LO SCENARIO

Effetto Coronavirus sulla cybersecurity. Lehn (Kaspersky): “Aziende più consapevoli”

La diffusione forzata dello smart working dovuta alla pandemia ha fatto scattare il campanello d’allarme anche per le Pmi. Il general manager Italy: “Crescita importante per tutte le linee di prodotto”. Presentato il nuovo approccio “Integrated endpoint security” pensato per le medie imprese

Pubblicato il 09 Lug 2020

cybersecurity-report-cisco

Se è vero che difficilmente i mercati, dopo una spinta di innovazione, possano fare un passo indietro per tornare alla situazione di partenza, per il mondo della cybersecurity l’emergenza coronavirus potrebbe aver segnato uno scatto in avanti che anni di sensibilizzazione, regole stringenti e criminali informatici sempre più scaltri e preparati non erano riusciti a provocare. Con il lockdown, che ha messo anche le piccole e medie imprese nella condizione di ricorrere allo smart working, spesso consentendo ai dipendenti l’utilizzo di device personali e non aziendali, l’attenzione verso i temi della sicurezza informatica è cresciuta in Italia in modo sensibile. A dimostrarlo ci sono i dati che arrivano dalle grandi società attive in questo mercato: Kaspersky, ad esempio, ha registrato nel primo semestre 2020 i propri migliori risultati di sempre, testimoniando il crescente interesse verso le soluzioni di cybersecurity a ogni livello, dai singoli privati cittadini fino alle imprese di ogni dimensione.

A fare il punto sulle novità del portfolio dell’azienda e sulle prospettive del mercato post pandemia è stato durante una conferenza stampa online il general manager per l’Italia di Kaspersky, Morten Lehn, affiancato nell’occasione dall’head of pre-sales Fabio Sammartino e dal security researcher del GReAT, il global research and analisys team di Kaspersky, Giampaolo Dedola. Nell’occasione l’azienda ha presentato il nuovo approccio “Integrated endpoint security”, che integra Kaspersky Edr Optimum e Kaspersky Sandbox offrendo funzionalità di incident response anche per le medie imprese.

“Anche al nostro interno – spiega Morten Lehn – Abbiamo dovuto adattarci a quello che è successo. L’Italia, colpita tra i primi paesi e in maniera severa dalla pandemia, è stata come un test per la nostra organizzazione. Oggi abbiamo 4mila persone che lavorano da casa, e non è stato un grande problema, siamo attrezzati e la nostra infrastruttura permette di farlo. Più in generale, il mercato è stato chiamato a reagire a un’emergenza che non era prevista: E con la grande distribuzione chiusa, anche i nostri clienti consumer si sono spostati online, alla ricerca di soluzioni per proteggere l’ambiente domestico”.

Una delle conseguenze dello smart working e della necessità di rimanere a casa è stata così la necessità di risolvere i problemi di sicurezza informatica scaturiti dalla nuova condizione: “Tutte le nostre linee di prodotti sono cresciute in maniera importante – prosegue Lehn – da quelli consumer a quelli destinati alle piccole e medie imprese: si tratta dei segmenti che erano meno preparati al cambiamento per mancanza di piani e risorse, e che hanno dovuto trovare partner in tempi rapidi. La crescita continua ancora oggi, con gli endpoint che sono rimasti un elemento rilevante per la strategia di protezione. Abbiamo continuato a credere nella nostra strategia di fare tutto in casa, grazie anche all’impegno di 1.800 persone che in Kaspersky sono impegnate nell’R&D, per dare il meglio nel campo dei prodotti, dei servizi e dei servizi gestiti. Anche grazie a questo il primo semestre 2020 è stato per noi in termini di risultati il miglior semestre di sempre. Ci stiamo attrezzando – conclude – anche per una forte crescita che prevediamo da settembre in poi: la sicurezza è infatti una premessa per fare smart working: la spinta è forte per tutte le componenti e le competenze di sicurezza, in tutte le fasce di mercato”.

