Diventa un MVP della cybersecurity: NFL e CISA su come affrontare le sfide della cybersecurity

Tomás Maldonado, CISO della National Football League, e Jeff Greene, executive assistant director della divisione cybersecurity della Cybersecurity and Infrastructure Security Agency (CISA), si sono uniti al CEO di Bitwarden Michael Crandell per una conversazione informale all’Open Source Security Summit per approfondire le best practice di sicurezza, gli errori più comuni e l’ampia gamma di risorse disponibili per le organizzazioni. Hanno inoltre discusso di come persone e organizzazioni possano superare in astuzia i criminali informatici tramite aggiornamenti software frequenti, consapevolezza degli schemi di social engineering e l’uso di strumenti di sicurezza come l’autenticazione a più fattori e i password manager. 

Dopo anni trascorsi come professionista della sicurezza presso importanti società finanziarie, Maldonado ha ricoperto il ruolo di CISO in un’azienda di produzione chimica e ha maturato esperienza in aziende soggette a forte regolamentazione. Maldonado ha scherzato: “La NFL mi ha sottoposto a una combine di cybersecurity.” 

Alla CISA, Greene e il suo team sono responsabili della cybersecurity, della riduzione delle minacce informatiche e, in ultima analisi, degli attacchi informatici a livello federale, civile ed esecutivo. Sebbene ogni agenzia abbia il proprio CISO, la CISA definisce le policy e ha l’autorità di emanare direttive. Greene, che ha 15 anni di esperienza nella cybersecurity, in precedenza era avvocato. Prima di passare al suo ruolo attuale, ha ricoperto incarichi nel settore privato e presso il National Institute of Standards and Technology (NIST).

Comprendere la natura e la portata delle minacce informatiche è fondamentale nel panorama in continua evoluzione della cybersecurity. I criminali informatici perfezionano costantemente le proprie tattiche, rendendo indispensabile per i team di sicurezza restare un passo avanti. Nuove vulnerabilità e problemi ricorrenti come phishing e ransomware restano sfide significative con l’emergere di nuove tecnologie.

Le minacce informatiche assumono diverse forme, ciascuna con rischi specifici. Il malware, ad esempio, è un avversario temibile, con attacchi sempre più sofisticati e difficili da rilevare. Questa categoria include virus, worm, ransomware e cryptojacking, tutti in grado di creare gravi danni a sistemi e dati.

Gli attacchi di phishing sono un’altra minaccia persistente che prende di mira organizzazioni di ogni dimensione. Spesso consistono in email o messaggi ingannevoli che inducono i destinatari a rivelare informazioni sensibili. Formazione, consapevolezza e misure di sicurezza solide in grado di rilevare e bloccare questi tentativi sono fondamentali per contrastare il phishing.

Il ransomware, un tipo di malware che cifra i dati e richiede un pagamento per sbloccarli, è una preoccupazione significativa. Le organizzazioni devono rimanere vigili e adottare protocolli di sicurezza completi per prevenire tali attacchi e mitigarne l’impatto.

Prepararsi a questi diversi tipi di minacce informatiche è essenziale per identificare potenziali vettori di attacco e organizzare strategie di mitigazione efficaci. Comprendendo queste minacce e implementando misure di sicurezza proattive, le organizzazioni possono proteggere meglio reti, sistemi e dati sensibili dagli attacchi informatici.

Da anni, NFL e CISA si incontrano 12-18 mesi prima del Super Bowl. Con il Super Bowl 2025 previsto a New Orleans, la NFL ha fatto in modo che le aziende che offrono servizi durante il Super Bowl comprendano i servizi della CISA, come simulazioni tabletop, formazione, campagne di sensibilizzazione, scansioni delle vulnerabilità e penetration test.

NFL e CISA collaborano inoltre per identificare e mitigare minacce persistenti avanzate e attacchi informatici sofisticati e prolungati, finalizzati a sottrarre informazioni sensibili o sabotare le operazioni. Il cloud computing introduce sfide di cybersecurity specifiche, rendendo fondamentale proteggere l’infrastruttura cloud da configurazioni errate e controlli di accesso inadeguati.

Ad esempio, un negozio di ciambelle vicino al Super Bowl potrebbe sfruttare strumenti come una scansione pubblica dei siti web esposti al pubblico del negozio, per assicurarsi che non vi siano vulnerabilità sfruttabili. La CISA può anche offrire obiettivi di sicurezza di base che forniscono alle organizzazioni spunti per migliorare la propria sicurezza.

La CISA dispone di consulenti per la cybersecurity in ogni stato, che possono interagire con le aziende esposte a potenziali minacce. Anche se il tipo di minaccia che può affrontare un’azienda energetica è probabilmente più grave rispetto a quello di un negozio di ciambelle, anche quest’ultimo è verosimilmente chiamato a gestire grandi quantità di informazioni personali e può trarre vantaggio dalle scansioni delle vulnerabilità. La CISA è inoltre fortemente impegnata ad aiutare le aziende a prevenire e gestire il triage degli attacchi ransomware. Greene ha affermato: “Se riteniamo che un’azienda sia sotto attacco in questo momento o presa di mira, la contattiamo direttamente e consigliamo le misure di contrasto agli attacchi informatici su cui dovrebbe concentrarsi.”

