EDR
Quando le minacce informatiche riguardano solo alcuni reparti aziendali, le misure di prevenzione e il buonsenso possono fare da protezione. Ma al giorno d’oggi, la trasformazione digitale ha modificato radicalmente tutte le procedure aziendali, oltre al fatto che i processi informatici sono utilizzati praticamente ovunque. Di conseguenza, sempre più sistemi sono collegati alle reti e, ovviamente, anche più dipendenti. Per non parlare di nuovi servizi, tecnologie e tool digitali che si aggiungono ogni volta. Tutto ciò richiede un approccio nuovo affinché la sicurezza informatica sia sempre garantita.
Una soluzione che sia semplicemente proattiva non è più sufficiente. Ciò non vuol dire che i meccanismi di proattività siano inutili, anzi, aiutano a contrastare la maggior parte delle minacce più importanti. Tuttavia, più un’azienda abbraccia settori differenti, più diventa appetibile per i cybercriminali, che hanno le risorse necessarie per preparare attacchi complessi e avanzati. E le tecniche di difesa standard per attacchi di questo tipo non bastano più.
Perché gli attacchi mirati sono complessi?
La differenza più importante tra gli attacchi mirati e gli attacchi “standard” risiede nella complessità delle tecniche impiegate. Prima di fare la propria mossa, i cybercriminali svolgono un intenso lavoro di preparazione, raccogliendo informazioni e analizzando le infrastrutture aziendali. Sono molto pazienti e spesso ci vogliono mesi prima che siano in grado di impiantare qualcosa nella rete aziendale e quel “qualcosa” potrebbe non essere sempre considerato univocamente come una minaccia (potrebbe non essere necessariamente un malware, insomma). Potrebbe trattarsi di un modulo di comunicazione nascosto mediante protocolli comuni e in questo casi il sistema di monitoraggio lo “scambia” per una applicazione utente legittima.
Questi moduli si attivano all’ultimo momento, quando le minacce devono penetrare nella rete, effettuare il proprio compito dannoso o sabotare un’operazione. Se si possiede una soluzione di protezione affidabile, si potrebbe contrastare l’anomalia ed evitare che l’incidente avvenga. Ma anche in questo caso, si tratta solo della punta dell’iceberg. Il lavoro principale dei cybercriminali rimane invisibile (soprattutto se hanno riflettuto in anticipo su come evitare gli ostacoli). Si tratta, quindi, di un approccio non funzionale.
Come agiscono i cybercriminali
Ci si potrebbe domandare: quale è il beneficio pratico che si ottiene nel sapere in che modo i cybercriminali siano riusciti a entrare nelle infrastrutture aziendali (soprattutto se l’incidente non è avvenuto grazie ai metodi di prevenzione)? Ebbene, qualche lato positivo c’è, per questo vanno fatte sempre le opportune e approfondite indagini.
Innanzitutto, conoscere le cause del problema vi permetterà di non cadere due volte nella stessa trappola. Se lasciate tutto così com’è, affidandovi unicamente alle misure di protezione in atto, gli hacker riutilizzeranno sicuramente lo stesso scenario di attacco, forse anche perfezionandolo, visto che le loro tecniche sono in costante evoluzione.
In secondo luogo, sapere in che modo I cybercriminali si sono insinuati nella vostra rete aziendale vi consentirà di reagire prontamente e nella maniera più adeguata. La falla potrebbe non essere dovuta a vulnerabilità hardware o software, gli hacker potrebbero essersi intrufolati grazie all’aiuto (inconsapevole o no) di un dipendente. O la minaccia in questione proviene dalle reti di subappaltatori o fornitori di servizi che hanno accesso ai vostri sistemi per motivi di lavoro.
Per non parlare del fatto che gli hacker potrebbero disporre di altri impianti nella vostra rete e che quindi l’incidente fa parte di un piano più grande o essere solo una manovra di distrazione.
Cosa si può fare
Per proteggere le vostre infrastrutture da attacchi mirati e avanzati, è necessario rafforzare i vostri meccanismi di sicurezza grazie a un sistema che vi permetta di dare uno sguardo anche al passato. I cybercriminali possono cancellare informazioni e nascondere le proprie tracce ma grazie a un sistema EDR (Endpoint Detection and Response), si potrà risalire facilmente alle cause delll’incidente. E il tutto senza interrompere alcuna operazione o processo aziendale.
Un’opzione interessante è sicuramente la nostra piattaforma Threat Management and Defense, una versione che unisce il nostro collaudato Kaspersky Anti Targeted Attack alla nostra nuova soluzione Kaspersky Endpoint Detection and Response, che offre servizi di primo livello. Un approccio strategico per la gestione delle minacce informatiche.
Kaspersky Anti Targeted Attack, che utilizza tecnologie dall’efficacia provata e che si basano sull’apprendimento automatico, aiuta a individuare eventuali anomalie nel traffico di rete, isola i processi sospetti e va alla ricerca di correlazioni tra gli eventi. Kaspersky Endpoint Detection and Response, invece, raggruppa e visualizza i dati raccolti, compito importante quando si fanno indagini su un incidente. Grazie ai suoi servizi otterrete aiuto in qualsiasi momento, anche in caso di incidenti particolarmente difficili, sarete aiutati nell formazione del vostro staff del centro di monitoraggio, e potrete anche sensibilizzare tutti i vostri dipendenti sui problemi riguardanti la sicurezza informatica.
Per maggiori informazioni sulla nostra piattaforma Threat Management and Defense, potete visitare il sito Internet dedicato.
