Maggiore visibilità sui rischi per soddisfare le esigenze di conformità dei sistemi di sicurezza

Se non riuscite a vedere rischi o vulnerabilità, non potete adottare le misure necessarie per ridurli o mitigarli e non potete dimostrare agli enti di controllo che è tutto sotto controllo. Tuttavia, la visibilità è una sfida comune tra i team addetti alla cybersecurity. 

Uno studio condotto da Forrester nel 2024 ha rilevato che più della metà (52%) delle società finanziarie è (decisamente) d'accordo sul fatto di non disporre di una piena visibilità sul proprio patrimonio IT. In caso di mancata conformità, la posta in gioco è alta per ogni settore. Il numero di organizzazioni che ha pagato più di 100.000 dollari in sanzioni normative è salito quasi al 20% tra il 2023 e il 2024.

Nel primo blog della nostra serie sulla conformità, abbiamo sostenuto l'importanza di associare l'impegno volto a raggiungere la conformità normativa ad un approccio di sicurezza multilivello. L'adozione di un approccio proattivo per colmare le lacune di visibilità può aiutarvi a soddisfare i requisiti della conformità dei sistemi di sicurezza per:

• Dimostrare i vostri controlli
• Eseguire la valutazione della gestione dei rischi
• Creare i rapporti per gli audit

In questo post, andremo ad esplorare i problemi di visibilità che le organizzazioni devono affrontare in termini di sicurezza della rete e protezione delle API, oltre a discutere dei livelli che le organizzazioni possono aggiungere per rafforzare i loro processi di conformità. In fin dei conti, eccellenti misure di sicurezza possono aiutarvi a soddisfare i requisiti normativi e, se vedete un rischio, potete mitigarlo molto meglio.

Abbiamo sentito dire dai responsabili della cybersecurity che i loro team non dispongono delle funzionalità necessarie per monitorare il traffico di rete in modo efficace e, pertanto, non riescono a vedere i fattori di rischio, ad esempio, quali risorse comunicano tra loro. Questi aspetti sono fondamentali per alcune normative, come il PCI DSS (Payment Card Industry Data Security Standard) v4.0 e il GDPR (General Data Protection Regulation). 

Entrambi questi mandati richiedono che i dati in questione siano separati dagli altri sistemi in un ambiente IT e che le operazioni effettuate vengano segnalate. La visibilità della rete è, inoltre, fondamentale per gli standard riconosciuti per i sistemi di gestione della sicurezza delle informazioni (ISMS), come l'ISO (International Organization for Standardization) IEC 27001, che richiede di separare i dati e le relative strutture di elaborazione per evitare il movimento laterale nel caso in cui un criminale acceda alla rete.

Spesso, le organizzazioni dispongono di livelli base in termini di visibilità, ad esempio, i firewall di rete tradizionali possono offrire alcune informazioni. Tuttavia, questi livelli non sono riusciti a tenere il passo con il passaggio delle aziende verso uno scenario IT complesso, che include gli ambienti cloud e i microservizi. Di conseguenza, i team addetti alla sicurezza non dispongono delle capacità per:

• Garantire la conformità ai requisiti dei vari mandati nella miriade di aree geografiche in cui un'azienda opera, vende e/o utilizza terze parti

• Ottenere una chiara visione di come le applicazioni e gli utenti finali comunicano e interagiscono con i database tramite le reti

Queste lacune nella visibilità rendono difficile mostrare agli enti di controllo come un'azienda rileva le minacce informatiche e protegge dagli attacchi che possono condurre a furti di dati, interruzione delle attività e malware. Una scarsa visibilità rende anche difficile soddisfare i requisiti tecnici, come il primo requisito del PCI DSS v4.0, in cui i firewall devono essere configurati per restringere le connessioni tra le reti affidabili e non affidabili.

Un modo per risolvere le lacune di visibilità sul traffico della rete consiste nell'aggiungere un livello di microsegmentazione definito da software per visualizzare, monitorare e identificare le comunicazioni tra le risorse presenti nella rete. Questo approccio fornisce:

• Un controllo granulare sulle interazioni di rete e aiuta le organizzazioni a capire, isolare e prevenire il traffico di rete illegittimo tra i dispositivi in uno specifico data center (ossia, il traffico est-ovest) in reti complesse che includono ambienti on-premise e cloud

• Le funzionalità necessarie per mitigare e contenere gli attacchi ransomware dividendo una rete in segmenti in cui è possibile definire i controlli di sicurezza per gli attributi di rischio di ogni segmento

• Una migliore visibilità del traffico est-ovest, che consente ai team addetti alla sicurezza di vedere meglio "chi può accedere a cosa" in termini di risorse sensibili, come, ad esempio, i dati relativi alle carte di credito dei clienti

Al momento di considerare quali livelli di microsegmentazione la vostra organizzazione può usare per migliorare la visibilità della rete, è importante cercare le funzionalità in grado di offrire informazioni cronologiche e in tempo reale per consentire di effettuare le attestazioni durante gli audit di conformità allo scopo di dimostrare che le risorse e i dati in questione non siano stati compromessi.

