Metà delle aziende ha difficoltà a identificare una grave falla di sicurezza
Come sostiene Kaspersky Lab nel report “New Threats, new mindsets: being risk ready in a world of complex attacks”, la prevenzione è ancora il pilastro della cybersecurity aziendale. Nonostante questo, però, se un attacco è già avvenuto, l'individuazione e il primo intervento sono cruciali: un rilevamento tempestivo riduce i costi medi di recovery di più del doppio (da 1,2 milioni di dollari a 456 mila dollari per le grandi aziende). Alla luce dei recenti attacchi avanzati, e degli attacchi diffusi come WannaCry ed ExPetr, le organizzazioni dovrebbero chiedersi: “ma cosa succede se vengo colpito?”. Purtroppo dal report emerge che le aziende hanno grandi difficoltà addirittura a capire quando si verifica una falla nel sistema di sicurezza, pertanto stanti le circostanze evidenziate, rispondere alla domanda è piuttosto difficile.
I criminali informatici, sono di vari tipi, come le armi da loro utilizzate: dai truffatori meno sofisticati che si prendono gioco delle aziende meno protette colpendo su larga scala, fino ai gruppi di hacker organizzati che prendono di mira obbiettivi strategici con operazioni in cui non sempre utilizzano malware. E se può essere relativamente semplice evitare un attacco effettuato da hacker inesperti bisognerebbe essere veramente preparati per fronteggiare intrusioni ed attacchi capaci di provocare gravi danni.
Lo studio di quest'anno rivela che gli attacchi mirati sono diventati una delle minacce più consistenti, con un aumento dell'11% per le grandi aziende. La dimensione del problema però non è rappresentata unicamente dal crescente numero di attacchi, ma anche dalle difficoltà incontrate dai sistemi di sicurezza nel riconoscere e fronteggiare tali incursioni: due terzi degli intervistati ritengono che le minacce stiano diventando sempre più complesse e per metà di essi è difficile spiegare la differenza tra attacchi generici e complessi.
Nonostante le aziende abbiano maturato la consapevolezza di essere a rischio sul fronte della sicurezza informatica, gran parte di esse non ha ad oggi una strategia efficace per rispondere a queste minacce.
Questo problema assume una importanza di particolare rilievo se si pensa che lo studio ha mostrato che il 63% degli interessati sono esperti IT e, quindi, coloro che hanno più esperienza in questo campo.
Non solo, perché sorprendentemente, e nonostante il livello di incertezza riguardo alle strategie, la maggior parte delle aziende (il 77%) ritiene di investire a sufficienza o addirittura di spendere troppo per la protezione contro attacchi mirati: questa percezione scaturisce talvolta dal fatto che le minacce informatiche sono viste solo come un problema tecnico da affrontare adottando e impiegando soluzioni di sicurezza informatica più avanzate. Un approccio più equilibrato agli incident response, invece, consiste nell'investire non solo nelle corrette tecnologie, ma anche in personale con specifiche competenze e in processi corretti.
Il miglior incident response mix è composto da: tecnologia, persone e processi.
La tecnologia è una delle parti più importanti di questo mix: la velocità di rilevamento è fondamentale per ridurre l'impatto finanziario di un attacco. Secondo la ricerca, nell'ultimo anno appena un quarto delle aziende ha scoperto di aver subito un grave attacco lo stesso giorno in cui è avvenuto. Eppure un'identificazione immediata riduce significativamente i costi medi di recovery.
Il personale costituisce un'altra componente fondamentale. Il 53% delle aziende ritiene di aver bisogno di assumere più specialisti con specifiche competenze in sicurezza IT, vale a dire in SOC management (security operation centre), incident response e ricerca delle minacce (il dato sale al 61% nelle grandi aziende). Non c'è da sorprendersi visto che una mancanza di personale interno aumenta l'esposizione dell'azienda ad attacchi mirati ed aumenta l'impatto finanziario medio di un attacco su un'azienda (da 930.000 dollari a 1,1 milioni).
Per poter essere in grado di combattere efficacemente le minacce informatiche, le organizzazioni hanno bisogno inoltre di pensare all'incident response come a un processo, non a un punto di arrivo. Questo significa che c'è bisogno di un incident investigation framework globale, composto da un monitoraggio costante, rilevamento avanzato e critical security event mitigation.
