Cyber Resilience: un imperativo strategico per le aziende

Oggi le organizzazioni devono comportarsi come veri e propri “atleti” – nel senso etimologico di “athlon”, lotta – chiamati a confrontarsi ogni giorno con sfide complesse in campo tecnologico, normativo e lavorativo. In questo quadro già di per sé complicato, si inseriscono minacce informatiche sempre più sofisticate che mettono a repentaglio l’operatività e la stessa immagine aziendale: la resilienza informatica si pone dunque come una necessità per le organizzazioni, non solo in chiave di business continuity, ma anche in termini di conformità all’attuale quadro normativo.

Ma come viene interpretata la resilienza cyber dalle aziende? Con quale efficacia? Come si costruisce una strategia di resilienza informatica? Ne abbiamo parlato con Marco Pacchiardo, esperto con oltre venticinque anni di attività nel settore, e Lead Security Architect di Zscaler, azienda di riferimento nell’utilizzo dei principi dello Zero Trust.

Quanto è centrale il concetto di resilienza applicato alla cyber security? Come viene interpretato dalle aziende, allo stato attuale, e con quale efficacia? 

In generale rileviamo che stanno tutti cercando di adeguarsi a un concetto di cyber resilience: c’è consapevolezza che si tratti di un obiettivo da perseguire, anche perché normative come DORA e NIS 2 richiedono alle aziende di essere cyber resilient Tuttavia, sul come attuarlo manca spesso un pensiero strutturato e di conseguenza un progetto coordinato.  L’approccio alla cyber resilience richiede un metodo organizzato, che segua standard consolidati: gli standard NIST, National Institute of Standards and Technology, abbracciano la cyber resilience integrandola con l’approccio Zero Trust. In Zscaler conosciamo molto bene questo modello e siamo in grado di supportare le aziende lungo il percorso di adeguamento alla cyber resilience, suggerendo come farlo, quando farlo, con quali tempi e quali funzionalità attivare.

Quali sono gli obiettivi di un’architettura di cyber resilience?

Un’architettura di cyber resilience definisce quattro obiettivi fondamentali: Anticipate, quindi essere in grado di anticipare rischi di cyber security che possono compromettere il business o la mission function; Withstand, essere in grado di resistere e successivamente di poter fare un Recover, a fronte di minacce o attacchi cyber. Il quarto e ultimo obiettivo è Evolve: essere in grado di far evolvere la propria architettura sulla base, non solo della lesson learned, ma anche rispetto agli standard di mercato.  Noi per primi, in Zscaler, non siamo granitici e statici: continuiamo a evolvere, includendo nuove funzionalità alla nostra architettura Zero Trust, in un’ottica di evoluzione continua, per fare fronte a ciò che succede di malevolo. 

Dai vostri report emerge la mancanza di una visione globale della resilienza capace di integrare anche quella informatica. Appare evidente la necessità di compiere ulteriori passi in avanti per arrivare a un approccio “Resilient by Design”. Quali sono i tasselli fondamentali di questo tipo di approccio? 

Il riferimento principale è lo standard NIST 800-160, un modello di implementazione di architetture di cyber resilience che si differenzia da standard come l'ISO 27001 o il Cyber Security Framework, proprio perché indirizza il modo in cui, a livello di architettura, implementare la cyber resilience all'interno della propria azienda. Il NIST 800-160 ha un forte adeguamento al framework MITRE, con cui le aziende hanno già familiarità, e presenta un riferimento preciso alle tecnologie e alle tecniche che devono entrare in campo per attivare le contromisure previste da MITRE. L’analytic monitoring, per esempio, o il privilege restriction sono tecniche implementative del modello di cyber resilience. Lo standard NIST 800-160 accompagna dunque le aziende verso un approccio già in parte familiare, grazie all’allineamento con il MITRE. Quindi la cyber resilience non è un elemento separato, ma contribuisce anche a garantire la copertura rispetto alle tecniche e tattiche previste dal MITRE.  In Zscaler negli ultimi due anni abbiamo fatto un lavoro importante di allineamento delle nostre funzionalità proprio allo standard MITRE. Questo ci consente di seguire concretamente un'azienda che abbia necessità di essere cyber resilient, verificando innanzitutto quali siano gli obiettivi strategici di Risk Management dell'azienda e quali siano gliuse case fonte di maggiore preoccupazione (c’è chi teme un ramsonware come Black Basta, chi un virus come SmokeLoader); questi vengono mappati rispetto al MITRE e vengono proposte le nostre soluzioni per una protezione secondo il principio Zero Trust.

Qual è l’approccio di Zscaler nel supporto alle aziende?