Le tipologie di attacco più diffuse

Ma quali sono stati gli attacchi che, già presenti nel 2019, hanno proseguito nella loro crescita con il 2020 mettendo a rischio i sistemi aziendali? La risposta viene da Giampaolo Dedola: “Una delle minacce in espansione è quella degli attacchi ransomware mirati, che colpiscono le organizzazioni e cercano di compromettere tutte le macchine in un’infrastruttura. Si tratta di un genere di attacchi iniziato nel 2016 a opera del gruppo SamSam, e che ha visto una crescita esponenziale nel 2018, quando le richieste di riscatto sono passate dalla scala delle decine di migliaia di dollari a quella delle centinaia di migliaia. Questo genere di attacchi può essere rivolto contro le PA, ad esempio negli Stati Uniti vengono spesso prese di mira le amministrazioni cittadine, le università e gli ospedali, mentre in Europa sono molto più diffusi gli attacchi contro le aziende, dalle Pmi alle corporation. In Portogallo ad esempio è rimasta vittima di un attacco ransomware mirato la società energetica nazionale, mentre tra gli attacchi che hanno fatto più scalpore negli Usa c’è quello contro un centro di ricerca che stava studiando un vaccino contro il Covid-19, che ha pagato 1,4 milioni di dollari di riscatto. Dallo scorso anno questo genere di attacchi ransomware non mira soltanto alla cifratura dei dati delle vittime, alle quali poi si chiede un riscatto per ripristinare i sistemi, ma anche alla sottrazione di informazioni, con la minaccia di renderle pubbliche, causando danni gravi al brand e anche il pericolo che la concorrenza possa venire a conoscenza di informazioni riservate. Le informazioni sottratte, infine – prosegue Dedola – possono essere utilizzate anche per nuovi attacchi, prendendo di mira pure i clienti, i dipendenti e i fornitori delle vittime iniziali”.

Quanto alle possibili contromisure per fronteggiare queste situazioni, “È fondamentale conoscere i vettori di infezione – spiega Dedola – tutto parte spesso dallo spear phishing, utilizzando server vulnerabili, non aggiornati o non configurati correttamente, magari raggiungibile tramite internet e protocolli di gestione remota e che hanno credenziali deboli. Poi ci sono gli attacchi tramite managed service provider, con gruppi di hacker che hanno trovato il modo di sfruttare gli applicativi per la gestione remota, come ad esempio servizi di help desk, per distribuire il codice ransomware.

Sono inoltre stati identificati componenti di malware generici, come i banking trojan: su questo è importante considerare che l’ecosistema criminale non è formato da lupi solitari, ma da individui che comunicano tra loro, e quindi che la minaccia generica non va sottovalutata: anche ciò che viene identificato dagli antivirus ha spesso bisogno di passare attraverso attività di identificazione e incident response, con soluzioni automatizzate per raccogliere informazioni ed identificare situazioni a rischio”.

Altra minaccia che continua a proliferare è quella che viaggia attraverso il web skimming: “Si inietta codice malevolo in siti che vendono beni e servizi – spiega ancora Dedola – per esfiltrare le informazioni sensibili dei clienti: succede nell’e-commerce ma anche contro hotel e casino online. L’attaccante inserisce unno script malevolo all’interno dei Cms dei siti, anche attraverso malvertising, compromettendo l’infrastruttura utilizzata per gli annunci pubblicitari, con l’obiettivo di sottrarre le credenziali dalla pagina di checkout. I dati vengono poi spediti a un server esterno sotto il controllo degli attaccanti. Gli attaccanti si stanno inoltre evolvendo con sistemi in grado di evitare le detection”.

