La difesa in profondità, o Defense in Depth, è una strategia che utilizza più misure di sicurezza per proteggere l'integrità delle informazioni. Questo approccio viene usato per gestire la protezione aziendale da tutte le possibili angolazioni, risultando anche intenzionalmente ridondante quando necessario. Se una linea di difesa è compromessa, vengono messi in atto ulteriori livelli di protezione per garantire che le minacce non sfuggano ai controlli. Questo metodo prende in considerazione le vulnerabilità per la sicurezza che inevitabilmente contraddistinguono tecnologia, personale e modalità operative all'interno di una rete.
Dal momento che le minacce informatiche continuano a evolversi e le tattiche diventano sempre più subdole e automatizzate, la difesa in profondità offre un approccio solido e completo alla sicurezza moderna per i professionisti IT.
Questo aspetto è fondamentale se si considerano i recenti dati emersi nel Verizon 2020 Data Breach Investigations Report (DBIR). Il report di quest'anno ha analizzato oltre 32.000 incidenti relativi alla sicurezza e quasi 4.000 violazioni confermate a livello mondiale. Ecco alcuni di questi allarmanti aggiornamenti:
- Incremento nelle violazioni dei dati: le violazioni dei dati sono raddoppiate rispetto al report DBIR del 2019.
- Attacchi nel cloud: gli attacchi alle applicazioni Web hanno raggiunto il 43%, un tasso raddoppiato rispetto all'anno precedente.
- Attacchi per motivi finanziari: ben l'86% delle violazioni dei dati è stato motivato da scopi finanziari (nel report DBIR precedente il tasso era del 71%.)
- Email e credenziali: il 67% degli attacchi è stato correlato a phishing, violazione delle email aziendali e furto di credenziali.
Il valore della difesa in profondità risiede nel suo approccio, che unisce strumenti di sicurezza avanzati in grado di proteggere dati critici e bloccare le minacce prima che possano raggiungere endpoint e reti. La protezione degli endpoint, inclusi firewall e antivirus, è ancora un elemento fondamentale per una sicurezza completa; tuttavia, la strategia di difesa in profondità sta prendendo sempre più piede dal momento che, da soli, questi metodi di sicurezza di rete non sono più sufficienti a proteggere la forza lavoro moderna.
I rischi per la sicurezza in questo momento sono amplificati, poiché il lavoro da casa continua a vari livelli per le aziende di tutto il mondo. Chi lavora da remoto accede ai dati e li condivide tramite app cloud e lavora all'esterno del perimetro di rete tradizionale. Tutto questo non influisce solo sul successo delle iniziative di trasformazione digitale, ma introduce anche il rischio di nuovi attacchi.
Come concorderanno i professionisti dei settori IT e sicurezza, Internet è diventato il nuovo perimetro dell'ufficio e deve essere difeso in un modo nuovo e più completo. È qui che entra in gioco il concetto di difesa in profondità, dal momento che fa un passo avanti nell'ambito della sicurezza informatica prendendo atto dei macro-controlli necessari per una protezione più completa, inclusi gli aspetti fisici, tecnici e amministrativi della rete.
Questi tre controlli costituiscono l'architettura di una strategia di difesa in profondità:
I controlli fisici sono le misure di sicurezza che proteggono i sistemi IT dai danni fisici. Esempi di controlli fisici sono la presenza di addetti alla sicurezza e porte chiuse a chiave.
I controlli tecnici sono i metodi di protezione che tengono al sicuro i sistemi di rete. Tra i controlli tecnici specifici di un'azienda rientra la protezione a livello di hardware, software e rete. Anche le iniziative per la sicurezza informatica, inclusa la sicurezza multilivello, sono riconducibili a questa categoria.
I controlli amministrativi sono i criteri e le procedure messi in atto da un'organizzazione e indirizzati al personale. Formare i dipendenti in modo da assicurarsi che etichettino le informazioni sensibili come "riservate" o conservino i file personali in cartelle appropriate è un esempio di controllo amministrativo.
Qual è la storia della difesa in profondità e da dove ha origine?
La difesa in profondità, come concetto e definizione, nasce come strategia militare basata sull'uso di barricate per rallentare l'avanzata del nemico, in modo da garantire alle truppe il tempo per monitorarne le manovre e mettere a punto una risposta. L'obiettivo di questo metodo era quello di rallentare o ritardare l'invasore invece di passare subito al contrattacco.
Prima del passaggio al lavoro da casa e prima che Internet diventasse il fulcro centrale di qualsiasi cosa, le aziende facevano affidamento solo sui data center fisici, la cui sicurezza era garantita da diversi livelli tangibili. La struttura aziendale era accessibile solo al personale dotato di badge ed era necessario disporre di un account Active Directory e di un portatile aziendale con autorizzazioni di accesso ai file. Lo scenario peggiore era quando qualcuno del reparto marketing otteneva accidentalmente l'autorizzazione per una cartella del reparto tecnico. La situazione è cambiata rapidamente in modo drastico.
Quali sono le sfide della sicurezza informatica al giorno d'oggi?
Data l'accelerazione del processo di trasformazione digitale, tutti i processi aziendali e lavorativi in genere avvengono online e nel cloud. E se i principi di una strategia di difesa in profondità restano importanti, sono necessari controlli tecnici molto più avanzati per garantire la sicurezza online delle aziende e del personale.