I password manager aiutano a proteggersi dal ransomware consentendo agli utenti di generare password robuste e uniche per ogni sito che visitano. Questo riduce il rischio di riutilizzo delle password e impedisce alle persone di ripiegare su password più deboli solo perché facili da ricordare, riducendo la probabilità di furto delle credenziali.

Sfide di cybersecurity nella gestione dei dati sensibili 

Le aziende che operano come un’“organizzazione di organizzazioni” affrontano molte sfide uniche in materia di cybersecurity. La NFL supervisiona 32 club, ciascuno dei quali gestisce ulteriori linee di business proprie.

“Le pratiche, i protocolli e i programmi di sicurezza che abbiamo progettato sono allineati alle raccomandazioni del NIST in materia di cybersecurity. Naturalmente, ci assicuriamo anche di sfruttare i servizi offerti dalla CISA. I singoli club comprendono in che modo la lega può aiutarli e anche come possono beneficiare a livello locale dei servizi governativi per la cybersecurity.” - Tomás Maldonado

I singoli club collaborano spesso a stretto contatto con aziende e servizi locali e trasmettono ai fornitori della loro supply chain le best practice di sicurezza che osservano.

Prevenire gli attacchi informatici richiede un approccio completo per mitigare i rischi e proteggere i dati sensibili. Le aziende devono investire in soluzioni che proteggano i loro sistemi dalle minacce sia interne sia esterne.

I gestori di password possono aiutare gli utenti a generare e conservare password complesse in modo sicuro. Promuovere password robuste e univoche e coltivare una cultura della cybersecurity può impedire ai criminali informatici di accedere ai sistemi e fornire ai dipendenti strumenti e risorse per identificare e segnalare potenziali minacce. L’implementazione dell’autenticazione a più fattori (2FA) aggiunge un ulteriore livello di sicurezza, richiedendo agli utenti di fornire due forme di identificazione prima di accedere ai sistemi, riducendo il rischio di accessi non autorizzati anche se le password vengono compromesse. Crittografare i dati sensibili garantisce che non possano essere letti senza la chiave di decrittazione, anche se vengono intercettati. Configurare avvisi per attività sospette o dannose consente ai team di sicurezza di rispondere rapidamente a potenziali minacce. Investendo in queste soluzioni e adottando le best practice, le aziende possono rispondere efficacemente agli attacchi informatici e proteggere i propri dati sensibili da compromissioni.

“Negli anni successivi a [SolarWinds], abbiamo compiuto progressi incredibili nell’implementazione di soluzioni di endpoint detection and response in oltre 60 agenzie federali. Ora possiamo analizzare le minacce informatiche e unire i proverbiali puntini tra le varie agenzie. Siamo riusciti a usare le nostre risorse per rilevare attività dannose che erano sfuggite alle nostre tecnologie di rilevamento sugli endpoint perché, quando abbiamo messo insieme tutti gli elementi, ci siamo resi conto che qualcosa non andava. Siamo riusciti a fermare quelli che consideriamo alcuni attacchi di nuova generazione.” - Jeff Greene

Passando dalla sicurezza aziendale e dalle opportunità e sfide presenti, Crandell ha sottolineato che, nonostante le nostre sofisticate tecnologie di sicurezza, l’errore umano resta una delle principali cause di violazioni. Ha chiesto a Maldonado e Greene quali strategie e pratiche si possano adottare per incoraggiare comportamenti migliori.

“Cerco di promuovere consapevolezza e formazione nel mio team sui tipi di minacce che affrontiamo come organizzazione”, ha dichiarato Maldonado. “Mi concentro anche sulle minacce alla sicurezza che le persone possono incontrare nella vita privata. Anche se molti tendono a considerare il personale come l’anello più debole, io lo guardo nell’ottica che il nostro staff sia la nostra risorsa più grande. Se nella mia organizzazione ho 15.000 persone, potenzialmente ho 15.000 evangelist della sicurezza.”

“Se riesco a raggiungerli e a renderli più preparati in materia di cybersecurity, possono diventare buoni ‘canarini’ o evangelist per determinati controlli di sicurezza … In definitiva, le persone hanno buone intenzioni e vogliono fare la cosa giusta.” - Tomás Maldonado

Maldonado ha inoltre osservato che le persone fanno ancora molto affidamento su nomi utente e password. Ha affermato che la NFL ha cercato di passare dalle password alle passphrase, perché ritiene che questo le renda più difficili da decifrare per gli avversari e, allo stesso tempo, più facili da ricordare per le persone.

