Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi DDoS più che raddoppiati lo scorso anno: il report di F5 Labs
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
Proteggersi dagli attacchi indiretti? Serve controllo!
Abbiamo un sistema di protezione a prova di bomba. Ma se i pirati colpiscono un’azienda con cui collaboriamo e ci colpiscono da lì?
Quanto conta l’attenzione alla sicurezza informatica quando si sceglie di collaborare con qualcun altro? Molto. La regola che si dovrebbe considerare, infatti, è che il livello di sicurezza di un’azienda dipende anche da quello di tutte le altre con cui lavora.
Il problema non è nuovo ed è confermato da decine di casi di cronaca in cui si assiste sempre allo stesso copione: per colpire il pesce grosso, che ha sistemi di protezione difficili da aggirare, i pirati prendono di mira il pesce piccolo per poi usarlo come “trampolino di lancio” per il vero attacco.
Dal punto di vista di chi si trova a gestire la cyber-sicurezza all’interno di un’azienda che ha numerosi partner, il tutto si tramuta in un vero incubo.
Con la diffusione del cloud e la tendenza a condividere una sempre maggiore quantità di dati con le aziende con cui si collabora, il concetto di perimetro si è pressoché dissolto e la violazione dei sistemi di un partner si trasforma, di conseguenza, in una vulnerabilità dalle conseguenze potenzialmente devastanti.
A peggiorare la situazione c’è il fatto che le contromisure disponibili sono davvero poche. Scartata l’idea di creare un sistema di sicurezza informatica condiviso con tutti i soggetti con cui si collabora, l’unico argine aa un attacco portato con questa strategia è quella di “blindare” il più possibile le aree condivise, introducendo strumenti di verifica dell’identità e sistemi di autenticazione a due fattori che rendano più difficile l’accesso anche in caso di un incidente di sicurezza.
L’esperienza, però, insegna che tutto questo può non essere sufficiente e la (sana) paranoia rimane ben presente in un angolo del cervello. Anche perché non è necessario che il rapporto di collaborazione preveda una condivisione fisica (o virtuale) di infrastrutture.
La forza di un sistema dipende dalla forza dell’anello più debole della catena. E può essere in un’altra azienda…
Pensiamo per esempio al caso in cui i cyber-criminali riescano a violare un account email di un partner e lo utilizzino per portare un attacco di phishing.
La crescente attenzione a questa problematica sta portando molte aziende a predisporre sistemi di valutazione dei livelli di sicurezza dei partner (almeno negli USA, dove è procedura comune) che però hanno tutti i limiti legati alle procedure che vengono utilizzate per portarle a compimento.
Il classico sistema di richiesta di documentazione e risposta, infatti, ha un difetto che nel settore della sicurezza può pesare parecchio: è terribilmente lento e rischia di lasciare dei “buchi” estremamente pericolosi.
Una possibile soluzione arriva da un settore che potremmo definire “collaterale” alla sicurezza in senso stretto: le piattaforme integrate di servizi IT che molte aziende cominciano a usare per gestire aspetti come questo.
Nel corso di Knowledge18, la conferenza di ServiceNow in svolgimento in questi giorni a Las Vegas, abbiamo avuto l’occasione di partecipare a una sessione pratica dedicata proprio all’utilizzo di questi strumenti.
Il sistema (chiamato Vendor Risk Management) è piuttosto sofisticato e prevede un sistema di valutazione basato su questionari che permettono di individuare gli eventuali punti deboli nelle procedure e policy del partner.
Tutto avviene attraverso un portale dedicato che permette ai partner e collaboratori di ricevere e riconsegnare la documentazione richiesta (compresi i questionari) necessari per generare la valutazione di rischio.
La logica, in pratica, è quella di creare un sistema automatizzato che permette di sapere quale sia il livello di sicurezza delle altre realtà con cui si sta lavorando.
Non stiamo infatti parlando di comunicazioni via email (che rischia di trasformarsi nel classico “ping-pong” di messaggi tra uffici di due diverse aziende) ma di un processo continuo che “funziona da solo” può essere monitorato costantemente.
La forza di un sistema dipende dalla forza dell’anello più debole della catena. E può essere in un’altra azienda…
Secondo Geeta Jhamb e Scott Ferguson, che hanno illustrato il sistema nel corso della sessione pratica, è proprio questo aspetto il più importante per mantenere un buon livello di controllo sulla valutazione di rischio.
Non solo: la stessa piattaforma permette anche di eseguire controlli incrociati per verificare il rispetto delle policy interne, ma anche di inviare segnalazioni su eventuali problemi riscontrati nella valutazione e avere un feedback immediato.
La forza di un sistema dipende dalla forza dell’anello più debole della catena. E può essere in un’altra azienda…
In futuro (a settembre) il sistema utilizzerà anche il sistema del Security Score (una valutazione indipendente applicata da un provider indipendente – ndr) che potrà essere utilizzato per gestire l’invio di richieste di valutazione aggiuntive o modificare il tipo di documentazione richiesta a seconda delle necessità.
È probabile che l’implementazione di un sistema del genere non sia sufficiente a dissolvere completamente quella (sana) paranoia di cui abbiamo parlato in precedenza. In qualche modo, però, aiuta.
Condividi l'articolo
- Geeta Jhamb, Knowledge18, Marco Schiaffino, rischio, Scott Ferguson, ServiceNow, Vendor Risk Management
Electrum pro: criminali o goffi programmatori?
Scambio di informazioni tra aziende per contrastare il cyber-crimine
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova...
Ransomware: la serie
No posts found.
