Il ransomware si sta spingendo oltre la semplice crittografia, muovendosi verso una manipolazione più strategica dei dati.

I cyber aggressori sanno che le organizzazioni hanno spesso in essere solide strategie di backup, quindi stanno passando a nuove tattiche come la corruzione dei dati, i leak selettivi e la manomissione di sistemi sensibili.

Ciò crea una nuova dimensione del danno: l’integrità dei dati viene compromessa, il che condiziona le operazioni ben oltre il ripristino dei sistemi.

Le organizzazioni possono aumentare la resilienza utilizzando backup immutabili, applicando una segmentazione rigorosa e monitorando costantemente eventuali segni di manipolazione dei dati.

Un altro elemento fondamentale consiste nello svolgimento regolare di esercitazioni e simulazioni di attacco che preparino i team dei SOC a scenari di estorsione multilivello.

Non bisogna dimenticare anche di dotarsi di un piano ben sviluppato di risposta
agli incidenti e di un supporto di IR esterno che garantisca alle aziende di poter reagire rapidamente quando gli aggressori prendono di mira l’integrità dei dati e non solamente la loro disponibilità.

Inoltre, è necessario garantire che tutti i dati e le risorse siano monitorati 24/7.

L’errore umano rimarrà una delle principali vulnerabilità

Che si tratti di configurazioni errate, password deboli o di un dipendente che cade nella rete di un’e-mail di phishing cliccando su un link convincente, questi errori continueranno ad aprire le porte agli aggressori.

Ciò tuttavia non è dovuto a una mancanza di impegno, ma al fatto che gli esseri umani sono fallibili e gli aggressori stanno deliberatamente progettando delle tattiche che sfruttano proprio il naturale comportamento umano.

La soluzione è costruire delle barriere protettive attorno agli utenti, tra cui configurazioni predefinite sicure, l’uso obbligatorio di gestori password, l’implementazione di sistemi di autenticazione resistenti al phishing e l’automazione dei controlli di configurazioni errate per evitare che gli utenti creino facilmente situazioni ad alto rischio.

Più riduciamo la dipendenza dal giudizio umano, per sua natura perfettibile, più l’ambiente diventa sicuro. A tal proposito, è cruciale anche informare i dipendenti sulle ultime tecniche di ingegneria sociale e sugli attacchi deepfake.

Una cultura della sicurezza più solida inizia da una formazione frequente e mirata e da una leadership in grado di dare l’esempio dei comportamenti corretti da adottare.

Invece di una formazione annuale, le organizzazioni dovrebbero offrire micro-lezioni in tempo reale attivabili a partire da azioni rischiose.

Condividere le lezioni apprese internamente e parlare apertamente degli incidenti di sicurezza aiuta a normalizzare la vigilanza e incoraggia i dipendenti a essere più attenti alla sicurezza nel quotidiano.

Deepfake e identità sintetiche nell’ingegneria sociale

I deepfake amplificheranno in modo significativo il tasso di successo degli attacchi di ingegneria sociale, poiché vanno a inficiare i tradizionali segnali di fiducia.

Infatti, quando un hacker è in grado di imitare in modo convincente la voce o il volto di un dirigente, i dipendenti sono molto più propensi a seguire le istruzioni senza fare domande.

Ciò aumenta il rischio complessivo di raggiro e rende la verifica molto più difficile per l’utente medio.

Per difendersi da questo tipo di attacchi, le aziende devono adottare metodi di verifica multipli anziché affidarsi a un unico canale di comunicazione: la sola voce o il solo video non sono più sufficienti.

Le richieste ad alto rischio dovrebbero richiedere procedure di richiamo,
approvazioni interne o verifiche basate su MFA. Inoltre, le organizzazioni dovrebbero investire in strumenti di rilevamento dei deepfake e formare i dipendenti utilizzando esempi reali, in modo che comprendano quanto possano essere convincenti questi attacchi.

Divario di competenze in crescita nell’AI e nel quantum computing

Il divario di competenze nel campo della sicurezza informatica è destinato ad
aumentare, soprattutto nei settori dell’AI e del quantum computing.

L’intelligenza artificiale e i flussi di lavoro agentici automatizzeranno gran parte delle attività SOC, riducendo la dipendenza dai ruoli entry-level.

