Antonio Ieranò, Evangelist cyber Security Strategy, Proofpoint
Nella visione tradizionale, quando pensiamo alla protezione dei dati e alla sicurezza dell’informazione, si tende a considerare le attività di gestione del dato come attività svolte all’interno di un perimetro ben definito e, per questo, con una certa sicurezza intrinseca. Vincoli fisici di accesso alle risorse offrono alcuni livelli di protezione, sia fisica che informatica, spesso considerati robusti.
Nella realtà il passaggio globale a modelli di lavoro ibridi, forzato anche da concause esterne, ha modificato sensibilmente l’ambiente di riferimento che dobbiamo considerare quando si parla di sicurezza dell’informazione. Gli ultimi due anni e mezzo hanno visto decollare le opzioni di lavoro a distanza, il che a sua volta ha aumentato le potenziali superfici di attacco per un’organizzazione. Con un maggiore utilizzo di piattaforme cloud e di collaborazione, le persone sono ora più che mai la più grande superficie di attacco e sono particolarmente vulnerabili lavorando al di fuori della presunta sicurezza dei loro uffici aziendali.
Le reti domestiche non sono protette come le reti dell’ufficio, i dispositivi possono essere condivisi con altri e spesso sono ad uso promiscuo (lavoro e personale). I dati ed i sistemi aziendali sono ora accessibili “in cloud” oltre che nei tradizionali datacenter, e la moltiplicazione di percorsi esterni per accedere ai sistemi e risorse aziendali rappresenta un enorme pericolo. Offre agli attori delle minacce più modi per entrare, ma rende anche più difficile tracciare ciò che i lavoratori stanno gestendo.
Inoltre, le organizzazioni stanno creando e spostando più dati che mai. Ciò a sua volta crea nuove forme di rischio per la sicurezza per le aziende, rendendo difficile capire quando i dati sono a rischio, quale sia il loro valore effettivo e, di conseguenza, implementare i controlli appropriati per mitigare il rischio.
Quindi, come possono le organizzazioni affrontare queste sfide relativamente nuove per la sicurezza dei dati?
Alle prese con rischi aziendali più ampi
La forza lavoro decentralizzata accelera anche i rischi incentrati sulle persone, rendendo la protezione dei dati molto più difficile. Nel 2022, il costo totale medio globale di una violazione dei dati ha raggiunto il massimo storico di 4,35 milioni di dollari, secondo il Cost of a Data Breach Report di IBM Security. Secondo il rapporto, il lavoro a distanza è in parte responsabile dell’aumento dei costi. Il rapporto ha rilevato una “forte correlazione” tra il lavoro remoto e il costo delle violazioni dei dati. Le violazioni, in cui il lavoro a distanza era un fattore, costano in media 1 milione di dollari in più.
Le informazioni di identificazione personale (PII) dei clienti sono il tipo di record più costoso compromesso in una violazione dei dati. E questi dati sono preziosi per gli attori delle minacce per furti finanziari, frodi e altri crimini informatici, il che significa che le minacce continueranno a colpire questo tipo di dati e le autorità di regolamentazione continueranno ad aumentare la pressione sulle organizzazioni per proteggerli meglio.
Il regime normativo in continua espansione è uno dei fattori che fanno aumentare i costi delle violazioni dei dati (si pensi al GDPR) e la necessità di una migliore governance dei dati.
Un solido programma di governance dei dati deve riconoscere questo ambiente in evoluzione e considerarne le implicazioni rispondendo a domande fondamentali, come ad esempio:
- Dove vengono archiviati i tuoi dati?
- I tuoi dati sono protetti o regolamentati?
- Come vengono utilizzati questi dati?
- Chi vi ha accesso?
- Come vengono protetti questi dati?
- Come vengono trasmessi alle terze parti coinvolte?
La sfida Insider
I dati non si perdono ne escono da soli. Le persone perdono dati perché sono le persone che vi accedono. Il dato non sparisce per sua volontà: viene rubato da un utente malintenzionato esterno che si sia impossessato di credenziali di un utente aziendale, perso a causa di un utente negligente o preso da un dipendente malintenzionato, spesso a un concorrente. È importante, ora più che mai, proteggersi dalle minacce interne.
Il nostro recente Voice of the CISO Report 2022 ha infatti rivelato che il 31% CISO hanno citato le minacce interne – negligenti, accidentali o criminali – come la minaccia più significativa per la loro organizzazione nei prossimi 12 mesi.