Zscaler ha un'ambizione, che ormai non è più soltanto un'ambizione, ma qualcosa che si sta effettivamente concretizzando: guidare le aziende a livello progettuale, non fosse altro che per la profonda conoscenza degli argomenti. Da questo punto di vista affianchiamo le aziende nella definizione di un modello MITRE adatto al proprio mercato verticale, che sia finance, retail, technology o altro. Questo modello lo replichiamo eventualmente su un progetto di Cyber Resilience di più ampio respiro, in cui decidiamo insieme al cliente dove vogliamo arrivare entro un termine fissato, sei mesi, un anno o due anni. Personalmente ritengo che questo percorso sia da compiere al 100%: la Cyber Resilience o si fa o non si fa. Il punto di partenza è sempre l’assessment iniziale che permette di capire quanto già sia implementato rispetto al programma di adeguamento alla Cyber Resilience: se l’azienda è, ad esempio, al 20%, il nostro lavoro sarà portarla al 60 entro il primo anno, all'80 l'anno successivo, fino al 100%, sempre in accordo con il budget e innestando il programma all'interno del piano di risk management.

In merito al rapporto con l’area Risk Management e alla definizione del budget, quali strumenti mettete a disposizione per facilitare il dialogo e il processo decisionale?

Forniamo una dashboard con KPI di adeguamento, dove vengono indicate le attività ancora da implementare, per arrivare al 100%, e i relativi costi. Questo strumento è destinato a essere condiviso tipicamente con le funzioni GRC (Governance, Risk and Compliance), il CISO e il board.

Prima ha accennato alla necessità di una evoluzione continua. Ma allo stato attuale quali tecnologie, piattaforme e soluzioni propone Zscaler?

Scattando una fotografia attuale dell’attività di Zscaler direi che al momento per il 60% è basata su principi di Zero Trust e sulla nostra piattaforma ZTE, Zero Trust Exchange, con tutta la capacità di dare protezione sia verso applicazioni pubbliche, quindi verso Internet, sia verso applicazioni SaaS, quindi private e verso data center locali.

Il restante 30-40% si riferisce all’area SecOps (Security Operations) che segue invece la parte di gestione rischi, con strumenti in grado di supportare tutte le funzioni aziendali di Cyber Security e Risk Management, dai SOC alle funzioni di GRC.

Zscaler offre inoltre un servizio di Continuous External Threat Monitoring che monitora in tempo reale l’esposizione dell’azienda su Internet, valutando minacce dall’esterno, vulnerabilità e livello di rischio, sia operativo che finanziario. Il servizio, pensato per le funzioni GRC, consente di trasformare queste informazioni in configurazioni di sicurezza in linea con gli standard internazionali, inclusi, a breve, NIS 2 e DORA, che dovrebbero essere disponibili tra poche settimane. In entrambe le direttive si evidenzia del resto un chiaro orientamento verso lo Zero Trust: DORA lo cita esplicitamente, mentre la NIS 2 ne richiama i principi, sottolineando la necessità di adottare il principio del least privilege.

In Italia le aziende sono pronte alla resilienza informatica?

Devo dire che NIS 2 e Dora hanno dato un impulso importante. All'estero prediligono standard american oriented, quindi il NIST o il Cyber Security Framework. In Italia chi lavora con l'estero cerca di seguire il Cyber Security Framework; molte aziende fanno riferimento a ISO 27001. Oggi poi gran parte delle aziende sono orientate verso NIS 2 e Dora.

Operate anche in ambito OT/IoT e infrastrutture critiche?

Assolutamente sì. Abbiamo soluzioni per applicare i principi Zero Trust anche ai contesti OT e IoT. Gestiamo anche l’air gap tra rete di produzione e rete business, tramite servizi basati sullo Zero Trust e attraverso la microsegmentazione, tra l'altro supportati dall'intelligenza artificiale, che permette di rilevare i dispositivi OT sui diversi segmenti di rete e creare eventualmente dei cluster.  Prendiamo l’esempio di 20 telecamere a circuito chiuso: ciascuna viene collocata su un segmento di rete diverso, quindi isolata, ma tutte queste formeranno un cluster che dialoga con il controller delle telecamere.

Come funziona, in concreto, la piattaforma Zscaler?

La piattaforma cloud Zscaler Zero Trust Exchange è fondata sul principio Zero Trust, cioè connettere gli utenti alle applicazioni.  Secondo il modello Zero Trust la prima azione fondamentale è l'autenticazione dell'utente seguita dall’inspection del traffico, per garantire che non vi siano elementi malevoli; a questo punto dove si vuole andare e se si è titolati ad accedere a una determinata applicazione: “Chi sei? Cosa porti? Dove vai?”, per citare Troisi e Benigni.  Questo è esattamente quello che fa Zscaler. Il sistema gestisce dinamicamente l’analisi del profilo utente: se un utente ha il set di policy necessario per accedere a un’applicazione, ma ha ad esempio scaricato un file sospetto, l’accesso può essere temporaneamente negato. Inoltre, la segmentazione fa sì che l’utente veda solo le applicazioni autorizzate, a prescindere dall’intero parco applicativo aziendale. Seguendo i principi di Zero Trust, abbiamo trasportato nell'autenticazione il concetto di shift left, tipico della funzione Devops, ovvero l’idea di spostare il più possibile all’inizio la gestione della sicurezza.

E per quanto riguarda la supply chain?

Disponiamo di soluzioni basate su Browser Access e Privileged Remote Access, che permettono connessioni sicure a determinate risorse da parte della supply chain, terze parti e manutentori, mantenendo saldi i principi dello Zero Trust.

 https://www.zscaler.com/it