Perché l’interpretazione della cyber security di Microsoft ha molto senso

Le risposte di Microsoft al cyber crimine

A novembre del 2023 Microsoft ha varato la Secure Future Initiative (SFI), progetto di lungo raggio teso a rafforzare la resilienza dei servizi e dei prodotti proprietari. Un impegno costante che coinvolge più di 34mila ingegneri concentrati nel leggere, interpretare e anticipare il panorama mondiale delle minacce per proteggere gli utenti Microsoft.

Per capire meglio i perché delle decisioni di Microsoft è utile assurgere la SFI al ruolo di osservatore privilegiato attraverso il quale sono state individuate e organizzate per pericolosità le cyber minacce.

Da qui le mosse di Redmond che ha deciso di rendere più sicuro tutto il proprio ecosistema considerando sia il micro (i chip) sia il macro (il cloud).

La necessità di formazione e governance

Forte dell’esperienza acquisita sul campo, Microsoft ha avviato programmi di formazione per i dipendenti e questo dimostra che la lotta alla cyber security coinvolge l’operatore umano quanto i sistemi. Parallelamente è stato formato il Cybersecurity Governance Council che, grazie a 13 Chief information security officer, supervisiona la sicurezza interna.

Quindi, ricapitolando, la rivoluzione di Microsoft in termini di cybersecurity pone le basi sulla formazione e sulla governance.

Dagli utenti alle infrastrutture

Gli ingegneri di Redmond hanno migliorato Microsoft Entra ID e hanno lavorato per restringere le superfici di attacco eliminando i tenant non attivi.

Microsoft Entra ID è il nuovo nome di Azure Active Directory, il servizio cloud per la gestione delle identità e degli accessi (Identity and Access Management, IAM). Un tenant è un’istanza relativa a un servizio cloud, una sorta di spazio virtuale isolato al cui interno un’organizzazione conserva dati, gestisce risorse e configurazioni.

Inoltre, sempre mediante Microsoft Entra ID, anche gli agenti AI creati con Copilot Studio o Azure Foundry possono essere dotati di una propria identità digitale al pari di qualsiasi utente e, in quanto tale, godere di credenziali e permessi gestiti dal dipartimento IT. Ciò rientra nella filosofia Zero Trust della quale parleremo più avanti.

Dopo la formazione degli utenti, Microsoft tende a promuovere architetture sicure e pulite (quindi più facilmente gestibili e monitorabili).

Microsoft Security Copilot

Con Security Copilot, lanciato ad aprile del 2024, Microsoft ha fornito una soluzione di AI generativa ai professionisti della cyber security. Security Copilot, noto anche con il nome Copilot for Security, sfrutta gli oltre 78 trilioni di segnali di sicurezza elaborati da Microsoft ogni giorno per automatizzare i processi di rilevamento delle minacce e suggerire azioni congrue per la risposta agli incidenti.

L’automazione dei compiti cruciali viene gestita dai Security Copilot Agents, agenti IA deputati al miglioramento della resilienza e che, integrati in Microsoft Defender e Sentinel, aiutano anche a classificare gli incidenti e a sganciare le opportune misure e politiche di sicurezza.

Dal chip al cloud nel segno della Zero trust

L’hardware è parte integrante delle superfici di attacco, anche se le sue vulnerabilità finiscono raramente in cima alla lista dei grattacapi dei Security Operation Center (SOC). Con il processore di sicurezza Pluton (peraltro già a bordo dei nuovi Surface Copilot+ pc) e con i principi Zero Trust, Microsoft tende a blindare gli endpoint anche grazi a continui aggiornamenti dei firmware.

Un approccio end-to-end che si riverbera anche su Windows 11 Pro con funzioni di sicurezza avanzate e abilitate in modalità predefinita. A supporto della sicurezza degli utenti c’è anche Microsoft Intune, una soluzione per la gestione degli endpoint su cloud che consente alle organizzazioni di proteggere dispositivi, applicazioni e dati, offrendo anche funzioni di Mobile Device Management (MDM) e Mobile Application Management (MAM).

Windows 365 consente di accedere a un pc nel cloud sempre aggiornato, configurato e scalabile per affrontare qualsiasi carico di lavoro godendo della massima protezione. Una soluzione ad hoc anche per le imprese che sposano politiche BYOC (Bring Your Own Computer).

Intelligenza artificiale e prompt injection

L’uso delle AI nelle organizzazioni è sempre più diffuso e ne consegue che devono avere un ruolo nelle strategie e nelle tecnologie difensive. Per questo Microsoft ha creato Prompt Shield, uno scudo che intercetta e neutralizza istruzioni e comandi malevoli affinché non influenzino gli output.

A corredo, Spotlighting consente di rilevare eventuali istruzioni dannose nascoste nei dati di input, andando ad aumentare il contesto della sicurezza nell’uso delle AI.

Le tecniche di prompt injection sono particolarmente subdole e sempre più sofisticate, occorre quindi una risposta all’altezza delle minacce.

La questione delle normative

Copilot Chat, Microsoft 365 Copilot e gli agenti sono costruiti all’interno del perimetro di Microsoft 365, area nella quale sicurezza, privacy e conformità vengono applicate secondo regole stringenti.

Ogni organizzazione può gestire il ciclo di vita degli agenti e può definire chi può crearne e farne uso.