Inoltre, i recenti risultati di Proofpoint e del Ponemon Institute mostrano che, indipendentemente dal fatto che si tratti di negligenza o dolo, le minacce interne costano alle organizzazioni 15,4 milioni di dollari all’anno, in aumento del 34% rispetto al 2020, quando la pandemia ha colpito.
Per calare la questione in termini italiani si faccia riferimento a questi dati:
- Il 63% delle organizzazioni italiane ha subito un tentativo di attacco ransomware nell’ultimo anno, con il 44% che ha subito un’infezione riuscita. Solo il 38% ha riottenuto l’accesso ai propri dati dopo aver effettuato il pagamento iniziale del ransomware.
- Il 39% delle organizzazioni italiane ha riferito di aver subito perdite di dati a causa di un’azione interna nel 2022.
- Il 18% dei dipendenti italiani ha cambiato lavoro nell’ultimo anno. Tra coloro che hanno cambiato lavoro, il 42% ha ammesso di portare con sé i dati.
Molte organizzazioni hanno dovuto riorientare i loro sforzi tecnologici e di sicurezza dagli ambienti di lavoro on-premise a una forza lavoro completamente remota, con il risultato di una miriade di nuovi problemi che devono essere affrontati. Aver adottato strategie di digitalizzazione pensate per un ambiente “chiuso” in un ambito aperto e diffuso come quello attuale ha ulteriormente indebolito i perimetri difensivi del dato, esposto a processi non sempre compatibili con la nuova realtà.
Anche se non possiamo attribuire l’aumento complessivo delle minacce interne a un singolo fattore, il passaggio al lavoro da qualsiasi luogo i sempre più frequenti cambi di lavoro hanno entrambi esacerbato questi rischi. Non c’è dubbio che una forza lavoro dispersa crei una maggiore dipendenza dal cloud, una superficie di attacco significativamente più ampia e un indebolimento della visibilità e dell’efficacia dei controlli di perdita di dati legacy. Inoltre, è più facile che mai condividere ed esporre grandi quantità di informazioni sensibili, sia con noncuranza che con dolo.
Affrontare la sfida dei dati ibridi
Mentre la maggior parte delle aziende è ormai ben abituata al mondo post-pandemia, molte politiche e procedure non sono ancora aggiornate. I controlli in atto per proteggere i dati, ad esempio, sono stati costruiti principalmente attorno alle pratiche di lavoro tradizionali che spesso prevedono passaggi “cartacei” non replicabili remotamente se non con stampa e re-digitalizzazione del documento processato con la relativa moltiplicazione del rischio di esposizione di dati sensibili.
In molti casi, le soluzioni tradizionali di protezione dalla perdita di dati (DLP) si sono concentrate su strumenti e perimetri progettati per mantenere le informazioni sensibili all’interno di un ambiente “chiuso” e gli attori malintenzionati fuori. Questo approccio legacy alla DLP si è concentrato sui dati in uso, in movimento e a riposo, senza molto contesto al di fuori di questo.
Tuttavia, con molte persone che ora operano al di fuori delle tradizionali attività d’ufficio, gli atteggiamenti, i comportamenti e i modi di lavorare sono cambiati. E con esso, anche il modo in cui accediamo e interagiamo con i dati è cambiato. Questo nuovo modo di lavorare richiede un nuovo modo di proteggere i nostri dati sensibili sia dall’esterno che dall’interno. Uno che ponga molta più enfasi sulle persone piuttosto che solo su strumenti e controlli.
Mentre le politiche e le procedure possono essere in ritardo nel nuovo ambiente di lavoro ibrido, lo stesso non si può dire dei criminali informatici. Gli attori delle minacce non hanno perso tempo, prima capitalizzando l’interruzione causata dalla pandemia e ora affinando le loro esche per colpire gli utenti in ambienti nuovi e potenzialmente meno sicuri. E continuano a prendere di mira le persone, ovunque lavorino.
Soluzione DLP tradizionali possono individuare attività sospette, ma non forniscono alcuna consapevolezza comportamentale prima, durante o dopo il movimento rischioso dei dati e offrono poco in termini di analisi dei comportamenti rischiosi degli utenti. In altre parole, gli strumenti legacy non possono aiutarti a rispondere al contesto di “chi, cosa, dove, quando e perché” dietro un avviso. Il risultato è un sovraccarico dei team di sicurezza e una visione minima dell’attività reale.
