, non è possibile parlare di sovranità dei dati da parte delle aziende.
Quello che le aziende devono quindi fare è categorizzare i dati per capire come e in che modo crittografare i dati. Se per esempio sono informazioni pubbliche e poco rilevanti, la cifratura del cloud pubblico potrebbe bastare. Ma in altri casi, per regolamentazioni statali o interne, bisogna capire come proteggerli. Ci possono essere quattro approcci:
- Lasciare il controllo al cloud provider, che fornisce cifratura e chiavi
- Bring Your Own Key: il provider dà la crittografia ma la chiave è del cliente.
- Hold Your Own Key è invece un approccio più sicuro, perché permette di tenere le chiavi separate
- Bring Your Own Encryption permette di avere un controllo totale
Le soluzioni di Thales
Questi diversi approcci portano aziende come Thales a fare diverse operazioni. Si va dal semplice Rehost: “lift and shift” dei vostri datacenter verso il cloud. Ma più complesse sono le operazioni di Rearchitect, per ristrutturare parzialmente i dati e le applicazioni prima di portarle nel cloud. Con il Rebuild si punta a creare un’app cloud nativa per gestire i dati, mentre Replace è soluzione as a service completa.
In ogni caso, per garantire la sovranità dei dati bisogna separare i dati e la chiave crittografica. Thales offre tre livelli diversi, partendo da un Hardware Security Modules, Enterprise Key Manager (hardware o virtuale) e poi ci sono i Software Connectors: dalla tokenizzazione come mascheramento alla cifratura delle applicazioni e non solo.
Si possono mettere degli HSM on-premise, con un Ciphertrust Cloud Key Manager, un orchestratore che permette di gestire più cloud provider (AWS, Oracle e Google Cloud). Infatti, Mola ci spiega che la soluzione risulta davvero flessibile, adattandosi alle esigenze delle aziende, ma garantendo che nessuno abbia accesso alle informazioni se non autorizzato: una data sovereignity che diventa anche data security.
Dall’analisi del Cyber Crime alle soluzioni, le sessioni del Security Summit Milano
La giornata di chi cammina nelle hall dell’UnaHotel di Milano per il Security Summit 2023 continua con diverse sessioni, che spaziano su più campi. Alex Galimi di Trend Micro per esempio ci parla di Cyber Crime e di come la sua azienda abbia analizzato tantissimi dati per poter prevedere dove si stanno spostando i criminali informatici in quest’anno.
Un panorama in continua evoluzione, ma con alcuni “evergreen”, come li definisce Galimi: per esempio il Social Engineering per attaccare le aziende, ma con i modelli di Ransomware-as-a-Service che diventano sempre più simili ad aziende ben oliate.
Non mancano però anche le tavole rotonde, come quella di Women For Security 2023, che parla de “Le liberta ai tempi dell’IA, tra privacy, responsabilità e Consapevolezza”. É presente la fondatrice di Women for Security Cinzia Ercolano, che introduce la tavola rotonda che vede tra gli ospiti anche Carlo Mauceli, CTO di Microsoft – un’azienda nel pieno di questa trasformazione dell’intelligenza artificiale, con Anna Italiano e Sonia Montegiove del Direttivo di Women for Security e Manuela Santini di P4I che discutono di possibilità e rischi in questo ambito.
Insomma, la sicurezza informatica prende diverse strade fra le sessioni del Security Summit Milano, pur cominciando a camminare dalla stessa partenza: il Rapporto Clusit 2023 (che trovate qui). E con una stessa meta: rendere più sicuri i dati e le operazioni delle aziende e dei cittadini.
- Stallings, William (Autore)