La Remediation nella Sicurezza Informatica: sfide e prospettive
Veronica Leonardi (Chief Marketing Officer e Investor Relator di Cyberoo) ha preso parte al 22° Forum ICT Security con l’intervento “Oggi tutti parlano di identificazione delle minacce, ma della remediation chi se ne occupa?”, affrontando un aspetto spesso trascurato nel panorama della sicurezza informatica: la “remediation”.
Mentre l’attenzione generale tende a focalizzarsi sulla rilevazione delle minacce, la relatrice ha sottolineato l’importanza critica delle attività di risposta e mitigazione degli incidenti, evidenziando le sfide inerenti alla gestione della remediation nonché la centralità di un approccio strutturato e collaborativo.
La Filiera della Detection e della Risposta agli Incidenti di Sicurezza Informatica
L’intervento ha messo in luce quanto sia cruciale una riflessione approfondita sulla sicurezza informatica, concentrandosi sull’intero processo che include la detection e la risposta agli incidenti.
Guarda il video completo dell’intervento:
La relatrice ha ricordato come l’attuale contesto di sicurezza sia caratterizzato da una complessità crescente delle reti e degli ambienti digitali. Di conseguenza, se in passato l’impiego di soluzioni verticali – quali le protezioni endpoint o i firewall – poteva risultare sufficiente per tutelare gli asset aziendali, oggi queste misure non rappresentano più una risposta adeguata alle minacce informatiche.
Richiamando quanto già teorizzato da Sun Tzu ne L’arte della guerra, ha quindi ribadito come in ogni tempo una valida strategia difensiva debba basarsi sui medesimi princìpi: ossia conoscere sé stessi e i propri avversari, così da poter anticipare le loro mosse e individuare tempestivamente le migliori risposte.
I tre Pilastri della Cybersecurity moderna
Da tempo il settore IT soffre di una cronica carenza di personale e molte aziende italiane tendono sempre più verso l’outsourcing. In tale contesto, le organizzazioni devono poter contare su alcuni elementi fondamentali per affrontare in maniera efficace le sfide della cybersecurity.
Al riguardo la relatrice ha individuato tre pilastri imprescindibili:
- una tecnologia “agnostica” ad elevato tasso di sofisticazione, capace di raccogliere e analizzare i dati mediante intelligenza artificiale e machine learning;
- professionisti altamente specializzati in grado di comprendere le dinamiche degli attacchi e definire le necessarie azioni mitigative;
- un processo continuo e attivo 24 ore su 24, poiché il cybercrime non conosce pause.
Questi tre pilastri si traducono in tre fasi operative fondamentali: detection, analisi e remediation.
La Sfida della Remediation
Cyberoo, attraverso i propri servizi di Managed Detection and Response (MDR), gestisce oltre 700 clienti in Italia e all’estero.
Nonostante l’importante impegno profuso nella fase di detection, l’esperienza insegna che al contrario la remediation si traduce spesso in un processo caotico, nel quale è richiesto un significativo intervento umano.
Dopo aver individuato e analizzato una minaccia, infatti, per passare alla remediation sono richieste competenze specifiche interne all’organizzazione, insieme a una collaborazione sinergica con i diversi partner che gestiscono porzioni delle infrastrutture e che potrebbero risultare coinvolti nell’attacco.
L’esistenza di meccanismi di coordinamento tra tutte le parti coinvolte, disponibili 24 ore su 24, è quindi essenziale per garantire una risposta tempestiva; come ha ricordato la relatrice, “più siamo proattivi e più siamo protetti”.
Modalità di attuazione della Remediation
La seconda parte dell’intervento ha approfondito le due principali modalità di attuazione della remediation, ovvero la “catena del soccorso” e la “automatic remediation”.
L’automatic remediation è un’opzione valida per l’isolamento di server compromessi o per la blacklist di IP malevoli, ma non è applicabile in tutte le situazioni; inoltre, i rischi che comporta in termini di possibili interruzioni della continuità operativa ne scoraggiano spesso l’adozione.
La catena del soccorso implica invece un approccio collaborativo tra il Security Operations Center (SOC), il cliente e i partner coinvolti, seguendo schemi predefiniti – come il MITRE ATT&CK – all’obiettivo di mappare le operazioni necessarie, per garantire che ciascuna attività sia gestita da una figura con responsabilità ben definite e che i relativi contatti siano sempre aggiornati.
La Cybersecurity è un processo Continuo e Dinamico
Nel contesto odierno la cybersecurity non deve più essere concepita semplicemente come un prodotto o un servizio, bensì come processo dinamico e continuo: una vera e propria “filiera certificata” che includa tutte le diverse fasi, partendo dalla detection per arrivare alla remediation.
Il successo della remediation è a sua volta strettamente correlato alla capacità di sviluppare un piano ben strutturato, costantemente aggiornato e capace di adattarsi all’evoluzione delle minacce.
La relatrice ha concluso evidenziando che per affrontare le attuali sfide di sicurezza è fondamentale andare oltre la tecnologia, chiedendosi sempre chi si occuperà della remediation e in che modo tale processo verrà effettivamente implementato.
Veronica Leonardi si è laureata in Ingegneria Gestionale presso il Politecnico di Milano e ha completato i suoi studi con un Master in Marketing e Comunicazione alla SDA Bocconi.
Nel 2014 ha ricoperto il ruolo di Web Consulente Marketing in LYB e nel 2016 entra in Henkel div. Beauty Care come Marketing Specialist, dove ha curato i Piani di Lancio del i principali prodotti della divisione.
È entrata in Cyberoo nel 2018 come membro esecutivo del CDA e Chief Marketing Officer & Investor Relator, occupandosi del posizionamento di mercato, dello sviluppo del brand e del coordinamento di tutte attività di marketing e comunicazione dell’azienda.
