Quando parliamo di strategie per la sicurezza IT, le aziende sono interessate alla risposta a una sola domanda: quali misure sono strettamente necessarie? Per molto tempo si \u00e8 ritenuto che bastasse semplicemente una strategia passiva, che consisteva nel proteggere il perimetro della rete e le postazioni di lavoro. Tuttavia, al giorno d\u2019oggi le aziende sono vittime di attacchi mirati e avanzati, e si rendono necessari nuovi metodi di protezione quali gli strumenti EDR (Endpoint Detection and Response).<\/p>\n
Una strategia tradizionale funziona con le minacce pi\u00f9 diffuse: mail contenenti Trojan, phishing, vulnerabilit\u00e0 conosciute e cos\u00ec via. In altre parole, tali strategie sono efficaci quando i cybercriminali puntano a un vasto numero di persone, sperando che abbocchino. Si tratta di un business illegale ma che si attiene comunque alle regole del business, ovvero trovare un equilibro tra la complessit\u00e0 dell\u2019attacco (e i relativi costi) e i profitti attesi.<\/p>\n
Tuttavia, se la vostra azienda inizia a diventare un obiettivo interessante (e se si tratta di una grande compagnia, \u00e8 pi\u00f9 probabile che lo sia), vuol dire che potrebbe essere un obiettivo specifico. I cybercriminali potrebbero essere interessati a vari aspetti della vostra azienda, ad esempio transazioni economiche, segreti industriali o dati dei consumatori; oppure potrebbero sabotare la vostra attivit\u00e0 affinch\u00e9 i concorrenti possano trarne vantaggio. Pensate un momento, quindi, se attaccare un\u2019azienda del vostro settore possa essere d\u2019interesse per qualcuno.<\/p>\n
Per questo motivo i cybercriminali studiano ed elaborano attacchi mirati complessi. Indagano sui software impiegati dalla vostra azienda, vanno alla ricerca di vulnerabilit\u00e0 ancora sconosciute al mercato e sviluppano exploit su misura. Si infiltrano nelle reti di partner e fornitori, corrompono ex dipendenti o approfittano di dipendenti scontenti per organizzare un attacco dall\u2019interno. Nell\u2019ultimo caso, i criminali possono anche fare a meno dei malware, affidandosi completamente a strumenti legittimi che una soluzione di sicurezza non considera come una minaccia.<\/p>\n
\u00c8 possibile che i sistemi di sicurezza passivi riescano a individuare un attacco mirato o una qualche attivit\u00e0 relazionata. In ogni caso, anche se ci\u00f2 dovesse accadere, il sistema pu\u00f2 segnalare che \u00e8 accaduto qualcosa ma non vi aiuter\u00e0 a determinare in poco tempo cosa sia successo esattamente, quali informazioni sono state coinvolte nell\u2019incidente e cosa fare affinch\u00e9 non accada di nuovo.<\/p>\n
Se la vostra azienda impiega solo strumenti tradizionali per la sicurezza degli endpoint, coloro che si occupando della sicurezza IT nella vostra azienda non saranno sempre in grado di reagire in tempo agli attacchi. Finch\u00e9 non avviene un incidente hanno le mani legate e possono solo avviare un\u2019indagine. Inoltre, potrebbero perdersi un incidente di grande portata, impegnati come sono a gestire centinaia di piccoli incidenti come attivit\u00e0 all\u2019ordine del giorno.<\/p>\n
Gli analisti di solito ottengono i dati molto tempo pi\u00f9 tardi e dopo un\u2019attenta indagine, che di solito implica un lavoro manuale accurato, per poi inviare ci\u00f2 che si \u00e8 scoperto agli esperti di Response and Recovery<\/em>. Anche in grandi aziende con importanti centri di response, i tre ruoli di specialista della sicurezza, analista ed esperto di response sono spesso racchiusi in un\u2019unica persona.<\/p>\n In base a quanto emerso dalle nostre statistiche, intercorrono in media 214 giorni tra la penetrazione iniziale del sistema e il momento in cui una grande azienda individua la minaccia complessa. Nel migliore dei casi, gli specialisti in sicurezza IT riescono a trovare qualche traccia dell\u2019attacco verso la sua conclusione ma spesso non rimane altro da fare che calcolare a quanto ammontano i danni e cercare di ripristinare i sistemi.<\/p>\n \u00c8 quindi necessario adottare un nuovo approccio che si adatti costantemente, in modo da proteggere la propriet\u00e0 intellettuale delle aziende, la loro reputazione e altri aspetti importanti. Le strategie di protezione del perimetro della rete e delle postazioni di lavoro devono essere riviste e rinforzate, impiegando strumenti per una ricerca attiva e unificata, in modo da rispondere adeguatamente alle minacce alla sicurezza IT.<\/p>\n La strategia True Cybersecurity implica l\u2019uso di un tipo di ricerca attiva, conosciuta como threat hunting<\/em>. Si tratta di un compito piuttosto difficile ma che pu\u00f2 essere facilitato di molto dall\u2019uso di strumenti specifici. L\u2019EDR o Endpoint Detection and Response<\/em>, \u00e8 uno di questi strumenti. Consente allo staff che si dedica alla sicurezza IT di identificare velocemente le minacce nelle postazioni di lavoro utilizzando un\u2019interfaccia unica, per poi raccogliere le informazioni automaticamente e neutralizzare l\u2019attacco. I sistemi\u00a0 EDR impiegano le informazioni di threat intelligence<\/em>, che molte aziende acquisiscono da diverse fonti affinch\u00e9 si possano controllare i processi all\u2019interno delle reti aziendali.<\/p>\n In teoria la threat hunting<\/em> potrebbe essere effettuata senza EDR; tuttavia, un\u2019operazione manuale di questo tipo \u00e8 molto pi\u00f9 cara e meno efficace. Anzi, in certi casi potrebbe avere effetti negativi sul business in quanto gli analisti devono interferire in operazioni ad ampio spettro nelle postazioni di lavoro.<\/p>\n In sostanta, i sistemi EDR conferiscono agli esperti la capacit\u00e0 di raccogliere velocemente tutte le informazioni di cui hanno bisogno, di analizzarle (manualmente o con sistemi automatizzati) e prendere le decisioni opportune. Possono anche cancellare in remoto qualsiasi file o malware mediante l\u2019interfaccia di controllo unificata, spostare un oggetto in quarantena o eseguire operazioni per il ripristino, il tutto senza farsi notare in quanto non \u00e8 richiesto l\u2019accesso fisico alla postazioni. Cos\u00ec non ci sono interruzioni nel flusso di lavoro.<\/p>\nCome minimizzare i rischi e ottimizzare la sicurezza IT<\/strong><\/h2>\n