Una piramide per valutare e gestire il cyber risk, ecco i vantaggi

tratto da Agenda Digitale

Una struttura a piramide per classificare i sistemi Ict di una organizzazione e scegliere lo strumento migliore per minimizzare i rischi.

Partendo dalla valutazione del rischio che un sistema genera, la soluzione utilizza una classificazione dei sistemi visualizzata, appunto, come una piramide con più livelli che prende in considerazione tre aspetti:

  • quello puramente tecnico del tipo di attacco e dell’attaccante,
  • quello puramente economico sui costi e benefici economici dell’organizzazione proprietaria,
  • i possibili costi sociali.

Sistemi ICT ai livelli più alti richiedono una valutazione ed una gestione più sofisticata per meglio resistere ai cyberattacchi che li coinvolgono [1, 2]. L’adozione di una piramide evidenzia che il numero di sistemi che richiedono soluzioni più sofisticate diminuisce all’aumentare del livello della piramide. Tuttavia, la crescente diffusione di sistemi informatici nell’industria 4.0 sta erodendo la base della piramide.

Individuare i possibili attaccanti e le loro strategie è fondamentale per valutare e gestire il rischio. In particolare, la valutazione deve scoprire non solo le vulnerabilità del sistema ma soprattutto i percorsi degli attaccanti. Un percorso è una sequenza di attacchi che permette ad un attaccante di ampliare i propri privilegi e controllare un numero crescente di risorse fino a quelle che sono il suo obiettivo. La gestione del rischio deve individuare un insieme di contromisure che modificano il sistema, in modo permanente o temporaneo, e bloccano uno o più percorsi eliminando le vulnerabilità che abilitano gli attacchi nei percorsi. Bloccare percorsi diversi con le stesse contromisure è una strategia fondamentale per minimizzare i costi della sicurezza.

La necessità di predire e bloccare i percorsi di attacco rende la valutazione e gestione del rischio un processo diverso dalle soluzioni attualmente più diffuse e che coprono solo alcuni passi dell’intero processo. Questo processo è diverso dall’analisi delle vulnerabilità, che deve scoprire le vulnerabilità di un sistema ma non i percorsi che esse permettono [3]. È anche diverso da un penetration test che non può garantire la scoperta di tutti i percorsi. Esistono attualmente sul mercato numerosi strumenti che supportano alcuni passi del processo. Un numero ridotto di strumenti più innovativi permette l’automazione completa della scoperta dei percorsi e la scelta delle contromisure da adottare.

leggi l’articolo completo