“Ora che le aziende stanno iniziando a capire che le falle alla sicurezza informatica sono un rischio reale per la loro attività lavorativa, devono dare all'incident response l'attenzione che merita. Non può più essere una piccola parte dei compiti dei responsabili della sicurezza, ma dovrebbe invece essere integrata in un piano strategico e un investimento al livello più alto. Per le organizzazioni, questo non significa non essere più esposti al rischio, ma aiuterebbe di sicuro a essere preparati qualora si verificasse un attacco e a poter resistere meglio”, afferma Alessio Aceti, capo dell'Enterprise Business Division presso Kaspersky Lab.
I criminali informatici, sono di vari tipi, come le armi da loro utilizzate: dai truffatori meno sofisticati che si prendono gioco delle aziende meno protette colpendo su larga scala, fino ai gruppi di hacker organizzati che prendono di mira obbiettivi strategici con operazioni in cui non sempre utilizzano malware. E se può essere relativamente semplice evitare un attacco effettuato da hacker inesperti bisognerebbe essere veramente preparati per fronteggiare intrusioni ed attacchi capaci di provocare gravi danni.
Lo studio di quest'anno rivela che gli attacchi mirati sono diventati una delle minacce più consistenti, con un aumento dell'11% per le grandi aziende. La dimensione del problema però non è rappresentata unicamente dal crescente numero di attacchi, ma anche dalle difficoltà incontrate dai sistemi di sicurezza nel riconoscere e fronteggiare tali incursioni: due terzi degli intervistati ritengono che le minacce stiano diventando sempre più complesse e per metà di essi è difficile spiegare la differenza tra attacchi generici e complessi.
Nonostante le aziende abbiano maturato la consapevolezza di essere a rischio sul fronte della sicurezza informatica, gran parte di esse non ha ad oggi una strategia efficace per rispondere a queste minacce.
Questo problema assume una importanza di particolare rilievo se si pensa che lo studio ha mostrato che il 63% degli interessati sono esperti IT e, quindi, coloro che hanno più esperienza in questo campo.
Non solo, perché sorprendentemente, e nonostante il livello di incertezza riguardo alle strategie, la maggior parte delle aziende (il 77%) ritiene di investire a sufficienza o addirittura di spendere troppo per la protezione contro attacchi mirati: questa percezione scaturisce talvolta dal fatto che le minacce informatiche sono viste solo come un problema tecnico da affrontare adottando e impiegando soluzioni di sicurezza informatica più avanzate. Un approccio più equilibrato agli incident response, invece, consiste nell'investire non solo nelle corrette tecnologie, ma anche in personale con specifiche competenze e in processi corretti.
Il miglior incident response mix è composto da: tecnologia, persone e processi.
La tecnologia è una delle parti più importanti di questo mix: la velocità di rilevamento è fondamentale per ridurre l'impatto finanziario di un attacco. Secondo la ricerca, nell'ultimo anno appena un quarto delle aziende ha scoperto di aver subito un grave attacco lo stesso giorno in cui è avvenuto. Eppure un'identificazione immediata riduce significativamente i costi medi di recovery.
Il personale costituisce un'altra componente fondamentale. Il 53% delle aziende ritiene di aver bisogno di assumere più specialisti con specifiche competenze in sicurezza IT, vale a dire in SOC management (security operation centre), incident response e ricerca delle minacce (il dato sale al 61% nelle grandi aziende). Non c'è da sorprendersi visto che una mancanza di personale interno aumenta l'esposizione dell'azienda ad attacchi mirati ed aumenta l'impatto finanziario medio di un attacco su un'azienda (da 930.000 dollari a 1,1 milioni).
Per poter essere in grado di combattere efficacemente le minacce informatiche, le organizzazioni hanno bisogno inoltre di pensare all'incident response come a un processo, non a un punto di arrivo. Questo significa che c'è bisogno di un incident investigation framework globale, composto da un monitoraggio costante, rilevamento avanzato e critical security event mitigation.
“Ora che le aziende stanno iniziando a capire che le falle alla sicurezza informatica sono un rischio reale per la loro attività lavorativa, devono dare all'incident response l'attenzione che merita. Non può più essere una piccola parte dei compiti dei responsabili della sicurezza, ma dovrebbe invece essere integrata in un piano strategico e un investimento al livello più alto. Per le organizzazioni, questo non significa non essere più esposti al rischio, ma aiuterebbe di sicuro a essere preparati qualora si verificasse un attacco e a poter resistere meglio”, afferma Alessio Aceti, capo dell'Enterprise Business Division presso Kaspersky Lab.