Quanto è pericoloso non fare una valutazione dei rischi? Ne abbiamo parlato con Palo Alto Networks

Fred Streefland, chief security officer North and Eastern Europe di Palo Alto Networks, non ha dubbi: Il rischio più grande è quello di non fare una valutazione del rischio. Abbiamo voluto approfondire il discorso insieme a Fred e a Umberto Pirovano, Manager, Systems Engineering di Palo Alto Networks.  

Risk Assesment: ne parliamo con due esperti di Palo Alto Networks

Edge9: Come dovrebbe essere fatta una risk assesment per essere efficace?

Fred Streefland: Una cybersecurity efficace richiede una strategia olistica che parte dalla valutazione del rischio, valutazione volta a identificare i gioielli della corona dell’azienda, gli asset e i dati che devono essere protetti. Potrebbe essere la proprietà intellettuale, i dettagli della carta di credito, le informazioni che identificano la persona, oppure dati medici o industriali sensibili.
Il passo successivo è quello di valutare i rischi di attacco che minacciano tali asset. Un approccio pragmatico è quello di riunire 10 - 15 dipendenti di dipartimenti diversi in una stanza e fare un brainstorm sui rischi cyber in azienda. Al tempo stesso, il personale deve stimare che probabilità ci sono che questi rischi si materializzino. A ogni rischio e alla probabilità che si verifichi si assegna un valore, poi si determina l’impatto nel caso avvenga e si assegna un altro valore. Il valore del rischio viene calcolato moltiplicando i due numeri.

Edge9: Cosa fare una volta ottenuto questo valore?

FS: Una volta calcolati i rischi sta al board decidere quali risorse dedicare per evitarli. Il vantaggio derivante dalla creazione di questi valori sta nel fatto che il consiglio di amministrazione può prendere le decisioni invece del CISO (Chief Information Security Officer, NdR). Dopotutto, la gestione del rischio è una delle sue principali responsabilità.

Facciamo l’esempio di un dipendente che lascia l’azienda: il rischio che vada via con i suoi dettagli di login è considerato abbastanza elevato, quindi si può prevedere che – prima di passare dalle risorse umane – debba andare dall’IT, chiedere che username e password vengano cancellati e farsi dare un documento che lo confermi. Anche se questa procedura aggiunge un po’ di burocrazia, aiuta a ridurre la minaccia di attacchi. 

Un’altra soluzione volta a ridurre il rischio è quella di adottare l’autenticazione a due fattori per i dati sensibili. Purtroppo, nel mondo odierno, sono ancora poche le imprese in grado di effettuare una valutazione del rischio valida. Fino ad oggi, la cybersecurity si è evoluta affrontando problemi specifici a mano a mano che si presentavano. E, negli ultimi 10 anni, questo ha fatto sì che ogni azienda abbia in media 34 prodotti di sicurezza, ognuno con il proprio silo. Per questo motivo i CISO cercano soluzioni individuali volte a sostituire i software firewall o antivirus. Ma questo non fa altro che complicare l’architettura di cybersecurity. 

Edge9: Quali soluzioni di Palo Alto Networks possono supportare il CISO e il dipartimento IT nell'effettuare una valutazione del rischio adeguata?

Umberto Pirovano: In aggiunta a soluzioni di cybersecurity in grado di proteggere in modo efficace e uniforme reti, endpoint e cloud, Palo Alto Networks fornisce strumenti per la verifica dei livelli di rischi pre e post- adozione della Security Operating Platform, tra i quali SLR, BPA e PPA.
I report SLR (Security Lifecycle Review) possono essere generati in qualsiasi momento, salvati come PDF, e utilizzati nei controlli di sicurezza per valutare l'esposizione alle minacce. Questi report forniscono una visione di alto livello delle applicazioni in uso sulla rete (incluse le applicazioni SaaS), dei siti Web a cui gli utenti accedono e dei tipi di file che condividono. Descrivono inoltre le vulnerabilità, i malware e le infezioni C2 (command-and-control) presenti nella rete e per contestualizzarli.

Il Best Practice Assessment (BPA) è un altro tool SaaS ad accesso libero per clienti e partner di Palo Alto Networks che comprende due elementi, una heatmap che misura l’adozione delle capacità di protezione di sistemi Palo Alto Networks in assoluto o in relazione al mercato verticale del cliente e un Best Practice Assessment che identifica rischi e mostra quanto si sia prossimi all’adozione di tutte le best practice. Ed infine il PPA, Prevention Posture Assessment (PPA): è un insieme di questionari che aiutano a scoprire le lacune nella prevenzione dei rischi per la sicurezza in tutte le aree dell'architettura di rete e di protezione. Il PPA non solo aiuta a identificare tutti i rischi, ma fornisce anche suggerimenti dettagliati su come prevenirli e colmare le lacune. La valutazione, guidata da un sales engineer esperto di Palo Alto Networks, aiuta a determinare le aree di maggior rischio in cui concentrare le attività di prevenzione. È possibile eseguire il PPA sui firewall e su Panorama.

Edge9: Come possono le soluzioni di Palo Alto Networks aiutare le aziende a consolidare gli strumenti di sicurezza utilizzati e cosa consiglia Palo Alto Networks per superare la frammentazione?

UP: ll modello a silo tecnologici per la soluzione di problemi puntuali nella security ha dimostrato di non essere adeguato alla prevenzione di minacce sempre più strutturate e automatizzate. La strategia di Palo Alto Networks, da sempre orientata alla prevenzione tramite la Security Operating Platform è quella di fornire soluzioni integrate out-of the box in grado di coprire in modo uniforme e automatico network security, end point, user e network behaviour analysis e cloud, in qualunque fase di adozione de cliente e con ogni tipo di modello tecnologico (IaaS, PaaS, SaaS, container, serverless, etc.). L’integrazione di queste soluzioni, l’automazione, l’utilizzo massimo di AI e ML sono aspetti fondamentali per poter affrontare i temi odierni di cybersecurity.

Edge9: Quali sono, dal punto di vista di Palo Alto Networks, i rischi principali su cui concentrare l'attenzione una volta effettuata l'attività di risk assessment?

UP: È importante ottenere il la massima visibilità delle minacce, perché non si può proteggere quello che non si vede; un approccio Zero Trust che consenta accessi contenuti alle risorse per la loro fruizione e un approccio automatizzato alle tematiche di behavior analysis e remediation automatica. Tutti gli ambienti devono essere gestiti e sanificati seguendo questi approcci, si tratti di network security, di endpoint e cloud.

Un altro aspetto fondamentale è la capacità di automatizzare quanto più possibile i processi di threat hunting, analysis e remediation: in questo aspetto l’adozione di una tecnologia SOAR (Security Orchestration, Automation and Response) come Demisto by Palo Alto Networks risulta estremamente funzionale alla riduzione dei tempi e delle persone dedicate a questo tipo di task.