I provider di servizi cloud più importanti mettono in atto misure di protezione all'avanguardia e processi standardizzati, che tuttavia sono sicuri solo se utenti e dipendenti li rispettano. Spesso gli utenti sono vittime di truffe di phishing e collegamenti dannosi online, che espongono la rete a criminali informatici che vagliano Internet alla ricerca di dati personali da sottrarre. Nel cloud gli utenti non hanno bisogno di un badge o di un dispositivo aziendale specifico per accedere ai file: bastano un paio di clic per esporre la rete alle minacce in agguato nel World Wide Web
Falle comuni nelle strategie di sicurezza informatica
- Il rilevamento di virus o malware richiede troppo tempo
- Il personale può essere vittima di tattiche di phishing che espongono la rete alle minacce
- Non vengono applicate patch per le vulnerabilità note e gli aggiornamenti sono ignorati
- I criteri di protezione non vengono applicati o non sono noti a utenti e dipendenti
- Criptaggio mancante o scarsamente implementato
- Mancanza di protezione malware
- Il lavoro da casa sta introducendo nuovi rischi per i dipendenti in remoto che si connettono a reti non sicure ed espongono i dati
- Problemi di sicurezza fisica
- I partner aziendali o le supply chain non sono sempre sicure
Come funziona la difesa in profondità?
Un unico livello di sicurezza non può semplicemente essere efficace nell'attuale panorama del crimine informatico, intelligente e in rapida evoluzione. La strategia di difesa in profondità crea una rete più sicura organizzando su diversi livelli e addirittura duplicando determinati metodi di protezione per ridurre al minimo le probabilità di una violazione
Organizzando su più livelli una serie di misure di difesa differenti, come firewall, antivirus, rilevamento delle intrusioni, scansione delle porte, gateway sicuri e molto altro, le aziende sono in grado di colmare le lacune e chiudere le eventuali falle nella sicurezza che altrimenti si potrebbero presentare se la rete facesse affidamento solo su un livello di protezione. Ad esempio, se il livello di protezione di rete è compromesso da un hacker, la difesa in profondità concede ad amministratori e tecnici altro tempo per distribuire aggiornamenti e contromisure, mentre i livelli dell'antivirus e del firewall entrano in azione per bloccare ulteriori accessi non autorizzati.
In che modo la difesa in profondità si relaziona alla sicurezza multilivello?
Nell'ambito delle piccole e medie imprese (PMI), la sicurezza multilivello utilizza una combinazione di più soluzioni per la sicurezza informatica pensate espressamente per ridurre la superficie di attacco di una rete e proteggerla da tutte le possibili angolazioni.
Questo approccio è stato introdotto con la diffusione del mobile working, dei dispositivi IoT e della sempre maggiore dipendenza delle aziende da Internet in generale. I dispositivi endpoint, i servizi cloud e le applicazioni Web oggi detengono la chiave di accesso a dati che per i criminali informatici ormai hanno più valore del denaro. Ai tempi in cui i dati erano custoditi in un edificio chiuso, erano sufficienti uno o al massimo due livelli.
Oggi le superfici di attacco delle PMI sono in rapida crescita, di pari passo con l'introduzione e l'aggiunta di nuovi dispositivi volti a rendere più efficienti i processi operativi. I dati vengono raccolti e archiviati in applicazioni di terze parti o nel cloud e le vie di attacco sono fondamentalmente infinite. Un firewall da solo non è più sufficiente.
La sicurezza multilivello è una parte essenziale dell'aspetto della difesa in profondità inerente ai controlli tecnici. È focalizzata sulla sicurezza informatica e protegge completamente reti ed endpoint, mentre la difesa in profondità prende atto del fatto che la protezione totale non è realistica, ma rallentare una minaccia finché non costituisce più un pericolo è il modo più efficace per proteggere le aziende. La difesa in profondità offre un livello più elevato di protezione, dal momento che si concentra anche sui controlli amministrativi e fisici che un'organizzazione dovrebbe mettere in atto per stare al sicuro, oltre alla sicurezza informatica.
Di quali livelli di sicurezza ha bisogno una PMI?
Per determinare quali livelli sono necessari, occorre stabilire di quali dati sensibili si dispone, dove si trovano e chi può accedervi. Dispositivi, dati e utenti costituiscono spesso la chiave per valutare i rischi per la sicurezza. Dopo avere identificato i dati o i dispositivi a rischio, è più semplice decidere quali sono i livelli necessari e come si inseriscono nella strategia di protezione complessiva.
Alcuni dei prodotti e servizi di sicurezza riportati di seguito possono sembrare ripetitivi o sono effettivamente già inclusi nelle funzionalità di un altro livello di sicurezza; vengono elencati separatamente perché svolgono una funzione importante di per sé o la loro ripetizione è richiesta per una maggiore protezione.
Quali sono i livelli di sicurezza informatica consigliati per le PMI?
I prodotti e servizi per la sicurezza informatica sono considerati "di base" per una piccola o media impresa perché proteggono dalle principali minacce che potrebbero rapidamente causare a un'azienda danni alla reputazione, costi e tempi di inattività non necessari.
- Antivirus
- Gateway Web Sicuro
- Gateway Internet Sicuro
- Firewall
- Gestione patch
- Backup e Ripristino
Dal momento che i dipendenti continuano ad accedere alle reti aziendali in remoto e le aziende si espandono, adottando servizi cloud aggiuntivi e ampliando l'offerta, questi livelli di sicurezza acquisiscono un valore altrettanto importante:
- Autenticazione a due fattori
- Sistemi IDS (Intrusion Detection System) e IPS (Intrusion Prevention System)
- Criptaggio*
- Prevenzione della perdita di dati*
- Rete VPN (Virtual Private Network)
*A seconda del settore di mercato e in base ai requisiti di conformità