Tuttavia, il divario di competenze aumenterà per le figure specializzate: nei prossimi anni, coloro che sono in grado di costruire, ottimizzare e gestire i sistemi di sicurezza basati sull’intelligenza artificiale e, più in generale, coloro che ricoprono posizioni altamente qualificate, saranno ancora più richiesti.

Per attrarre i migliori talenti, le aziende devono offrire percorsi di crescita chiari, modelli di lavoro flessibili o da remoto e l’opportunità di lavorare su progetti di sicurezza e AI all’avanguardia.

Infatti, la fidelizzazione migliora quando i dipendenti hanno accesso a formazione continua, certificazioni e riconoscimento per il loro contributo.

Le organizzazioni dovrebbero prendere in considerazione l’aggiornamento professionale dei talenti interni, la collaborazione con le università per la ricerca in ambito AI e cybersecurity, e l’espansione delle assunzioni a livello globale per raggiungere i mercati dei talenti emergenti.

Anche l’automazione stessa è parte della soluzione: l’uso dell’AI per gestire le attività ripetitive del SOC riduce la pressione sui team e aiuta a colmare il divario operativo, mentre i ruoli strategici continuano a crescere.

Cybersecurity per mitigare i rischi e sostenere l’innovazione

Si tratta di un cambiamento essenziale: i team di sicurezza non possono più operare esclusivamente come semplici addetti al controllo dei potenziali rischi. Devono invece diventare partner che consentono un’innovazione sicura.

Ciò risulta particolarmente rilevante ora che l’intelligenza artificiale e l’automazione vengono integrate in ogni aspetto dell’attività aziendale, richiedendo che la sicurezza favorisca e non rallenti l’adozione di nuove tecnologie e l’innovazione.

Integrare la sicurezza significa implementarla sin dagli sviluppi iniziali attraverso la modellazione delle minacce e la scansione del codice e dell’infrastruttura.

I responsabili della sicurezza all’interno dei team di ingegneria contribuiscono a mantenere questo slancio e garantiscono il rispetto delle best practice.

Allineare gli obiettivi di sicurezza ai risultati aziendali assicura che la sicurezza supporti la velocità delle operazioni e la fiducia dei clienti, anziché diventare una fonte di rallentamenti.

Attacchi alle supply chain: nel mirino fornitori e service provider

Gli attacchi alle supply chain continueranno ad aumentare, prendendo di mira
fornitori e service provider.

Gli attacchi alle catene di fornitura continueranno ad aumentare perché compromettere un singolo fornitore può consentire l’accesso a centinaia o migliaia di clienti a valle. Ciò rende gli MSP, le piattaforme SaaS e i meccanismi di aggiornamento software obiettivi estremamente appetibili.

Un singolo anello debole può causare un impatto diffuso, quindi le organizzazioni devono considerare il rischio di terze parti come un tassello fondamentale del proprio programma di sicurezza.

Inoltre, le aziende devono monitorare costantemente il livello di sicurezza dei propri fornitori, applicare i requisiti contrattuali relativi alla notifica delle violazioni e all’uso dell’autenticazione multifattoriale, e assicurarsi che le integrazioni funzionino secondo i principi del privilegio minimo.

Infatti, la possibilità di revocare rapidamente l’accesso ai fornitori può ridurre drasticamente l’impatto di un attacco alla supply chain.

Pressione normativa in aumento: scadenze più rigorose

La pressione normativa aumenterà, con scadenze più rigorose per la comunicazione delle violazioni e obblighi di resilienza.

Con le nuove normative che riducono i tempi di divulgazione delle violazioni a sole 72 ore, le organizzazioni devono ripensare il modo in cui rilevano, confermano e comunicano gli incidenti.

La resilienza informatica è ormai una responsabilità dei consigli di amministrazione, mentre ai vertici aziendali è richiesto di dimostrare una governance più rigorosa e maggiore visibilità sulla propria posizione di rischio.

Per garantire conformità, le aziende hanno bisogno di flussi di lavoro ben definiti per la segnalazione degli incidenti, solide pratiche di registrazione e monitoraggio e una documentazione completa in linea con i framework comuni. Valutazioni di conformità periodiche aiutano a garantire che i controlli siano al passo con l’evoluzione dei requisiti normativi.

Non bisogna dimenticare che una comunicazione trasparente e tempestiva, interna ed esterna, è fondamentale per ridurre al minimo l’impatto sulla reputazione quando si verifica un incidente.