Sappiamo anche che alcuni team addetti alla sicurezza hanno difficoltà ad ottenere visibilità sul loro patrimonio delle API in rapida espansione. Ogni volta che un cliente, un partner o un vendor interagiscono in modo elettronico con un'organizzazione, le API trasmettono i dati "dietro le quinte" e questi dati sono, spesso, sensibili. Oggi, i criminali sanno che le API sono altamente vulnerabili (e relativamente semplici da violare) a causa di vari fattori, come gli errori di configurazione/codifica e gli scarsi controlli di autenticazione.

Molte organizzazioni riescono a vedere solo una parte del loro patrimonio IT complessivo perché la gran parte delle loro API sono nascoste e non vengono rilevate dai tradizionali strumenti di protezione delle API. Secondo il nostro studio sull'impatto della sicurezza delle API nel 2024, solo il 27% degli addetti alla sicurezza che dispongono di inventari delle API completi sa effettivamente quali delle loro API restituiscono dati sensibili, una percentuale in calo rispetto ad un preoccupante 40% registrato nel 2023.

in base al settore, osserviamo una visibilità ancora minore su quali API forniscono dati sensibili in risposta alle richieste, sia provenienti da utenti legittimi che da criminali.

• Settore sanitario: solo il 24% delle API
• Settore assicurativo: solo il 20,7% delle API
• Settore governativo/pubblico: solo il 18,5% delle API

Usiamo il settore sanitario come esempio della posta in gioco: se un criminale riesce a manipolare facilmente l'API di un provider configurata in modo errato per recuperare i dati sanitari dei pazienti, questa manipolazione può condurre ai controlli minuziosi e alle sanzioni dell'HIPAA.

In alcuni regolamenti, le API vengono citate esplicitamente. Ad esempio, il PCI DSS (Payment Card Industry Data Security Standard v4.0 offre indicazioni utili per verificare se il software di un'organizzazione utilizza o meno le funzioni di componenti esterni in modo sicuro, incluse le API che trasmettono i le informazioni relative ai pagamenti, come i dati delle carte di credito, da un'app mobile ad un sistema bancario. 

In altri casi, le API non vengono citate esplicitamente, ma i requisiti chiaramente si focalizzano sulla protezione delle tecnologie che si basano sulle API per il loro funzionamento. Prendiamo, ad esempio, il DORA (Digital Operational Resiliency Act), una normativa dell'UE concepita per aiutare le società di servizi finanziarie negli stati membri dell'UE a resistere e a riprendersi dagli attacchi informatici.

L'articolo 3 del DORA impone alle organizzazioni di utilizzare soluzioni e processi ICT (Information and Communication Technology) in grado di:

• Minimizzare i rischi per la sicurezza correlati ai dati, gli accessi non autorizzati e i difetti tecnici

• Impedire la mancata disponibilità e la perdita dei dati, oltre alle violazioni di integrità e riservatezza

• Garantire la sicurezza nel trasferimento dei dati

Una funzione principale delle API consiste nel semplificare il trasferimento dei dati in modo rapido, affidabile e sicuro. Pertanto, individuare, eseguire le valutazioni dei rischi e proteggere ogni API che viene a contatto con i dati aziendali sono operazioni fondamentali per soddisfare i requisiti del DORA. 

Questi controlli aiutano anche a migliorare la conformità al PCI DSS, al GDPR e ad una serie di mandati concepiti per garantire la resilienza informatica e la sicurezza dei dati. Se state pensando di aggiungere alcuni livelli per migliorare la vostra visibilità sulle API e sui loro rischi, ecco alcune funzionalità da cercare:

• La capacità di individuare tutte le API presenti nell'ambiente IT, gestite e non gestite, incluse le API ombra e zombie

• La capacità di valutare i fattori di rischio di tutte le API (ad es., i tipi di dati scambiati e chi o cosa può accedere a questi dati)

• La capacità di ricavare informazioni sul contesto per identificare i vari rischi, come la fuga di dati, il comportamento sospetto, i bot dannosi e gli attacchi alle API

• La capacità di documentare i flussi di dati 

• La capacità di generare rapporti sulla conformità in grado di associare il sistema di sicurezza delle API di un'azienda agli standard normativi

Per riassumere, riteniamo che garantire la conformità ai quadri normativi e ai regolamenti sulla sicurezza delle informazioni richiede un approccio multilivello che si basa sulla protezione di varie aree della superficie di attacco.

Consultate i futuri post di questa serie, in cui verranno esaminate le best practice per la sicurezza che rispettano quanto richiesto dagli odierni enti di controllo per la gestione della conformità dei sistemi di sicurezza, tra cui prevenire il movimento laterale all'interno di reti, applicazioni e API.