Una moderna soluzione DLP può aiutare a risolvere questo problema. Può aiutare i team IT a individuare e revocare rapidamente app dannose di terze parti e bloccare attori malevoli noti, indirizzi IP dannosi che potrebbero portare alla compromissione dell’account, account potenzialmente già compromessi.
Una soluzione moderna deve adattare costantemente il rilevamento, la prevenzione e la risposta al livello di rischio di un utente e alla sensibilità dei dati a cui accede.
Persone, processi e tecnologia
Una solida strategia per i dati deve includere una combinazione di persone, processi e tecnologia.
Sebbene sia fondamentale mettere in atto i controlli tecnologici corretti, il personale è ancora al centro di qualsiasi potenziale perdita di dati. Sono quelli con accesso privilegiato alle tue reti. Sono quelli che inseriscono le loro credenziali nei tuoi sistemi. Inoltre, con oltre il 90% degli attacchi informatici che richiedono l’interazione umana, sono quelli che hanno maggiori probabilità di esporre i tuoi dati ai criminali informatici.
Ecco perché una moderna soluzione DLP deve tenere conto del comportamento umano, sia in ufficio o fuori.
Sfortunatamente, questo non è il caso di molti sistemi legacy. La maggior parte vedrà qualsiasi comportamento anomalo (ma magari giustificato o obbligato dal contesto in cui opera l’utente) come una bandiera rossa istantanea, che influisce sull’esperienza utente e costa tempo prezioso ai team di sicurezza.
In un momento in cui le pratiche di lavoro “normali” possono significare cose diverse da un giorno all’altro, questo approccio non è più adatto allo scopo. Gli ambienti di lavoro remoti e disparati necessitano di soluzioni in grado di monitorare e prevenire in modo proattivo la perdita di dati tra gli endpoint, tenendo conto del comportamento degli utenti, dell’accesso al cloud e delle app di terze parti.
E tali protezioni adattabili sono solo una parte di un’efficace prevenzione della perdita di dati. Questo approccio incentrato sulle persone deve estendersi anche al tuo programma di formazione. Tutti gli strumenti e i controlli del mondo non bastano da soli. La protezione totale dalla perdita di dati richiede una formazione continua, mirata e adattiva sulla consapevolezza della sicurezza. Formazione che non lascia dubbi sugli utenti sul ruolo che possono potenzialmente svolgere nel ridurre il numero e l’impatto degli attacchi informatici.
Per implementare tutto questo, quindi, non basta solo inserire una “tecnologia salvifica” ma occorre ragionare per livelli adattando le esigenze di sicurezza alle richieste del business, integrando il programma di governance dei dati alle pratiche di sicurezza ed ai processi di compliance.
Un approccio a più livelli consente di passare dallo sviluppo e dalla definizione del programma di governance dei dati alla sua manutenzione e ottimizzazione.
La scoperta, la prima fase di questo approccio, comporta la definizione del controllo iniziale. È qui che si eseguono passaggi quali la qualificazione delle leggi e dei regolamenti applicabili all’organizzazione, la definizione della strategia di protezione dei dati in base ai cicli di vita dei dati, l’identificazione degli utenti a più rischio, l’individuazione dell’impronta digitale, la configurazione dell’inventario globale e l’indicizzazione dei dati.
Nella seconda fase (rilevamento), si sviluppano funzionalità di controllo ottenendo contesto per tutte le attività, l’intento e l’accesso dell’utente; identificare account compromessi e utenti di phishing; e la classificazione di dati sensibili o regolamentati. Stai anche adottando misure per tenere traccia degli incidenti e raccogliere e acquisire dati da tutte le tue fonti.
Infine, l’ultima fase (applicazione) riguarda la crescita delle capacità di controllo completo, come la rimozione di dati da posizioni non sicure, la messa in sicurezza dello scambio dei dati con terze parti, l’applicazione di protezioni dei limiti dei dati, l’implementazione della supervisione completa della conformità e così via.
Suddividendo tutte le grandi domande in passaggi più piccoli e attuabili, stai creando un approccio programmatico che ti aiuta a proteggere i dati in base ai rischi più elevati e ti offre il miglior ritorno sull’investimento. È importante valutare continuamente l’efficacia del programma e ottimizzarlo. Il tuo ambiente è dinamico e le tattiche delle minacce cambiano costantemente.
I criminali informatici di oggi sono in continua evoluzione, prendendo di mira minacce nuove e sofisticate direttamente alle persone. Anche le nostre difese devono evolversi. In caso contrario, questa è una corsa agli armamenti che non possiamo vincere.