A CyberTech Europe Roma, Alessio Mercuri, Cybersecurity Engineering di Vectra AI, analizza lo stato attuale della sicurezza informatica e gli strumenti di difesa.
La cybersecurity si è evoluta notevolmente negli ultimi anni, facendo registrare una vera e propria rivoluzione rispetto a una o due decadi fa. Molto è stato fatto e molto c’è ancora da fare.
Gli investimenti nella resilienza informatica sono rimasti una priorità assoluta per le organizzazioni nel secondo trimestre del 2023, poiché i livelli di minaccia hanno continuato ad aumentare.
Secondo Canalys, il mercato mondiale delle tecnologie per la sicurezza informatica è cresciuto dell’11,6% su base annua raggiungendo i 19 miliardi di dollari, nonostante la continua incertezza macroeconomica e i budget IT limitati. I livelli di minaccia sono a livelli senza precedenti, con il numero di attacchi ransomware segnalati pubblicamente in aumento di oltre il 50% e i record di dati violati più che raddoppiati nei primi otto mesi di quest’anno. Ai ritmi attuali, il 2023 sarà l’anno peggiore mai registrato, superando di gran lunga i livelli del 2021, quando il ransomware venne alla ribalta dopo una serie di eventi di alto profilo. Nel secondo trimestre del 2023, la spesa totale per la tecnologia di sicurezza informatica attraverso il canale ha rappresentato il 91,5%, in aumento rispetto al 90,5% dello stesso trimestre di un anno fa.
Individuare gli obiettivi dei criminali e limitare gli attacchi
La prevenzione è importante per tenere gli attaccanti fuori dall’infrastruttura, ma in tutti gli attacchi andati a buon fine di cui sentiamo parlare ogni giorno la prevenzione ha in qualche modo fallito. La prevenzione non è inutile. Tutt’altro. Però, gli attaccanti più sofisticati riescono a eluderla ed entrare. Soluzioni di threat detection & response come Vectra sono usate proprio per accorgersi di quanto è successo e quindi bloccare l’attacco nel momento in cui qualcosa è stato compromesso. Può essere un computer portatile, una telecamera, un dispositivo IoT, una stampante o l’account di una persona.
L’attaccante evoluto non si ferma di fronte a niente e riesce a entrare. L’unica chance che si ha è di rilevarlo e bloccarlo prima possibile. Purtroppo, bisogna entrare nella logica “dell’assumed compromise”, ovvero considerare che prima o poi qualcuno supererà la protezione che è stata messa a punto. Lo afferma anche Gartner: c’è un grandissimo bisogno di migliorare le capacità di rilevamento e risposta alle minacce.
Le aziende del banking, del finance o le utility rimangono l’obiettivo principale degli attaccanti, ma nessuna azienda deve considerarsi sicura. Abbiamo visto attacchi in ogni verticale di mercato e in aziende di ogni dimensione.
Ritengo che la consapevolezza riguardo la possibilità di essere vittima di un attacco sia sempre più diffusa e ormai c’è una grossa attenzione anche da parte della piccola e media impresa. Tuttavia, la maggior parte delle aziende (soprattutto quelle più piccole) non può permettersi di avere risorse interne che si occupano di sicurezza, così ricorrono all’outsourcing. Nel caso in cui si voglia implementare Vectra AI, attraverso i nostri servizi di Managed Detection & Response abbiamo la possibilità anche di gestirlo da remoto e di accorgerci in modo tempestivo di eventuali attacchi. La stessa cosa può essere fatta dai nostri partner, quando possono fornire un servizio che va oltre l’NDR.
La protezione arriva dall’AI
Vectra, nata nel 2012, è sinonimo di Intelligenza Artificiale. Abbiamo sempre sostenuto che un utilizzo congiunto ed efficiente di data science e Intelligenza Artificiale sia capace di trasformare la lotta agli attacchi informatici, perché rende più incisive e accurate le azioni di chi deve rispondere a un attacco.
Vectra, infatti, si focalizza sulla creazione di contromisure volte a rilevare, attraverso l’AI, metodi di attacco e relative tattiche, tecniche e procedure. Indipendentemente dalla velocità con cui gli attaccanti cambiano i propri strumenti, i metodi di attacco evolvono lentamente e la progressione dell’attacco stesso fondamentalmente è sempre la stessa. Nel momento in cui un attaccante poi fa breccia in un’infrastruttura, dovrà parlare il linguaggio comune dei sistemi che vuole attaccare, ovvero i suoi protocolli, lasciando segnali ben visibili e che possono essere intercettati. È compito di Vectra intercettare questi segnali, correlarli, capirne la gravità e bloccare l’attacco in corso nel minor tempo possibile.
Nel mondo cyber ciò che l’automazione sta portando è una sempre maggiore velocità degli attacchi. Una volta richiedevano giorni, oggi si parla di minuti. Le cosiddette ransomOps, le ransomware operation, hanno i loro store nel deep web e forniscono pacchetti di strumenti che anche il meno esperto degli attaccanti può usare per lanciare un attacco senza nemmeno sapere cosa sta utilizzando. Ciò che colpisce è la velocità con cui questi pacchetti di strumenti permettono di entrare in un’infrastruttura.
Il supporto di partner affidabili
I clienti hanno più che mai bisogno di partner con competenze in materia di sicurezza informatica per contribuire a costruire la resilienza informatica. È fondamentale favorire una sinergia operativa con i clienti e collaborare con specialisti per espandere le capacità in aree come il red teaming e l’MDR (Managed Detection & Response).
Scoprire le vulnerabilità e stabilire inventari delle risorse, nonché classificarle in base al livello di rischio, è fondamentale per dare priorità agli investimenti nella protezione. Questa è anche una base importante per i partner nella creazione di piani di rimedio per i clienti quando si verificano attacchi.
Le opportunità di servizi di sicurezza informatica per i partner quest’anno saranno maggiori rispetto alla vendita di tecnologie di sicurezza informatica, con una previsione di spesa in crescita del 13,2% fino a raggiungere i 143,2 miliardi di dollari nel 2023. I servizi di cybersecurity gestiti e i servizi di integrazione saranno le aree in più rapida crescita.