Gli utenti Bitwarden che cercano un’alternativa alle password composte da caratteri generati casualmente possono trarre vantaggio anche dalle passphrase. Le passphrase possono essere create usando il Generatore di passphrase Bitwarden o la finestra pop-up di creazione degli elementi all’interno della cassaforte.

“Se insegni alle persone a proteggere le proprie informazioni personali, che si tratti dei dati della carta di credito o del conto bancario, trasferiranno queste competenze, quasi automaticamente, nella vita professionale”, ha affermato Greene. “Ma tutto questo si concentra sul problema a breve termine, mentre esiste un problema fondamentale di più lungo periodo … Non dovremmo vivere in un ambiente in cui un errore momentaneo può portare un criminale informatico a svuotare un conto bancario, rubare segreti di sicurezza nazionale o mettere fuori uso infrastrutture critiche. Questo accade perché il software e la tecnologia su cui facciamo affidamento sono costruiti in modo non sicuro.”

“Nel breve termine, dobbiamo fare tutto ciò di cui abbiamo discusso e, nel lungo termine, dobbiamo cambiare il modo in cui questa tecnologia viene costruita. Deve essere solidissima fin dall’inizio. Abbiamo bisogno della security-by-design.” - Jeff Greene

Esempi di sicurezza fin dalla progettazione includono:

• Usare l’autenticazione a più fattori.

• Segnalare le vulnerabilità note.

• Disporre di un sistema per rilevare le vulnerabilità.

• Garantire che nessun dispositivo o sistema venga fornito con nome utente e password predefiniti.

Le organizzazioni dovrebbero modificare immediatamente nomi utente e password predefiniti con password o passphrase robuste e univoche, preferibilmente gestite e protette da un password manager con crittografia end-to-end come Bitwarden.

Greene incoraggia inoltre tutti a visitare il sito web della CISA per maggiori informazioni sull’impegno ufficiale Secure by Design.

Poiché le minacce informatiche continuano a evolversi e a diventare più sofisticate, il ruolo dell’IA e del machine learning nella cybersicurezza diventa sempre più importante. È fondamentale che le aziende adottino tecnologie in grado di rilevare le minacce informatiche e rispondere in tempo reale, riducendo significativamente il rischio di violazioni dei dati e altri attacchi informatici. Con il rilevamento delle minacce in tempo reale, gli algoritmi di IA e machine learning possono analizzare rapidamente enormi quantità di dati, identificando schemi e anomalie che potrebbero indicare una minaccia informatica. Analizzando i dati storici, l’IA può prevedere le future minacce informatiche e aiutare le organizzazioni a prepararsi a potenziali attacchi.

«Con la diffusione dell’IA, i professionisti della sicurezza devono comprendere meglio i potenziali rischi per la sicurezza posti dall’IA generativa e come possiamo implementare i principi di sicurezza fin dalla progettazione per gettare solide basi per la sicurezza dei dati», ha dichiarato Maldonado. Ritiene che i principi di sicurezza fin dalla progettazione debbano essere integrati fin dalle prime fasi, mentre i futuri sviluppatori imparano a scrivere codice. «Gli sviluppatori sono incentivati a imparare a programmare molto rapidamente, così da poter immettere un prodotto sul mercato il prima possibile», ha affermato Maldonado.

«Dobbiamo passare da una mentalità che premia le aziende che rilasciano rapidamente i prodotti a una che premia le aziende che danno priorità alla sicurezza in modo consapevole e la integrano fin dall’inizio. Le aziende possono raggiungere i propri obiettivi di mercato proteggendo al tempo stesso gli utenti dalla compromissione dei loro dati.» - Tomás Maldonado

Questo approccio proattivo consente ai team di sicurezza di restare un passo avanti rispetto ai criminali informatici e mitigare i rischi prima che si concretizzino. I sistemi basati sull’IA possono rispondere automaticamente alle minacce rilevate, neutralizzandole prima che causino danni significativi. Ciò riduce il carico sui team di sicurezza e garantisce una risposta rapida ed efficace agli attacchi informatici. Sfruttando l’IA e il machine learning, le organizzazioni possono rafforzare la propria postura di cybersicurezza e proteggere meglio i propri dati dalle minacce emergenti.

«Abbiamo tutti il potere di migliorare la sicurezza della nostra vita digitale e delle nostre aziende. Per quanto possa sembrare spaventoso, la maggior parte degli attacchi informatici non è sofisticata e la maggior parte degli aggressori è pigra. Se, come singolo individuo o piccola impresa, fai le cose semplici — installi aggiornamenti e patch, hai strumenti di sicurezza come i password manager e utilizzi l’autenticazione a più fattori — sarai avanti rispetto alla maggior parte dei criminali informatici.» - Jeff Greene

Pronto a diventare un campione della cybersicurezza con la gestione delle password? Inizia con una prova business gratuita di 7 giorni oppure registrati per un account individuale gratuito.