Inoltre, Microsoft Purview permette alle aziende di scoprire, classificare e tutelare i dati sensibili anche in contesti ibridi e multicloud. Grazie a funzionalità avanzate di data loss prevention, Purview supporta le organizzazioni nel soddisfare i requisiti normativi, minimizzare i rischi e mantenere il controllo sulle risorse informative, rafforzando così la sicurezza complessiva.

Microsoft diventa così un partner aziendale che fornisce anche soluzioni per la cyber security e la compliance, sfruttando i filtri automatici di Azure AI che consente di riconoscere e mascherare le informazioni sensibili.

I perché di Microsoft

Tutto quanto abbiamo elencato fino a qui cristallizza le decisioni di Microsoft. È interessante capire perché a Redmond hanno imboccato certe direzioni e non altre e, come detto, questo rimanda alle esperienze e alle osservazioni fatte per conoscere fino a fondo il panorama del cyber crimine.

Tra i dati raccolti da Microsoft – e racchiusi nei due report linkati in apertura – ne spiccano alcuni che meritano di essere messi in evidenza.

I già citati 78 trilioni di segnali di sicurezza elaborati ogni giorno consento a Microsoft di avere idee solide sulle attività di attacco e sull’evoluzione delle tecniche emergenti.

A seguire, la maggior parte degli attacchi legati all’identità è basato su password.

Gli attori statali sono diventati più aggressivi e sofisticati. La Russia ha concentrato il 68% delle proprie attività su Europa e Asia Centrale.

L’83% delle organizzazioni è oggetto di più violazioni di dati nel corso del tempo e, parallelamente, quelle che organizzano più di 15 diversi strumenti di sicurezza subiscono quasi tre volte più incidenti rispetto a quelle che ne usano meno.

I servizi di Phishing-as-a-Service (PhaaS) con capacità Adversary-in-the-Middle (altro tema su cui Microsoft ritorna con una certa regolarità) generano fino a centinaia di milioni di messaggi di phishing al mese.

Oltre il 40% del budget annuale di cybersecurity delle organizzazioni enterprise è allocato alla sicurezza dei dati. Da ciò si evince che la protezione del dato attira gran parte delle attenzioni delle imprese, tralasciando così altri aspetti legati alla cyber security.

Da qui le iniziative e le tecnologie di Microsoft che includono formazione, governance, controllo degli accessi, hardware sicuro, protezione dei dispositivi mobili e dei perimetri aziendali, anche multicloud.

Quei dati che stridono

Dalle informazioni fornite da Microsoft si legge che, nelle aziende con oltre 500 dipendenti, il 40% dei budget per la cybersecurity è stanziato in favore della protezione dei dati. Incrociando poi altri report (Amazon, Cisco, Fortinet e altri ancora) abbiamo stilato un elenco delle allocazioni dei budget, stimando un valore medio per ogni voce che – pure non avendo pretesa di essere esaustivo – rende la dimensione delle priorità così come sono intese dalle organizzazioni:

• Protezione dati (DLP, etichettatura, crittografia, ecc.): budget allocato, tra il 40% e il 45% del totale
• Identity & Access Management (IAM): budget allocato, tra il 15% e il 20% del totale
• Network security (firewall, segmentazione, eccetera.): 10–15%
• Endpoint detection and response (EDR/XDR): 10–12%
• Governance, risk e compliance (GRC): 5–10%
• Awareness e formazione utenti: < 5%.

I motivi di queste massicce differenze vengono ricostruiti dall’ingegner Paganini:

La protezione dei dati è cruciale per le imprese e questo ha un’origine chiara: “Esiste una forte correlazione logica tra budget destinati alla protezione dei dati e norme sempre più stringenti in materia cyber sicurezza. L’introduzione e il rafforzamento di normative come GDPR e NIS 2 hanno imposto obblighi chiari sulla protezione dei dati personali, sulla gestione dei rischi digitali e sulla trasparenza dei processi. Lo spettro delle sanzioni economiche che possono essere stabilite in caso di violazioni, le responsabilità degli organi di controllo, unite all’impatto reputazionale sulle imprese vittime di data breach, spingono le imprese a destinare quote consistenti del budget di cybersecurity proprio alla protezione dei dati. Possiamo asserire che la protezione dei dati è percepita come l’ambito più esposto a responsabilità legale e danni di immagine e pertanto necessita di protezione adeguata”, spiega Paganini.

A stridere è soprattutto la scarsa priorità assegnata alla formazion del personale, la cui spesa a stento raggiunge il 5% dei budget.

Sfugge il senso della protezione quasi compulsiva del dato in assenza di un’adeguata istruzione impartita a chi, in definitiva, i dati li usa, li modifica e li genera: “Investire principalmente nella protezione dei dati senza affiancare un’adeguata formazione del personale e solide pratiche di governance è un grave errore e paradossalmente espone l’azienda a maggiori rischi a causa della erronea percezione del livello di sicurezza e resilienza conseguito. Le persone restano l’anello debole della catena di sicurezza: senza un’adeguata e continua formazione, anche i sistemi più avanzati sono vulnerabili a errori umani, attacchi di social engineering o uso improprio. Inoltre, una compliance debole rende difficile tradurre i requisiti normativi in pratiche operative efficaci. L’equilibrio tra componente tecnologia, componente umana e processi è fondamentale per una corretta postura di cyber sicurezza”, conclude l’esperto.

Stando ai dati (approssimativi), le grandi imprese tendono a un comportamento diverso da quello suggerito da Microsoft che raccomanda di edificare sistemi di cybersecurity mettendo la formazione al centro.