Il report Ivanti 2025 State of Cybersecurity ha rilevato un dato tutt’altro che sorprendente: le organizzazioni segnalano un significativo divario di preparazione (ovvero la differenza tra il livello di minaccia percepito e il loro grado di preparazione) in tutti i vettori di minaccia e le vulnerabilità oggetto della nostra indagine.

Sebbene i team di sicurezza dedichino giustamente risorse alla creazione di resilienza per poter rispondere rapidamente agli attacchi e riprendersi da essi, colmare questi divari di preparazione richiede misure di cybersecurity proattiva.

Cybersecurity reattiva e proattiva: qual è la differenza?

La cybersecurity proattiva si riferisce a ciò che fai prima di un attacco informatico per migliorare la postura di sicurezza e ridurre la superficie di attacco; la cybersecurity reattiva interrompe un attacco che ha già violato i sistemi, contenendolo e riducendo al minimo i danni che potrebbe causare.

Questi due approcci non si escludono affatto a vicenda. La sicurezza proattiva riduce il rischio, ma non lo elimina. “Reattivo” può avere una connotazione leggermente negativa, ma le capacità che consentono di rispondere a un attacco, per quanto sia stata ridotta l’esposizione al rischio, sono di importanza vitale.

Esempi di misure di cybersecurity proattiva

La sicurezza proattiva è una filosofia, non un modello prestabilito. Si basa sull’idea che adottare misure per ridurre al minimo l’esposizione molto prima che un rischio si concretizzi sia il modo migliore di utilizzare tempo e risorse dedicati alla sicurezza.

Detto questo, esistono capacità specifiche che puoi sviluppare per adottare questa filosofia, tra cui, a titolo esemplificativo ma non esaustivo, scansione delle vulnerabilità, gestione della superficie di attacco, gestione delle vulnerabilità, validazione dell’esposizione, gestione delle patch, gestione della configurazione e formazione degli utenti.

Gestione della superficie di attacco

La gestione della superficie di attacco mira a comprendere tutti i punti di accesso di un’organizzazione, digitali, fisici o umani, che possono essere utilizzati dagli hacker per accedere al suo ambiente IT.

La superficie di attacco include i dispositivi (noti e sconosciuti), ma l’ambiente va oltre i dispositivi. Sono incluse anche applicazioni, software, account sui social media e altri spazi o asset digitali utilizzati da persone associate all’azienda.

Correlato:Checklist della superficie di attacco

Scansione delle vulnerabilità

La scansione delle vulnerabilità è esattamente ciò che suggerisce il nome: scanner specializzati valutano reti e asset IT alla ricerca di vulnerabilità che possono essere sfruttate, quindi le segnalano ai team di sicurezza affinché le affrontino. Poiché esistono migliaia di vulnerabilità note (e ogni giorno ne emergono di nuove), la scansione delle vulnerabilità è più efficace quando è automatizzata. 

Le scansioni esterne delle vulnerabilità esaminano una rete dall’esterno verso l’interno, cercando di individuare i modi in cui un hacker potrebbe accedere alla rete. Le scansioni interne assumono il punto di vista di chi ha già violato la rete e delle vulnerabilità che potrebbe sfruttare dall’interno. 

Gestione delle vulnerabilità

La scansione delle vulnerabilità e la gestione della superficie di attacco alimentano il ciclo più lungo e completo della gestione delle vulnerabilità. Si tratta di un processo continuo in cui le vulnerabilità vengono identificate e classificate in base a un determinato livello di priorità, prima che i team stabiliscano il modo migliore per risolverle. 

Un approccio predefinito alla gestione delle vulnerabilità consiste nel dare priorità in base alla gravità, ma questo approccio può enfatizzare eccessivamente alcune vulnerabilità trascurandone altre. Integrare il contesto della minaccia – questa vulnerabilità viene sfruttata attivamente? – e il contesto del rischio – quanto sarebbe dannoso lo sfruttamento di questa vulnerabilità per la mia organizzazione? – permette di ottenere un quadro più chiaro della reale priorità.

Validazione dell’esposizione 

La validazione dell’esposizione verifica la fattibilità di un attacco e la solidità delle contromisure eseguendo scenari di attacco. Questo approccio è chiamato anche offensive security. I due metodi più comuni sono il penetration testing e il red teaming.

  • Penetration testing (o pen testing) è l’attività in cui hacker etici tentano di violare il tuo sistema, quindi forniscono un feedback su ciò che ha funzionato bene e sulle aree che richiedono ulteriori miglioramenti. Il pen testing può essere eseguito anche con strumenti automatizzati.
  • Red teaming, analogamente al pen testing, prevede che hacker etici conducano un attacco informatico pianificato con l’obiettivo di scoprire dove le difese possono essere migliorate. Il red teaming è una simulazione basata su scenari, mentre il pen testing consiste nel cercare il maggior numero possibile di vulnerabilità diverse.

