Sull'evento
La cibersicurezza non è un problema tecnico astratto, bensì un fattore economico e politico concreto. Criminali organizzati con budget multimilionari lanciano attacchi coordinati su infrastrutture critiche; le aziende si difendono comprando tonnellate di software di protezione che poi non riescono a integrare. Lo scenario non è grigio: emergono soluzioni di rilevamento e risposta gestite che promettono di ribilanciare l'asimmetria.
I temi affrontati
- Vulnerabilità sistemiche da integrazione di tecnologie eterogenee
- Scarsità globale di specialisti di sicurezza informatica
- Smart working e dissoluzione del perimetro di sicurezza
- Attacchi ransomware, esfiltrazione dati, zero-day exploits
- SOC (Security Operation Center) e MDR (Managed Detection and Response)
- Zero Trust come architettura organizzativa e tecnica
Il racconto
La carenza di competenze
L'Italia, come il resto del mondo, soffre di una carenza drammatica di specialisti di cybersecurity certificati—non semplici tecnici che installano antivirus, bensì analisti di malware, esperti di threat intelligence, architetti di sicurezza. Questo gap non sarà colmato in mesi ma in anni, e intanto la domanda esplode. Le tipologie di attacchi crescono quotidianamente e il lavoro di difesa supera la capacità dei team interni delle aziende.
Lo smart working ha accelerato il problema. Durante il primo lockdown (marzo 2020) decine di migliaia di aziende hanno comprato notebook, creato VPN per la connessione remota e spinto dipendenti a casa, distruggendo le certezze di un modello di sicurezza basato sulla protezione del perimetro aziendale. Se il perimetro era una fortificazione medievale intorno ai dati, lo smart working ha trasformato ogni casa, ogni caffè, ogni albergo in punto di ingresso potenziale. Le VPN sono secure nel protocollo, ma le credenziali degli utenti no: è semplice rubare username e password di un dipendente connesso da casa, e una volta within, l'attaccante è dentro il perimetro.
Attacchi specializzati e infrastrutture critiche
Il panorama degli attacchi è sempre più sofisticato. Un gruppo cinese ha sfruttato vulnerabilità zero-day (non ancora scoperte pubblicamente) in una piattaforma di posta elettronica diffusa globalmente. Si è limitato a installare backdoor—porte posteriori—senza proseguire. Ha poi venduto l'accesso a altri gruppi criminali che hanno eseguito il ransomware, l'esfiltrazione dati, il mining di criptovalute. C'è divisione del lavoro fra attaccanti specializzati, come pit stop in Formula 1: ognuno eccelle nel suo ruolo, il coordinamento genera efficienza devastante.
Secondo IBM, il settore finanziario rimane il bersaglio numero uno, ma attacchi a infrastrutture critiche—sanitaria, manifatturiera, energetica—hanno subito una crescita significativa nel 2020-2021. Ci sono volte oltre duecento giorni perché un'azienda si accorga di essere stata violata, e altri sessanta-settanta giorni per neutralizzare l'attacco. Questo lag temporale è il vero problema: mentre l'azienda non sa di essere compromessa, l'attaccante studia l'ambiente, individua i backup, li distrugge, infetta altre macchine.
La soluzione: rilevamento e risposta gestiti
Un segnale incoraggiante arriva da Gartner: entro il 2024 il 40% delle medie aziende enterprise adotterà soluzioni MDR (Managed Detection and Response). Un MDR è un servizio dove uno specializzato SOC (Security Operation Center) esterno monitora gli eventi di sicurezza dell'azienda 24/7. Il SOC raccoglie log e alert da tutti gli strumenti di protezione presenti (firewall, antivirus, IDS), li correla tramite SIEM (Security Information and Event Management), integra intelligence esterna su minacce note, e genera allarmi intelligenti.
