Exprivia e XM Cyber: CyberSecurity 2023, suggerimenti e best practice

Exprivia e XM Cyber, nella spettacolare cornice del Rooftop di Copernico Isola S32 nel cuore pulsante del fintech district milanese, porta d’accesso all’ecosistema fintech italiano che attrae i più rilevanti stakeholders nazionali e internazionali, hanno tenuto martedì 28 marzo l’afterwork “CyberSecurity 2023: suggerimenti e best practice”, in un clima di confronto e condivisione sulla visione e sulle attuali e future sfide della cybersicurezza.

I relatori
Dinamico e molto partecipato l’incontro, che ha visto in apertura dei lavori ospite d’eccezione l’ingegner Pierluigi Paganini, Membro Ad-Hoc Working Group on Cyber Threat Landscapes di ENISA, Collaboratore SIPAF del Ministero dell’Economia e delle Finanze, Adjunct Professor in Cyber Security Università Luiss Guido Carli e Membro del Team di Ricerca del CCSIRS dell’Università degli Studi di Firenze. A seguirlo Emanuele Mornini, Direttore Vendite Italia XM Cyber con Graziano Specchierla, ICT Security Consultant di Exprivia. A chiudere l’evento, moderato dalla sottoscritta, Domenico Raguseo, Head of Cybersecurity di Exprivia.
CyberSecurity 2023: suggerimenti e best practice
Le prime considerazioni sono scaturite partendo dal recente caso di ESXiArgs, che ben ha dimostrato quanto in ambienti complessi gli attaccanti trovino facilmente debolezze e vulnerabilità. Per ridurre il rischio è sempre più necessario avere competenze nella gestione degli assets, delle infrastrutture e nell’automatizzazione delle attività, nonché attenzione massima in vulnerability assessment e prioritizazzione nell’installazione di patches.

Quale dunque lo scenario nel quale ci troviamo e quali le esigenze che ne scaturiscono?
“L’attuale panorama delle minacce cibernetiche – sottolinea Paganini – è estremamente complesso ed in continua evoluzione, due caratteristiche che rendono ardue le investigazioni anche da parte di team di esperti internazionali.
Il conflitto in corso tra Russia e Ucraina condiziona quotidianamente il panorama delle minacce ed il rischio spill-over, ovvero il rischio che una minaccia concepita per colpire l’avversario possa sfuggire al controllo ed arrecare danno ad imprese ed organizzazioni in tutto il mondo, è concreto quanto elevato. Attacchi con finalità di spionaggio informatico, sabotaggio e campagne di disinformazioni minano profondamente la nostra collettività. Oggi più che mai è molto pericolosa l’azione condotta da gruppi dediti al crimine informatico, organizzazioni ramificate su scala internazionale in grado di sferrare attacchi sempre più complessi, il cui impatto sulle vittime diventa sempre più importante.
Negli scorsi mesi abbiamo constatato come gli attacchi ransomware possano avere un impatto devastante sulle supply chain di beni e servizi primari. Le infrastrutture critiche sono quindi le più esposte ad attacchi portati da attori nation-state come da sindacati criminali. La nostra superficie di attacco si amplia giorno dopo giorno, grazie all’aumentato livello di penetrazione tecnologica nelle nostre vite. Dispositivi dell’internet delle cose (IoT), dispositivi mobile e sistemi di cloud computing affollano la nostra quotidianità, ma inevitabilmente offrono agli attaccanti nuove e continue opportunità per colpite il nostro vissuto digitale, vissuto che oramai si sovrappone completamente con la nostra vita reale.
Dando un’occhiata alla realtà del nostro Paese, non possiamo non constatare l’aumentata esposizione delle nostre aziende ad attacchi di varia natura. Il sistema Paese si compone per la maggioranza di piccole e medie imprese, che purtroppo sono completamente esposte alle minacce cibernetiche. Carenza di investimenti in cyber sicurezza e mancanza di consapevolezza nella minaccia rendono queste imprese vulnerabili ad attacchi anche poco sofisticati.
È necessario quindi un cambiamento culturale che porti alla definizione di nuovi modelli di difesa cibernetica, modelli inclusivi in cui si tenga bene a mente che la sicurezza del nostro Paese è in funzione della nostra capacità di proteggere anche le aziende più piccole”, conclude Paganini.

