Per commentarne le principali evidenze del nuovo rapporto ENISA (European Union Agency for Network and Information Security) sulle minacce informatiche, abbiamo chiesto aiuto a Pierluigi Paganini, tra i main contributor del documento e membro del Threat Landscape Stakeholder Group di ENISA.
Highlights dal rapporto
Rispetto al periodo osservato sono diversi gli aspetti su cui il rapporto invita a riflettere. In primis l’estensione a tutti del rischio di attacchi: l’ottimizzazione del fatturato del Cyber-crime è il vero trend del 2016.
Fortunatamente anche la capacità di difendersi è migliorata, così da portare a termine operazioni di law enforcement volte al contrasto di attività malevole e alla risoluzione attacchi tramite vulnerabilità nell’anonimizzazione di infrastrutture, strumenti e valute virtuali. Anche la comprensione degli attacchi DDOS è migliorata tanto da poter intervenire efficacemente nella mitigazione di quelli più pericolosi. Anche dal punto di vista delle competenze, infine, università e centri di formazione stanno chiudendo il gap fra domanda e offerta di professionisti.
Le raccomandazioni conclusive del report – di policy, business e ricerca – saranno alla base delle attività future di ENISA e dei suoi stakeholder dal momento che:
“anche se i difensori hanno fatto progressi significativi nella disgregazione delle minacce informatiche e nell’attribuzione degli attacchi, gli avversari continuano ad avanzare in fatto di tattiche e di tecniche”.
Partiamo da qui per comprendere come mai dopo tanti sforzi, gli attaccanti sembrano sempre un passo avanti.
Analizzando l’economia di un attacco, è semplice rendersi conto che l’attaccante sia sempre avvantaggiato. Gli attacchi sono istantanei per natura, possono essere mossi da ogni dove con implicazioni tecnologiche e legali che rendono complesse le attività di investigazione e contrasto. A questo si aggiungono fenomeni come aumento indiscriminato della nostra superficie di attacco dovuta a tecnologie come IoT, mobile e cloud computing, e la rapida diffusione di modelli crime-as-a-service. Da non trascurare infine l’efficace modello d’impresa adottato dalle principali organizzazioni criminali, strutture estremamente flessibili capaci di riadattare la propria azione in maniera rapida in risposta ad eventi avversi (e.g. operazioni delle forze dell’ordine).
Come mai si è puntato al Threat Assessment dell’hardware ?
L’hardware qualification è un problema cruciale nell’attuale contesto tecnologico. In tempi post-Snowden ci si è resi conto della necessità di dover verificare e qualificare il nostro hardware per fugare l’eventuale presenza di “impianti” (dotazioni strumentali finalizzate a intercettare o a funzioni spia n.d.r.). Il problema è quindi molto sentito in diversi ambiti: pensiamo alla difesa ed alle infrastrutture critiche. Conoscere le minacce, imparare ad identificarle e definire una metodologia di analisi condivisa rientra negli obiettivi del gruppo di lavoro.
Data la frequenza delle minacce ogni quanto si dovrebbe aggiornare una Threat Taxonomy? Come mai ENISA lo fa annualmente?
ENISA se ne occupa annualmente in quanto tale frequenza rappresenta un giusto compromesso nell’evoluzione dello scenario delle minacce e la possibilità di dedicare risorse all’attività. Inoltre lo scenario che analizziamo evolve rapidamente, ma per comprendere alcuni fenomeni occorre osservarli per 6 mesi/1 anno almeno, ecco quindi che si procede a delle review annuali.
Quali saranno le prossime attività di ENISA?
Nel gruppo di analisi delle minacce, stiamo lavorando a molti punti, alcuni non ancora condivisibili. In ottica NIS vi è un focus sugli aspetti di condivisione sia all’interno della comunità scientifica, sia all’esterno. Un obiettivo costante è l’aumento della consapevolezza della minaccia anche tra i non addetti ai lavori. Altri focus sono sui vari aspetti relativi alle attività di Cyber Threat Intelligence che conduciamo e sul concetto di Active Defence.
Qualcuno sostiene che l’IT security sia diversa profondamente dalla Cybersecurity ? Cosa ne pensi ?
In troppi si soffermano su queste sottili differenze e i principali threat actor ne traggono vantaggio. La sicurezza informatica è un campo estremamente ampio ed in rapida e continua espansione grazie all’evoluzione tecnologica. E’ naturale che ci siano molteplici definizioni, soprattutto in ottica commerciale. La sicurezza è un business, e troppi non addetti al settore ci si stanno tuffando.
Ringraziando Pierluigi per il suo contributo, non ci resta che auspicare il ricorso a veri professionisti di security, esperti certificati o figure di esperienza, che possano supportare e guidare aziende e PMI in quel percorso di protezione e difesa dei propri asset che con l’avvio del processo di digitalizzazione e l’adozione di nuove tecnologie, non può più essere rimandato.