Gli analisti umani del SOC, anziché rispondere a migliaia di falsi positivi, si concentrano su segnali deboli che precludono un attacco: movimenti laterali sulla rete, accessi anomali a file sensibili, comportamenti inusueali. L'automazione della risposta neutralizza il 80-90% degli event senza intervento umano; gli esperti analizzano il restante 10-20%, supportati da algoritmi di intelligenza artificiale che suggeriscono indagini. Questo approccio mutualizz a la competenza: un SOC gestito può servire cento aziende, eliminando la necessità che ognuna assuma una dozzina di specialisti che potrebbero non trovare.
Zero Trust: architettura per un mondo senza perimetro
Lo "zero trust" è una filosofia di sicurezza che assume permanente compromissione. Non fidati mai, verifica sempre, presumi che una violazione sia in atto. Si traduce in tre principi: accesso minimo possibile alle risorse privilegiate, verifica continua, assunzione costante di violazione.
Implementare zero trust tocca tutti i domini aziendali. Sulla rete: micro-segmentazione, isolamento dei sistemi critici. Sui dati: classificazione, criptografia sia a riposo che in transito, crittografia omorfica per proteggere i dati anche durante l'elaborazione. Sugli accessi: autenticazione multi-fattore, privilegi dinamici, revoca immediata di credenziali compromise. Sulla percezione: sensori distribuiti, correlazione centrale di segnali, automazione della risposta.
La sfida è integrare questi domini. Le aziende hanno comprato firewall, antivirus, IDS, DLP, WAF—lettere dell'alfabeto della sicurezza—ognuno in silo. Zero trust richiede che questi strumenti parlino tra loro, che il firewall informi il sistema di access management, che quest'ultimo comunichi con il data protection, che tutti segnalino anomalie a un centro di correlazione. Una piattaforma aperta e integrabile diviene essenziale: tecnologie diverse devono dialogare senza duplicazione.
Il fattore geografico e temporale
Un principio spesso trascurato: il cyber-rischio ha la geografia di Internet e i tempi della rete. Un attacco lanciato dall'altro capo del mondo eseguito un'ora fa può toccarti tra dieci minuti. Non c'è protezione locale che basti; la difesa deve essere globale. I dati su violazioni di dati (Ponemon Institute, 524 aziende globali studiate) mostrano che ridurre il tempo di rilevamento e di risposta è critico per limitare il danno. Ogni mese di compromissione coperta significa mesi di esfiltrazione, studio dell'ambiente, preparazione per il colpo finale.
Idee chiave
- Le vulnerabilità derivano spesso dall'integrazione di sistemi eterogenei, non dai singoli strumenti
- La scarsità di specialisti è globale e crescerà prima di diminuire
- Lo smart working ha demolito il modello di sicurezza del perimetro
- Gli attaccanti sono organizzati, sofisticati, specializzati; la difesa tende a essere frammentata
- MDR e SOC gestiti promettono di equilibrare l'asimmetria fra attacchi e difesa
- Zero Trust è una filosofia che richiede riarchitettura completa dei sistemi, non solo nuovi strumenti
- L'automazione è essenziale: impossibile gestire decine di migliaia di eventi di sicurezza al secondo manualmente
Riferimenti citati
- IBM X-Force — centro di ricerca IBM che analizza quotidianamente 150 miliardi di eventi di sicurezza
- Gartner — azienda di ricerca che traccia le tendenze di cybersecurity
- Ponemon Institute — organizzazione che conduce studi indipendenti su costi di violazioni dati
- GDPR — normativa europea sulla protezione dei dati che impone responsabilità sulle aziende
- SOC (Security Operation Center) — team di specialisti che monitora e risponde agli incidenti
- SIEM (Security Information and Event Management) — software che raccoglie e correla log di sicurezza
- MDR (Managed Detection and Response) — servizio esterno di rilevamento e risposta agli incidenti
- Zero Trust — architettura di sicurezza basata su verifica continua, non fiducia nel perimetro
- Crittografia omorfica — tecnica che permette di eseguire calcoli su dati criptati senza decriptarli
- Ransomware — malware che cripta dati e richiede riscatto
- Argentina identity breach — violazione di 45 milioni di cartelle d'identità, esempio di attacco su infrastrutture critiche