La risposta di Kaspersky

In un panorama in cui il numero delle minacce cresce di pari passo con la digitalizzazione della società e delle imprese, è in costante aumento anche il numero degli autori dei cyberattacchi e l’impatto finanziario degli attacchi. “Il mercato – spiega Fabio Sammartino – ci chiede soluzioni che identifichino minacce sempre più nascoste e in grado di evadere le misure di protezione standard. L’obiettivo è di identificare quelle più complesse ai primi stadi, minimizzando i danni ed evitando impatti che mettano in crisi intere infrastrutture. Gli analisti rispetto a questa evoluzione dicono che il mercato ritiene fondamentale la protezione dell’endpoint, perché e ciò che viene preso di mira per far partire l’infezione. Molti breach recenti sono stati dovuti al fatto che un gran numero di aziende si è dovuto adattare rapidamente a far lavorare da remoto i propri dipendenti con computer privati. Se fino a oggi ci si orientava su antimalware, controllo del traffico web e della posta elettronica, ora questo approccio non è più sufficiente: c’è la necessità di estendere la visibilità sugli endpoint per identificare le minacce più complesse. Così l’endpoint detection and response (Edr) è una tecnologia che ha recentemente conosciuto un grande sviluppo, ma che ha anche alcune limitazioni. Permette infatti di avere maggiore visibilità di ciò che accade, ma ha bisogno di personale specializzato che sia in grado di interpretare i segnali e gli alert, skill particolarmente difficili da reperire per le aziende più piccole: così il software Edr deve essere semplice da usare e deve automatizzare determinate funzionalità, aumentando le capacità di risposta”.

Ma come si struttura il portfolio di Kaspersky alla luce di queste evidenze? “C’è un primo livello di tecnologie base, quello che noi definiamo ‘security foundation’ – spiega Sammartino – e ha l’obiettivo di rendere le soluzioni endpoint sempre più automatizzate nella risposta. È la componente di prevenzione, e serve a estendere le capacità standard a cui siamo abituati”. Salendo di un gradino, si passa al cosiddetto “Optimum framework”: “in questo caso – prosegue – l’obiettivo è di estendere la visibilità di ciò che succede, fornendo all’utilizzatore, che sia il security o l’IT manager – informazioni che gli consentano di analizzare più a fondo le criticità. Ne fa parte anche la Kaspersky Sandbox, che va ad analizzare alcuni elementi per identificare le minacce che non sarebbero riconoscibili dalle sole tecnologie endpoint. Edr Optimum e Kaspersky Sandbox lavorano insieme, con capacità di risposta e mitigazione, come strumenti di contenimento della minaccia identificata”.

Grazie alla “Integrated Endpoint Security” infatti gli specialisti di sicurezza IT di ottenere visibilità e insight istantanei sugli incidenti, insieme a indagini immediate e opzioni di risposta automatizzate.

Ma dal momento che non tutte le aziende hanno al proprio interno un team di security che abbia skill sufficienti, il passo successivo è quello di “Kaspersky Managed Detection and Response”, che consente di esternalizzare il servizio rivolgendosi agli Mssp, managed security services providers: “E’ un passaggio rilevante – aggiunge Sammartino – perché consente di estendere le capacità di rilevamento verso le tecnologie più complesse in termini di tecnologia e di expertise. È una risposta conveniente rispetto al costo di assumere o formare esperti interni di cybersecurity”.

“Edr optimum  – sottolinea Sammartino – consente di scendere nel dettaglio, capendo cosa è successo nel computer dove è stata rilevata la minaccia per cercare la connessione con altri incidenti rilevati su altre macchine, e capire in questo modo se si è di fronte ad attacchi più complessi e identificare la potenziale diffusione della minaccia all’interno di altri nodi della rete. L’analista può in maniera automatica o semiautomatica, generare una regola di blocco preventivo della stessa minaccia suk altri nodi, contenendo immediatamente il potenziale rischio”.

“Il nostro Security operations center – prosegue Sammartino riferendosi alla managed detection response – fa l’analisi dei metadati e dei file raccolti attraverso l’endpoint, tutto nel rispetto delle regole del Gdpr e di compliance per l’anonimizzazione e l’analisi del dato. Le telemetrie raccolte dall’endpoint vengono analizzate dal Soc, e consentono l’ingresso in campo della threat intelligence. Questo consente di identificare un potenziale attacco anche complesso nei primi stadi e di intervenire in tempo reale per la mitigazione, oltre che rispondere automaticamente concordando il playbook con il cliente finale”.

Infine ci sono le attività di formazione rivolte al management delle aziende e ai dipendenti: “Non si può dimenticare – conclude Sammartino – che i soggetti più attaccati sono le persone, chi cioè utilizza i computer. L’uomo è al centro delle strategie di attacco, e per questo mettiamo in campo attività formative, dalla gamification dino alle lezioni di microlearning con test e simulazioni in una strategia di cybersecurity awareness aperta e costruttiva per tutti”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati