Il rapporto PrivSec identifica nove temi principali che ci aspettiamo saranno punti di discussione nel nuovo anno nel mondo della sicurezza informatica
1. Il lavoro a distanza sarà qui per restare
La battaglia sulla crittografia forse simboleggia il push-pull tra privacy, sicurezza e pragmatismo, e da nessuna parte questo è stato più evidente nel 2020 che nella battaglia per rintracciare e fermare la diffusione del Covid-19.
La battaglia è stata condotta anche sul lato della sicurezza e, poiché un numero enorme di dipendenti è passato al lavoro da casa, i miglioramenti nella sicurezza relativa alla salute hanno incontrato un drammatico aumento della criminalità informatica. Gli attacchi di phishing e ransomware sono aumentati vertiginosamente quando gli aggressori hanno sfruttato un panorama di minacce trasformato, con accesso alla rete remota assemblato frettolosamente, reti e infrastrutture deboli degli uffici domestici, spesso su dispositivi personali e condivisi. I dipendenti sono diventati di fatto vettori di rischio di terze parti, operanti al di fuori del perimetro aziendale.
"Poiché le organizzazioni impiegano in media 207 giorni per identificare una violazione dei dati, mi aspetto che molte organizzazioni siano già state violate con successo a causa delle improvvise vulnerabilità che compaiono nelle loro difese, e sarà solo più tardi lungo la linea, dopo che il danno si è verificato stato fatto, che siano informati dell'attacco e della sua entità ", afferma Camilla Winlo di DQM GRC.
Con la pandemia non ancora in declino, gli attacchi informatici persisteranno e le aziende dovranno continuare ad evolvere il loro approccio alla protezione delle loro reti, visibilità e controllo degli endpoint, sostenendo le vulnerabilità create dalla necessità di adattarsi rapidamente – per l'adozione di nuovi , app meno testate, il che potrebbe aver significato compromessi per la sicurezza lungo il percorso.
Se il 2020 riguardava l'esecuzione del piano di ripristino di emergenza, il 2021 riguarderà la fase successiva: garantire la sostenibilità e consolidare la sicurezza a lungo termine.
- Il panorama delle minacce diventerà più oscuro, con l'emergere di nuove forme di ransomware
Phishing e ransomware in particolare sono stati la storia del 2020 e queste minacce sono destinate a continuare nel 2021, poiché il modus operandi degli hacker si evolve per sfruttare l'ambiente geopolitico e il modo in cui viviamo e facciamo affari. Il ransomware in particolare sta dominando la conversazione tra gli specialisti della sicurezza e la posta in gioco è in aumento, poiché gli hacker hanno mostrato la volontà di sfruttare la pandemia e rivolgere gli occhi alle strutture sanitarie, a volte con risultati devastanti .
Stuart Reed, direttore britannico di Orange Cyberdefense, prevede che il quadro "diventerà più oscuro": "L'enigma del 'pagare o non pagare' è ancora diffuso e criminali senza scrupoli stanno esplorando nuove opportunità di guadagno per estorcere denaro", afferma.
A ottobre, il Dipartimento del Tesoro degli Stati Uniti dell'Office of Foreign Assets Control (OFAC) ha emesso un avviso per avvisare le organizzazioni dei rischi – potenzialmente comprese le sanzioni civili – di pagare richieste di ransomware, in particolare se l'aggressore è sanzionato o ha un nesso di sanzioni.
Diceva: "Le aziende che facilitano i pagamenti di ransomware agli attori informatici per conto delle vittime, comprese le istituzioni finanziarie, le società di assicurazioni informatiche e le società coinvolte nell'analisi forense digitale e nella risposta agli incidenti, non solo incoraggiano le future richieste di pagamento del ransomware, ma possono anche rischiare di violare le normative OFAC. "
Ha aggiunto: "… i pagamenti ransomware effettuati a persone sanzionate o in giurisdizioni sanzionate in modo completo potrebbero essere utilizzati per finanziare attività contrarie alla sicurezza nazionale e agli obiettivi di politica estera degli Stati Uniti. I pagamenti di ransomware possono anche incoraggiare gli attori informatici a impegnarsi in attacchi futuri. Inoltre, il pagamento di un riscatto agli attori informatici non garantisce che la vittima possa riottenere l'accesso ai dati rubati ".
Reed fa eco a questo avviso, prevedendo che "La domanda si allargherà quindi nel 2021 – non si tratta solo di se l'organizzazione recupererà i propri dati se pagherà, ma anche se otterrà l'uso esclusivo dei loro dati. Il ransomware è un'attività criminale e il motore principale è l'estorsione di denaro: non c'è nulla che possa impedire a questi criminali di utilizzare i dati in qualsiasi modo a scopo di lucro, e questo include venderli più di una volta ".
Raccomanda la crittografia e backup regolari per le organizzazioni nel 2021, insieme a tecniche di istruzione e rilevamento precoce, al fine di rendere i dati inutili agli aggressori.
Gli attacchi contro gli operatori sanitari e gli istituti di ricerca correlati all'assistenza sanitaria probabilmente continueranno, facendo leva sulle nostre più grandi paure e preoccupazioni a livello micro e cercando informazioni utili o vendibili a livello macro. Ciò è stato evidente nella recente ondata di incursioni legate al vaccino Covid-19, come il recente hack del regolatore europeo della medicina , l'Agenzia europea per i medicinali (EMA), che sta valutando il possibile utilizzo del vaccino Pfizer e BioNTech in Europa.
Che si tratti di sofisticati attaccanti di stati-nazione o criminali opportunisti, gli hacker continueranno a identificare e sfruttare il ventre molle della vita civile, pubblica e aziendale, sia negli obiettivi che selezionano sia nelle tecniche progettate per avvolgere le vittime. Questo serve solo a sottolineare l'importanza di vedere le minacce non solo attraverso la lente della mitigazione tecnica, ma anche comportamentale e culturale.
Le minacce in corso per le organizzazioni nel 2021 includono la compromissione della posta elettronica aziendale, campagne deep fake e attacchi basati sul 5G.
- Ci sarà una crescente consapevolezza dei rischi posti dall'Internet degli oggetti
Poiché molti dipendenti rimangono a casa, i rischi per l'infrastruttura aziendale nel 2021 proverranno dai luoghi più improbabili: il frigorifero, un baby monitor o persino l'auto di famiglia. Con l'aumentare della popolarità dei dispositivi connessi in casa, l'Internet of Things (IoT) continuerà a essere un punto debole della sicurezza e della privacy, poiché i dispositivi scarsamente protetti recuperano i dati.
Nigel Thorpe, direttore tecnico di SecureAge Technology, sostiene che i dispositivi IoT in casa dovrebbero essere più ampiamente riconosciuti come una porta di servizio per la rete aziendale, ma non lo farà: "La crescita dei dispositivi connessi dalle lampadine intelligenti agli assistenti digitali può dare l'accesso dei criminali informatici alle reti domestiche. Da lì, il passaggio al laptop di un dipendente e alla rete aziendale è relativamente facile. Ma la sicurezza IoT è ancora dolorosa e non cambierà presto ", ha detto.
Ma nonostante il grande pessimismo sulla probabilità che le vulnerabilità dell'IoT vengano risolte in tempi brevi, le mosse normative sono in corso. All'inizio di quest'anno, il governo del Regno Unito ha completato la sua consultazione per la regolamentazione della sicurezza IoT. A dicembre, il presidente Donald Trump ha firmato la legge "Internet of Things Cybersecurity Improvement Act del 2020", che stabilisce standard di sicurezza per i dispositivi Internet of Things (IoT) di proprietà o controllati dal governo federale, che potrebbero avere implicazioni a cascata per la sfera dei consumatori.
“Prevedo che le aziende si concentreranno sulla sicurezza dei dati fin dalla progettazione per incorporare le protezioni per la sicurezza dei dati e la capacità di soddisfare i requisiti di riservatezza dei dati nei loro prodotti e servizi. Ciò sarà guidato dalla nuova legge federale sulla sicurezza informatica IoT che si applica ai dispositivi IoT acquistati dal governo e che di fatto stabilirà lo standard per la sicurezza dei dati IoT negli Stati Uniti ", afferma Sheryl Falk di Winston & Strawn.
- 2021: l'anno della sicurezza fin dalla progettazione?
Il modello tradizionale di sicurezza delle applicazioni software vedeva la sicurezza considerata separatamente rispetto al processo di sviluppo del software e un unico gruppo era responsabile della sicurezza di tutte le applicazioni create da un'organizzazione.
“Il tempo ha dimostrato che questo approccio si traduce in un processo lento e frustrante. Le organizzazioni di sicurezza e sviluppo finiscono ai ferri corti e il risultato finale sono applicazioni difficilmente più sicure e più lente sul mercato ", afferma Jonathan Knudsen, Senior Security Strategist di Synopsys.
Sostiene che questo modello dovrebbe essere sepolto per sempre il prossimo anno, a favore di una "Application Security 2.0" in cui la sicurezza è automatizzata, integrata e "cotta in ogni fase, dalla progettazione all'implementazione fino alla manutenzione", sebbene i team di sicurezza possano fornire competenza e supporto. Ciò si tradurrà in "prodotti più sicuri, più protetti e migliori", afferma.
Un approccio DevSecOps, in cui lo sviluppo, il test e la distribuzione del software “comprimono il ciclo di rilascio e distribuiscono il software continuamente”, crescerà in popolarità, aggiunge Asma Zubair, Senior Manager di IAST Product Management di Synopsys.
- Continua accelerazione verso il cloud
Il Covid-19 ha accelerato la trasformazione digitale già in atto in molte aziende, poiché la necessità ha causato un diffuso passaggio al cloud per supportare il lavoro a distanza – una tendenza che continuerà sicuramente nel nuovo anno poiché i lavoratori remoti non mostrano segni di ritorno in ufficio.
“Ha costretto le aziende a uscire dalla loro zona di comfort e diventare più agili. Prevedo che ciò continuerà a lungo termine, con un numero sempre maggiore di aziende che dispongono di server in loco, o anche di ambienti ibridi, per migrare le operazioni nel cloud ", afferma Brian Fox, CTO e co-fondatore di Sonatype.
La flessibilità del cloud è particolarmente allettante, in quanto "trasforma su base continuativa ingenti spese in conto capitale in spese operative relativamente digeribili", aggiunge Derek Taylor, principale consulente per la sicurezza di Trustwave.
Ma il passaggio al cloud non è privo di rischi, poiché i problemi di configurazione potrebbero comportare interruzioni, come quelle riscontrate in AWS alla fine di novembre . A seconda della causa e della natura di qualsiasi problema di configurazione del cloud, anche problemi potenzialmente piccoli possono creare interruzioni per molte aziende e utenti, influendo sulla produttività e potenzialmente esponendo i dati.
Sempre più aziende potrebbero combinare server in loco, ambienti ibridi e soluzioni multi-cloud per proteggere da tali interruzioni.
Più cloud e la flessibilità che offre non significano necessariamente più sicurezza. Le organizzazioni devono far evolvere i loro processi di conformità, regolamentazione e audit da un modello in sede a un modello cloud, evitando la tentazione di semplicemente "vita e cambiamento". Non avendo più il controllo diretto dei dati, le organizzazioni dipendono dai fornitori di servizi e, quando si verificano problemi, tali fornitori di servizi potrebbero trovarsi sopraffatti. Inoltre, la completa dipendenza da un provider potrebbe rivelarsi un rischio per l'integrità dei dati, il che significa che l'utilizzo di provider diversi per i backup o il backup in locale potrebbe essere saggio, poiché anche un piccolo rischio può rivelarsi catastrofico se replicato su più clienti.
E le organizzazioni dovrebbero essere sempre consapevoli della fine del modello di responsabilità condivisa, assicurandosi di aver identificato eventuali lacune di responsabilità e di averle sostenute.
"Prevedo che nel 2021 assisteremo sempre più all'adozione del cloud per facilitare i nuovi modi di lavorare. Il problema associato a ciò è che vediamo moltissime aziende pensare che, poiché hanno esternalizzato tutto il loro IT al proprio provider cloud, presumono che si prenderanno cura della sicurezza, ma questo non è vero. Ai sensi del GDPR e della legge britannica, l'azienda rimane responsabile e responsabile della privacy e della sicurezza dei dati, indipendentemente dall'uso di terze parti, inclusi i fornitori di cloud ", afferma Taylor.