Anche l’adversarial exposure validation, o AEV, si sta affermando come pratica: utilizza software per eseguire simulazioni di attacco in modo continuo e autonomo, al fine di dimostrare l’esistenza di esposizioni.

Gestione delle patch

Una volta che le vulnerabilità sono state identificate tramite la gestione della superficie di attacco e la scansione delle vulnerabilità, prioritizzate tramite la gestione delle vulnerabilità e quindi validate tramite la validazione dell’esposizione, la domanda diventa: come devo reagire?La gestione delle patch è un modo per rispondere alle vulnerabilità e chiuderle, in particolare alle vulnerabilità software per le quali esistono patch. 

La gestione delle patch è particolarmente adatta all’automazione, soprattutto se abbinata alla gestione delle vulnerabilità basata sul rischio. I workflow che passano automaticamente dal rilevamento al processo decisionale fino alla distribuzione riducono il tempo medio di remediation e minimizzano gli errori umani. 

La gestione delle patch presenta però un importante punto cieco: lo shadow IT. Senza un inventario accurato del software utilizzato dai dipendenti, è impossibile applicare la conformità delle patch. Ecco perché la componente di discovery della gestione della superficie di attacco è così fondamentale.

Gestione della configurazione

La gestione della configurazione, come la gestione delle patch, è un modo per rispondere alle vulnerabilità identificate; in questo caso, vulnerabilità che riguardano i dispositivi stessi anziché il software eseguito su di essi. La configurazione si riferisce alle misure di cybersecurity proattiva impostate a livello di dispositivo, come l’applicazione dell’autenticazione a più fattori o della crittografia. Sebbene queste misure possano essere applicate singolarmente dall’utente finale, vengono applicate in modo più efficace utilizzando un software di gestione degli endpoint

Ancora una volta, come per la gestione delle patch, lo shadow IT complica il quadro. I dispositivi sconosciuti e non gestiti potrebbero non essere conformi agli standard di sicurezza della tua organizzazione: non c’è modo di saperlo. E, proprio come per la gestione delle patch, la componente di discovery della gestione della superficie di attacco è fondamentale. Identificando dispositivi precedentemente sconosciuti e portandoli sotto gestione, i team IT possono applicare la conformità. 

Formazione degli utenti

La superficie di attacco non è solo digitale: esiste anche una componente umana. Il phishing e altre forme di social engineering sfruttano le vulnerabilità umane, spesso concatenandole con esposizioni digitali (vulnerabilità software, configurazioni non corrette, ecc.) per lanciare un attacco. Formare i dipendenti aiuta a ridurre al minimo le esposizioni, proprio come avviene con la remediation delle vulnerabilità digitali.

Ottenere supporto per le misure di cybersecurity proattiva

Ottenere supporto per le misure di cybersecurity proattiva è, per certi versi, più difficile rispetto alle misure di cybersecurity reattiva. La minaccia non si è ancora concretizzata, quindi per gli stakeholder non appartenenti alla sicurezza è più difficile comprendere i compromessi necessari, come interruzioni temporanee delle attività aziendali o altri elementi che ostacolano la produttività, almeno nel breve termine. La formazione degli utenti sottrae tempo ad agende già fitte. La distribuzione delle patch può portare le applicazioni offline o richiedere attività di troubleshooting.

Per ottenere e mantenere il supporto a questo tipo di misure, i team di sicurezza dovrebbero prestare attenzione a ridurre al minimo le interruzioni che la remediation può causare (ad esempio, utilizzando la distribuzione ad anelli, che implementa gli aggiornamenti software in “anelli” progressivamente più ampi, identificando i problemi ed eseguendo il troubleshooting in ogni fase prima di estenderli all’intera base utenti).

Anche un esercizio di valutazione del rischio può essere utile per rendere concreta, agli occhi degli altri stakeholder, una minaccia che non si è ancora materializzata. Una misura oggettiva della tua esposizione e del costo dei rischi associati, in particolare se sei in grado di quantificare tale esposizione in termini finanziari, può fare la differenza tra un’accettazione riluttante e un autentico supporto alla sicurezza proattiva.

Correlato:Valutare il rischio informatico in modo oggettivo: una guida alle valutazioni del rischio basate sui dati

Perché la cybersecurity proattiva è importante

Una strategia di cybersecurity proattiva non è in contrapposizione con la sicurezza reattiva: un’organizzazione sana dispone di capacità solide per affrontare il rischio prima e dopo che si concretizzi. Ma le azioni preventive migliorano la postura di rischio e rendono meno frequenti le occasioni in cui un rischio si concretizza. Misure di cybersecurity proattiva come la gestione della superficie di attacco, l’applicazione delle patch, configurazioni efficaci e la consapevolezza degli utenti sono investimenti chiari nella sicurezza a lungo termine della tua organizzazione.