Nel 2023 i team IT potranno disporre di nuovi strumenti e strategie per contrastare il panorama delle minacce informatiche: le previsioni di GTT
Nel 2023 le aziende e le organizzazioni continueranno ad aumentare le proprie attività nel digitale, un processo accelerato dalla pandemia globale di COVID-19 e che ha portato i lavoratori a prestare la propria attività da qualsiasi luogo, con quasi tutte le nuove applicazioni ospitate nel cloud. Queste iniziative continueranno ad essere il motore trainante per l’adozione di un approccio “software designed” della rete geografica (WAN), basato su connettività Internet. Con questa proliferazione di applicazioni in cloud sarà sempre più impellente la necessità di maggiore capacità di banda, e tecnologie come il 5G e – successivamente – il 6G forniranno alternative valide per una connettività aziendale ottimale.
“Con l’affermarsi a livello globale dei nuovi modelli di lavoro da remoto e del cloud ibrido, gli utenti finali devono poter accedere alle applicazioni aziendali da qualsiasi luogo e in qualsiasi momento, mentre il personale IT deve essere in grado di mitigare l’esposizione agli attacchi informatici con un nuovo framework capace di migliorare la security posture dell’azienda” afferma Eugenio Pesarini, Director – Solutions Consulting – South Europe di GTT. “Esistono criminali informatici che addirittura monitorano gli aggiornamenti sui siti web delle aziende per sapere quali uffici sono stati chiusi e usano le informazioni prese dai profili LinkedIn dei dipendenti che vivono in quelle aree e che ora lavorano da casa per iniziare a prenderli di mira. Questo scenario finirà per danneggiare le aziende che sono state lente nell’adottare un framework Secure Access Service Edge e l’approccio zero trust.”
Per far fronte a queste sfide, il prossimo anno i team IT potranno disporre di nuovi strumenti e strategie per contrastare il panorama delle minacce sempre in espansione. Ecco le quattro previsioni formulate da GTT per il 2023.
La sicurezza si sposterà sull’endpoint
Un attacco ransomware può entrare in un’azienda attraverso qualsiasi piccola crepa presente nella difesa e diffondersi all’interno in pochi minuti. Molte organizzazioni sono impreparate, perché pur avendo implementato soluzioni di rete privata virtuale o di Endpoint Detection & Response – credono erroneamente che esse da sole siano in grado di garantire una protezione in modalità zero-trust. Inoltre gran parte dell’attenzione delle aziende per quello che riguarda la sicurezza verrà rivolta alla protezione a livello applicativo degli endpoint, dove GTT prevede un aumento del 10.000% degli attacchi. Le aziende potranno anche dotare i singoli laptop di adattatori 5G e questo permetterà un controllo più granulare della connettività di rete e l’implementazione di policy di sicurezza indipendenti dalla collocazione fisica dell’utente.
L’attenzione si focalizzerà sulla formazione dei dipendenti estendendosi alla sorveglianza di chi accede alle reti aziendali dall’esterno
Negli ultimi anni c’è stata molta attenzione nel fornire ai dipendenti strumenti di sicurezza informatica e tutta la formazione possibile per prepararli al meglio ad affrontare attacchi informatici come il phishing. Ma molte aziende e organizzazioni non hanno controllo su utenti esterni come partner e terze parti che generalmente non sono vincolati dalle politiche e dalle procedure aziendali. Questi partner hanno spesso accesso ad alcuni dei sistemi informativi più critici dell’azienda, in particolare quando lavorano con i team finanziari e gli uffici legali. Ciò aumenta il rischio di violazioni dei dati in misura molto maggiore di quanto capiti con gli incidenti generati dai dipendenti che cliccano inavvertitamente su un collegamento dannoso.
Negli ultimi anni, organizzazioni mature in tal senso hanno eseguito valutazioni di sicurezza su fornitori o terze parti tracciandone i dati. Questo è un ottimo punto di partenza, che deve essere accompagnato da ulteriori misure che forniscono ai responsabili della sicurezza valutazioni di rischio in modo continuativo.
Molte organizzazioni che in passato si ritenevano non attrezzate per effettuare tali valutazioni saranno costrette a ripensare il proprio approccio, a partire da una effettiva comprensione di quali attività e sistemi aziendali debbano davvero essere accessibili ai partner, quali partner e quali attività richiedono un continuo monitoraggio e quali invece destano meno preoccupazione.
L’IA e l’apprendimento automatico diventeranno un aspetto ancora più importante del SIEM (Security Information and Event Management)
Il prossimo anno ci sarà un forte incremento nell’impiego di tecnologie come l’Intelligenza Artificiale (IA) e l’apprendimento automatico (ML – Machine Learning) all’interno delle piattaforme SIEM (Security Information and Event Management). Tali piattaforme si sono dimostrate adatte a raccogliere informazioni provenienti dai sistemi e dai device aziendali consentendo alle aziende di filtrare gli allarmi di sicurezza e concentrarsi su quelli più rilevanti. Ma c’è ancora molto rumore di fondo all’interno dei sistemi SIEM e in genere le aziende si affidano ancora agli analisti di sicurezza per creare filtri. Se un’azienda riceve migliaia degli stessi allarmi insignificanti ogni giorno, inizierà a ignorarli. Utilizzare più IA/ML nei sistemi preposti alla raccolta di log aiuterà i responsabili della sicurezza a filtrare il rumore e dare la priorità agli allarmi più critici. Ad esempio, si può insegnare al sistema ad ignorare gli allarmi che vengono generati a causa dei backup settimanali del server e quindi a non impegnare un costoso specialista della sicurezza per analizzarli.
Non saremo mai in grado di arrivare a un’automatizzazione completa utilizzando IA/ML per determinare tutte le minacce rilevanti. Ma nel prossimo anno inizieranno ad apparire gli strumenti in grado di limitare il coinvolgimento degli analisti nel filtrare il “rumore” presente nei SIEM, portando questi sistemi a un livello successivo.
Il 2023 sarà l’anno dell’enhanced internet
I servizi “enhanced internet” hanno guadagnato popolarità negli ultimi anni come servizi capaci di migliorare l’affidabilità e le prestazioni del traffico Internet. Definito per la prima volta da Gartner, enhanced internet include funzionalità come il routing basato sulla telemetria e l’ottimizzazione delle prestazioni. I provider Internet Tier 1, con la loro capacità di vedere le tendenze del traffico IP prima di chiunque altro, formuleranno algoritmi per iniziare a esaminare i flussi di traffico, fornendo ai clienti rapporti continuativi sul traffico potenzialmente dannoso proveniente da determinate destinazioni e indirizzato ai loro nodi IP e che richiede un’indagine, senza la necessità di funzionalità di sicurezza aggiuntive.
I provider di servizi offriranno inoltre in modo tempestivo ai clienti servizi di “vulnerability scanning” che daranno visibilità sui rischi. Man mano che le organizzazioni crescono, spesso si ritrovano con sistemi obsoleti affetti da vulnerabilità che non sono conosciute. Tali servizi possono facilmente rivelare decine di vulnerabilità sui siti web pubblici di un’organizzazione in pochi secondi, semplicemente controllando un paio di indirizzi IP di loro proprietà.
Come sempre, il prossimo anno rappresenterà sia un’opportunità che una sfida per i responsabili IT e della sicurezza. Ma insistendo sull’approccio zero-trust e utilizzando abilmente le migliori soluzioni in arrivo sul mercato, essi potranno evitare di cadere vittime delle minacce informatiche che sono in continua espansione.