"Penso che una grande tendenza per il prossimo anno sia che vedremo molte aziende che subiscono una violazione, che hanno adottato il cloud e che poi si scusano dicendo che è il fornitore di servizi cloud che ha sbagliato".
- Le aziende passeranno sempre più a Zero Trust e si sentiranno obbligate a potenziare i loro processi di verifica dell'identità
La questione della fiducia non è mai stata così importante, sia nel panorama della privacy che in quello della sicurezza.
"Dal numero crescente di attacchi informatici alle notizie false e alle teorie del complotto selvagge, il 2020 ci ha reso più cauti che mai", afferma Keith Glancey, Systems Engineering Manager, Western Europe di Infoblox.
Per la sicurezza informatica, in particolare, ciò significa una superficie di attacco crescente, dipendenza da terze parti e mancanza di una rete di sicurezza perimetrale aziendale.
"Quando si parla di sicurezza informatica nel 2021, è saggio che le organizzazioni pianifichino il peggio e sperino per il meglio", afferma Glancey.
"Pianificare il peggio" potrebbe essere un altro modo per descrivere la sempre più popolare filosofia di sicurezza "Zero Trust", in cui tutti gli utenti della rete sono trattati come potenzialmente ostili fino a quando non dimostrano la propria identità digitale.
“Questo cambiamento allontanerà le aziende dalle idee di base delle autorizzazioni persistenti e dell'accesso incontrollato sia degli esseri umani che dei computer. L'accesso privilegiato non dovrà più essere persistente o permanente, ma assegnato e l'accesso concesso per sessione ", afferma Dan Conrad, stratega sul campo di One Identity.
"Grazie all'architettura zero-trust, gli ambiti account privilegiati, comunemente presi di mira, vengono" gestiti "in modo più efficace, il che li rende semplicemente non preziosi per il processo di attacco."
L'adozione di questo approccio significherà che i professionisti della sicurezza dovranno utilizzare tecniche di verifica dell'identità forti e nel 2021 vedrà una gestione dell'identità e degli accessi rafforzata, l'autenticazione a più fattori (MFA) e la micro-segmentazione.
Alcuni prevedono addirittura che il 2021 potrebbe vedere la fine della password come la conosciamo, poiché la biometria sostituisce sempre più quel vecchio destriero arrugginito.
Stuart Sharp, VP of solution engineering presso OneLogin, è uno di questi fautori di questo metodo di aumento della MFA: "I metodi più semplicistici, come l'autenticazione tramite messaggi di testo, sono meglio di niente, ma sono troppo sensibili agli schemi dannosi di cattivi attori che possono manipolare le comunicazioni basate sulle telecomunicazioni a proprio vantaggio. La biometria, tuttavia, si basa su "chi sei" ", spiega.
“Alla luce del Covid-19 e della maggiore dipendenza da tutto ciò che è Internet, sarà interessante vedere se questa tendenza verso un mondo senza password accelera rapidamente. "
7. La marcia verso l'automazione nella sicurezza informatica continua, ma quanto velocemente?
Vi è una intrinseca "buzzword" nelle discussioni sull'adozione di strumenti di automazione come l'intelligenza artificiale e l'apprendimento automatico per identificare e mitigare le minacce informatiche, e sebbene le nuove tecnologie siano in costante sviluppo per rilevare e rispondere alle minacce, alcuni esprimono cinismo su quanto sia diffuso l'uso di questi strumenti è stato nel 2020 e la vera raffinatezza di molti sul mercato. Potrebbe essere impostato per cambiare?
Potenzialmente tra i Managed Service Provder (MSP), secondo Tim Brown, VP of Security di SolarWinds: “Il 2021 deve essere l'anno in cui gli MSP utilizzano l'automazione a proprio vantaggio. L'automazione consente migliori previsioni di sicurezza, una migliore protezione e una migliore difesa automatizzata. L'automazione consente agli MSP di servire più clienti mantenendo lo stesso numero di dipendenti. Con più tempo, significa anche che i dipendenti possono concentrarsi sulla crescita della proposta di MSP ”.
