Nel corso del periodo 2020-2021, un terzo scarso (per la precisione il 31%) delle aziende italiane è stato vittima di un attacco ransomware. Lo afferma il report “The State of Ransomware 2021” di Sophos e ormai lo conferma la cronaca quotidiana della cyber security: sempre più spesso, le aziende vittime di cyber attacchi finiscono sulle pagine dei giornali specializzati. E se il loro brand è abbastanza rinomato, anche su quelle dei quotidiani generalisti. Non stupisce, perché il ransomware è ancora il tipo di attacco più remunerativo per i criminali, quello che porta oggi, spesso, il massimo risultato rispetto allo sforzo necessario a portarlo avanti.

Da questo punto di vista non esiste in effetti un solo tipo di attacco ransomware. Ci sono attaccanti sofisticati che dispiegano competenze e risorse per penetrare in aziende di rilievo. Le vittime da "caccia grossa" che finiscono sui quotidiani, con evidenti danni di immagine. Poi c'è la gran mole di attacchi non banali ma comunque meno mirati, magari portati usando qualche servizio di ransomware-as-a-Service del Dark Web. Il risultato di questa diversificazione del ransomware è che nessuno può dirsi al sicuro: tanto le grandi imprese quanto le piccole aziende sono potenziali bersagli. E tutte fanno fatica, dopo, a riprendersi.

Mediamente, spiega ancora Sophos, una azienda italiana deve investire circa 680 mila dollari per la remediation di un attacco ransomware, considerando i costi diretti di ripristino dei sistemi e quelli indiretti in tempo, risorse, mancato business. In un certo senso, questo è prevalentemente il costo della poca velocità nella reazione all'attacco. Perché oggi la questione non è se si verrà attaccati - accadrà certamente, più prima che poi - ma quanto si è veloci nello scoprire che un attacco è in corso e nel rispondervi in maniera opportuna.
Qui si fa evidente la principale differenza tra le grandi imprese e le altre realtà. Le prime possono avere le competenze e le risorse per provvedere da sole alla propria cyber difesa, per le seconde questo accade raramente. È banalmente una questione di massa critica: la natura, il volume e la sofisticazione degli attacchi - dovuti al ransomware, di cui si parla sempre perché fa notizia, ma non solo a questo - crescono a un ritmo che rende impossibile quasi a chiunque fare tutto da solo. Questa constatazione oggi non è una scusante: è un problema di per sé.

Le imprese "indifese" lo sanno, e questa è una presa di coscienza comunque importante. "Oggi la sensazione - spiega Walter Narisoni, Sales Engineer Manager di Sophos - è che la maggior parte delle aziende sia consapevole di non avere le competenze, il tempo e le risorse per fare davvero threat hunting sulla propria rete. Come minimo non hanno abbastanza risorse IT per effettuare un monitoraggio continuo, ben sapendo - specialmente se hanno già subìto un attacco - che i criminali spesso agiscono di notte o nel weekend, proprio per sfruttare l'assenza dell'IT aziendale".

Per conoscere la natura e i vantaggi portati dai managed service di nuova generazione per la cyber security, partecipa al webinar organizzato da ImpresaCity con Sophos e Par-Tec. Clicca qui per maggiori informazioni.

C'è una seconda consapevolezza altrettanto importante: oggi la cyber security non è solo una questione legata ai singoli prodotti che si scelgono, ma anche ai servizi. Un nuovo scenario della sicurezza richiede, in sostanza, approcci nuovi tanto a chi fornisce tecnologia e servizi, quanto a chi deve fruirne.

"Fino a qualche tempo fa - spiega Michelangelo Uberti, Marketing Manager di Par-Tec - la strategia di difesa più ovvia sarebbe stata acquistare i migliori prodotti sul mercato, definire policy efficaci e istruire gli utenti per adottare comportamenti sicuri. Lo scenario però è cambiato e con esso anche l’approccio alla sicurezza. Sono emerse nuove esigenze a cui si risponde con, in primo luogo, una nuova generazione di managed service: i servizi gestiti di cyber security".
Delegare a terzi la protezione della propria rete - di fatto, affidarsi ad un Security Operations Center esterno perché non se ne può creare uno proprio - è una scelta sensata per molte imprese, specie quelle di piccole- medie dimensioni. Non a caso, sempre più fornitori di tecnologie per la cyber security stanno diventando anche service provider, offrendo appunto servizi di sicurezza gestita. Poter giocare un duplice ruolo appare importante, in questa fase del mercato: da un lato fornire prodotti di cyber security, sempre indispensabili per la protezione "concreta" di base, dall'altro affiancarli con servizi da SOC che li completano in una logica di cyber security come processo continuo.

Ovviamente, ci sono poi servizi e servizi. Parlare genericamente di threat hunting è un primo passo indispensabile ma non basta. Qualsiasi azienda vuole sapere se i "cattivi" sono dentro la sua rete, ma questo serve a poco se non c’è anche la capacità di neutralizzarli. "Oggi parlare di servizi di threat hunting va quasi di moda - sottolinea Walter Narisoni - ma la componente che interessa di più alle aziende è quella che viene dopo: la remediation. Cioè eliminare le minacce dalla rete, riportare tutto in condizioni di sicurezza e recuperare eventuali dati persi".

La sensazione invece è che molti si fermino prima, rilevando sì tempestivamente minacce ed attacchi ma lasciando che sia l'azienda cliente a bonificare i sistemi. "Questo in un certo senso ci riporta al punto di partenza: la piccola-media azienda che non ha molte risorse arriva comunque in ritardo e non riesce a fare una remediation adeguata", sintetizza Narisoni.
Attenzione poi a non farsi affascinare troppo da un altro elemento un po' di moda nella cyber security quando si tratta di, come si usa dire, fare di più con meno: l'intelligenza artificiale. Che è uno strumento utilissimo ma ha le sue specificità. "Nei managed service - spiega Narisoni - affianchiamo sempre l'intelligenza umana al machine learning. L'AI è molto efficace nel rilevare anomalie e quindi attivare tempestivamente allarmi e segnalazioni. Ma non lo è altrettanto nel risolvere gli attacchi. Soprattutto perché gli attaccanti raramente usano automatismi: agiscono manualmente e per questo i motori di AI non riescono a identificare sequenze di operazioni prevedibili. È anche il motivo per cui non si possono usare strumenti automatici per fare bonifica: servono persone. E non tutti ne hanno abbastanza e di abbastanza competenti".

Per tutto questo, spiega Uberti, l'attenzione verso i managed service sta crescendo notevolmente proprio tra le realtà medie e medio-piccole. "Che ci sia una diversa sensibilità sul tema - spiega il manager di ParTec - ormai è evidente. Anche in ambiti che non sono solo strettamente IT. Ad esempio stiamo rilevando un forte interesse anche da parte del mondo Industry 4.0, in cui la digitalizzazione della parte operations sta portando nuove vulnerabilità, con casi anche eclatanti di ransomware che bloccano interi settori produttivi. È un settore molto importante in Italia, dato che da noi la fascia alta delle PMI si trova prevalentemente nel manufacturing".

Attenzione poi a non concentrarsi troppo sul ransomware, che è la minaccia più citata ma non certo l'unica per le imprese. Sarebbe riduttivo: i managed service di cyber security vanno ben oltre. "Il ransomware è un pericolo evidente - racconta Narisoni - ma le aziende possono avere altri, e anche più gravi, problemi di sicurezza. Ad esempio possono avere un attaccante già 'dentro' la rete che sta esfiltrando informazioni sensibili. E pensiamo a quali conseguenze un furto di dati può avere in ambiti come la PA o la Sanità".