Il rischio informatico si insidia un po’ ovunque, dall’hardware al software, al livello delle infrastrutture, delle applicazioni e dei dati, senza dimenticare il famigerato fattore umano. E ancora configurazioni, vulnerabilità irrisolte, processi e relazioni che creano dei punti deboli, a disposizione di chi voglia sfruttarli. Sulla gestione del rischio i vendor propongono visioni differenti, chi sbilanciandosi sul fronte della prevenzione e chi sulla risposta agli incidenti, chi sui controlli (la logica dello Zero Trust) e chi sulla cyber resilienza (partendo dal presupposto che prima o poi un incidente si verificherà).
Armis ci invita a puntare l’attenzione su tre aspetti specifici, che rappresentano punti di esposizione al rischio nascosti, e che invece andrebbero considerati in qualsiasi strategia di exposure management. Ce ne parla Desiree Lee, chief technology officer della società di cybersicurezza.
Desiree Lee, chief technology officer di Armis
L'incompleta comprensione degli asset
Una delle principali difficoltà per difendere le aziende moderne è avere piena consapevolezza di ciò che compone il proprio ecosistema. Dai sistemi di gestione degli edifici ai punti di accesso Wi-Fi dimenticati, ovunque ci sono asset sconosciuti e non gestiti. Gli analisti stimano che oltre il 40% degli asset aziendali oggi non venga monitorato, un punto cieco enorme per i team di sicurezza. Gli inventari degli asset tradizionali, spesso ricavati da processi manuali e fogli di calcolo, semplicemente non tengono il passo con reti in espansione e dinamiche. Nel frattempo, i sistemi industriali spesso non sono compatibili con gli strumenti moderni di gestione, rendendoli invisibili al monitoraggio standard.
Questo non è solo un divario tecnico; è un rischio di conformità. Framework come NIST o PCI DSS iniziano con l’inventario degli asset perché è impossibile intervenire su un asset se prima non se ne conosce l’esistenza. Senza monitoraggio in tempo reale di ogni asset e dei punti da cui si connettono, le organizzazioni stanno operando senza visibilità del proprio ambiente.
Gli ambienti cloud e virtualizzati senza supervisione
L’adozione del cloud e la convergenza IT/OT hanno offuscato i confini tradizionali tra ambienti on-premise e off-premise. Digital twin, flussi di lavoro virtualizzati e strumenti di accesso da remoto creano efficienze potenti, ma anche nuove opportunità per gli aggressori. I servizi cloud non correttamente configurati restano uno dei punti di accesso in più rapida crescita per le violazioni. Senza supervisione centrale, i team possono attivare istanze o creare account con poco controllo. Un solo errore può permettere agli aggressori di muoversi tra ambienti, passando dalla rete on-prem al cloud o viceversa.
Le aziende del settore sanitario e manifatturiero sono particolarmente esposte a questo rischio, dove i dati cloud-enabled fluiscono attraverso operazioni critiche. Mantenere la governance su questi ambienti virtualizzati non è più opzionale: è fondamentale.
I rischi della supply chain
Anche se il tuo ambiente è “in ordine”, quello dei tuoi partner potrebbe non esserlo. Il rischio derivante da terze parti è diventato una delle sfide più spinose nella cybersecurity. La violazione di SolarWinds ha mostrato come un aggiornamento software compromesso abbia potuto propagarsi a 18.000 clienti, mentre librerie open-source vulnerabili come Log4J hanno rivelato quanto ampio possa essere il rischio incorporato nei prodotti senza che gli utenti finali lo realizzino.
Alcuni fornitori ora offrono una software bill of materials (Sbom) per garantire trasparenza, ma questa è ben lungi dall’essere una prassi standard. Nel frattempo, ogni connessione a un soggetto terzo, dai provider cloud ai vendor SaaS, espande la superficie d’attacco in modi che la maggior parte delle aziende non può controllare completamente. La supply chain non è solo un anello: è un moltiplicatore di rischio.
Passare a una difesa proattiva e rafforzare la resilienza
Quindi, come possono le organizzazioni anticipare queste esposizioni? I fondamentali vengono prima: conoscenza, contesto e monitoraggio continuo. Significa essere in grado di avere visibilità di ogni asset, capire come si connette alle operazioni e tracciare ogni cambiamento. Ma oggi, gestire scala e velocità sono le sfide principali. È qui che l’intelligenza artificiale inizia a trasformare la gestione dell’esposizione. Proprio come gli aggressori usano il machine learning per automatizzare il riconoscimento e adattare il malware in tempo reale, i difensori possono usarlo per classificare automaticamente gli asset, stabilire comportamenti attesi e segnalare anomalie prima che diventino incidenti. L’AI non sostituisce i team di sicurezza, li amplifica. Con intelligence più ricca e più veloce, le aziende possono concentrarsi sulle esposizioni più rischiose, invece che essere sommersi da allarmi a basso valore arretrati. È la differenza tra reagire a una violazione e prevenirla.
Prevenire gli attacchi informatici non è mai semplice. Ma molte organizzazioni sarebbero decisamente preparate meglio se si concentrassero nell’affrontare queste tre esposizioni comuni: comprensione incompleta, ambienti cloud non controllati e rischio non gestito proveniente da terze parti. La gestione dell’esposizione informatica fornisce il quadro completo per fronteggiarle. L’insieme di comprensione, contesto e proattività con orchestrazione e monitoraggio continuo, trasformano le basi della sicurezza in uno scudo orientato alla protezione futura. Il messaggio è chiaro: il prezzo dei punti ciechi sta aumentando, sia in termini economici che di reputazione. Ma con l’approccio giusto, le organizzazioni possono avere il pieno controllo della loro superficie d’attacco e plasmare un futuro più resiliente.