Qualsiasi crescita nell'aggiornamento dell'automazione potrebbe essere uno strumento per colmare il divario di competenze informatiche in corso, poiché i team di sicurezza cercano di fare di più con meno: " Nel 2021, le aziende devono formare i loro talenti, trattarli bene, equipaggiarli per il successo e dare loro problemi interessanti da risolvere. Parte dell'automazione non è eliminare i lavori, ma rimuovere compiti ripetitivi e noiosi. Togliere le cose noiose dal tavolo lascia ancora molto lavoro coinvolgente per i cyber-esperti di talento ", afferma Chris Hallenbeck, CISO delle Americhe di Tanium.
8. Assisteremo a una maggiore attenzione su formazione, consapevolezza e miglioramento delle competenze poiché le aziende si concentreranno sul "fattore umano" in un mondo incerto
L'incertezza è odiata soprattutto nel mondo aziendale e commerciale, ed è ciò che il 2020 ha prodotto in abbondanza. Il 2021 sembra destinato a continuare il limbo tra casa e ufficio, tra la pandemia e il lancio di un vaccino efficace, rendendo difficili le decisioni di pianificazione IT. Ciò che le aziende possono fare, tuttavia, è concentrarsi sulla parte della macchina che ha meno probabilità di cambiare: l'essere umano. Per questo motivo, lo sguardo sulla sicurezza informatica ricadrà probabilmente sull'ottimizzazione del fattore umano, incorporando formazione e consapevolezza in una forza lavoro distribuita, vulnerabile e combattuta che necessita di aggiornamento delle competenze per questo nuovo mondo scosso.
"Mentre ci avviciniamo al 2021, le organizzazioni devono dare la priorità a programmi di formazione su misura per i lavoratori remoti, incluso come individuare le truffe di phishing e altri tipi di attacchi informatici di ingegneria sociale. Con un aumento delle distrazioni a casa e la fatica per e-mail e riunioni virtuali, non è mai stato così importante che la formazione sia coinvolgente, coerente e prioritaria dai leader aziendali per garantire che sia incorporata nella cultura aziendale ", afferma Matt Aldridge, Principal Solutions Architect di Webroot.
Evidenzia in particolare i potenziali problemi derivanti dalla salute mentale: “Molti lavoratori sono mentalmente esausti e più inclini a commettere errori pericolosi che possono portare a problemi di sicurezza. Senza una rete controllata e il supporto IT in loco offerto da un ufficio fisico, le aziende devono concentrarsi sull'implementazione di una formazione che supporti in modo specifico i lavoratori nell'ambiente domestico e che tenga conto dei fattori di stress causati dal passaggio semipermanente a WFH ".
Una comprensione dei modelli comportamentali umani – e degli incentivi – può fornire informazioni
strategia di formazione e contribuire a trasformare e potenziare la mentalità per consentire ai dipendenti di assumersi la responsabilità non solo di identificare ma segnalare errori e potenziali violazioni.
- Ritorno alle basi?
In definitiva, mentre l'organizzazione fa il punto e riflette sul tumulto del 2020, cambiando marcia nel processo verso una visione a più lungo termine, rimangono i principi di base della sicurezza informatica, come la gestione delle patch, i controlli di autenticazione, la valutazione delle vulnerabilità e il rischio.
“Se non chiudiamo i buchi attorno a ciò che sta mangiando il pranzo delle persone, tutte le campane e i fischietti e i prodotti di sicurezza di prossima generazione nel mondo non avranno importanza. Il novanta per cento del malware che ha successo è così perché semplicemente non abbiamo affrontato enormi quantità di problemi di sicurezza fondamentali ", afferma Egon Rinderer, Global VP of Technology e CTO di Tanium Federal.
"Segna le mie parole, il malware, in particolare quello associato al ransomware, è e continuerà ad aumentare vertiginosamente nei prossimi mesi, a meno che non ci concentriamo sulle basi della sicurezza e dell'igiene IT".
“… Le soluzioni tecniche complesse raramente sono la risposta in sé e per sé. Ciò ha una particolare rilevanza per la prevenzione degli attacchi ransomware, dove il riconoscimento da parte del consiglio di amministrazione della minaccia e la preparazione agli attacchi, sia in risposta che nel garantire che i backup funzionino e resilienti agli attacchi, sono vitali ", aggiunge James Muir, Threat Intelligence Research Lead di BAE Intelligenza applicata ai sistemi.
Il post Le tendenze della sicurezza informatica a cui prestare attenzione nel 2021 sono apparse per la prima volta su PrivSec Report .