Se è di un cambio di paradigma che abbiamo bisogno, quale la risposta da parte della tecnologia?
“L’approccio vincente nella definizione di nuovi modelli di difesa sta, a nostro parere – evidenzia Mornini – nello stravolgere il punto di vista del vulnerability management. Questo ha fatto e sta facendo XM Cyber, azienda israeliana che ha portato particolare innovazione su questi temi, dando un punto di vista differente da quello classico della security operation. Quest’ultima è infatti solita guardare le problematiche di sicurezza a silos, basandosi su output generati da tecnologie che hanno una visione specifica (es. EDR, endpoint). XM Cyber porta invece un approccio diverso, nel senso che mostra quello che un attaccante può fare. L’attaccante non è diviso in silos, ma è libero di spaziare il suo attacco come meglio crede, senza avere dei limiti tecnologici e di tempo. Questo punto di vista è stato ribadito da Gartner lo scorso luglio”.
In che senso, nello specifico?
“Gli analisti – specifica Mornini – affermano che il vulnerability management, come lo conosciamo oggi, è estremamente limitato, perché l’unica dimensione importante che offre è quella della gravità della vulnerabilità. Gartner sottolinea il fatto che è invece di fondamentale importanza avere davanti un contesto aziendale ed infatti, nel report, suggerisce di cambiare prospettiva, ovvero di mettersi dal punto di vista dell’attaccante. Qualcosa di simile viene fatto dai penetration tests che però vengono fatti di rado: solitamente 1 volta l’anno sull’infrastruttura e una volta al rilascio di ogni applicativo. XM Cyber riesce a fare penetration tests, in maniera simulata e molto frequente, potenzialmente 1 volta l’ora”.
In quale modo?
“Funziona a scenari: uno scenario è una coppia formata da un punto di attacco e un asset critico o più asset critici. Sia il punto di attacco che l’asset possono essere ovunque nella infrastruttura del cliente (on-prem, cloud). Una volta definiti, XM Cyber proverà ogni tot di tempo a compromettere l’asset critico dal punto di attacco definito. Senza limiti tecnologici o di numero di compromissioni (hops). In questo modo XM Cyber riesce a “disegnare” tutti i percorsi di attacco dando visibilità sulle problematiche che veramente contano per il business dei propri clienti”, conclude Mornini.

Rimanendo sul concetto dei benefici, quali quelli che una tale tecnologia può offrire?
“La piattaforma – spiega Specchierla – basata su componenti in SaaS ma anche su sensori locali, verifica continuamente come vengono protetti gli asset critici in caso di violazione, esplorando e verificando tutti i possibili percorsi di attacco senza realizzare gli attacchi e quindi senza causare interruzioni e problemi tipici dei penetration test.
La soluzione evidenzia i punti deboli dell’infrastruttura dai quali possono transitare la maggior parte degli attacchi verso gli asset critici, e contribuisce in modo determinante a diminuire i tempi di remediation, anche in ambienti ibridi, aiutando a scoprire tutti i possibili percorsi di attacco dal cloud all’on-premise e viceversa. L’obiettivo è quello di razionalizzare le attività cybersecurity, per consentire un notevole risparmio di tempo e risorse sia nell’individuazione dei punti deboli nell’intero ambiente, ma soprattutto nel facilitare le operazioni di remediation, illustrando la possibilità di prioritizzare le azioni con maggior mitigazione del rischio e fornendo istruzioni dettagliate per la loro esecuzione, con più opzioni possibili tra best practices, hardening, configurazioni o installazione di patches.
Inoltre XM Cyber offre un’efficace documentazione delle remediation, illustrate nei minimi dettagli, compresi gli screenshot con le indicazioni per effettuare modifiche di configurazione di sistemi operativi o entità cloud. Inoltre si può integrare ai più comuni servizi di IT Service Management per inoltrare service request e change request già contestualizzate e guidate. E, nell’ambito C-Level, la soluzione è di supporto nell’individuazione e nella gestione di KPI, mantenendo continuamente aggiornato un indice di rischio globale e un indice per ogni scenario e, tra i molti report che offre, ha la possibilità di generare un executive report completo che aiuta a tenere sotto controllo il trend di rischio cyber delle risorse critiche”, conclude a sua volta Specchierla.

Raguseo, lei ad inizio 2023 aveva presentato i suoi sentiments per il nuovo anno e, forte anche dei dati e dei reports del vostro Osservatorio Cybersecurity di Exprivia, ci aveva davvero azzeccato…
“Prevedere che la gestione degli asset avesse un’importanza rilevante nel 2023 – sottolinea Raguseo – era abbastanza facile. Se nel 2023 abbiamo assistito a ESXiArgs, la maggior parte degli attacchi anche nel 2022 ha avuto successo grazie a malware e vulnerabilità conosciuti, nonché a mancanza di consapevolezza.
L’accelerazione digitale non si misura solo in efficienza, innovazione, competitività, ma anche con la nostra dipendenza irreversibile da questi servizi e in complessità delle infrastrutture, sempre più difficili da mantenere sicure, utilizzando tecniche e processi tradizionali.
Con riferimento alla gestione degli asset e delle vulnerabilità, se conviviamo con un continuo aggiornamento e introduzione di servizi digitali sul mercato, la risposta per ridurre il perimetro di un attacco non può essere fatta con metodi tradizionali quali un vulnerability assessment ogni tanto. Questo a maggior ragione se si prende in considerazione che la risoluzione delle vulnerabilità ha spesso un costo sia in termini di tempo per risolverle, sia di impatto sul servizio.
Automatizzare i processi di vulnerability assessment, prioritarizzare le vulnerabilità sono oramai una necessità, non più qualcosa solo di utile”, conclude Raguseo.