Secondo un’indagine globale di Vectra AI, il 66% dei professionisti della sicurezza in Italia ritiene possibile che la propria organizzazione abbia subito una violazione senza che questa sia stata rilevata. In altre parole, due terzi dei team di sicurezza non sono in grado di individuare quale parte della propria azienda sia stata compromessa.
È quella che viene chiamata “unknown threat”, minaccia sconosciuta. Il passaggio al cloud ibrido ne ha accentuato la pericolosità, aumentando le vie a disposizione dei cyber criminali per infiltrarsi e muoversi lateralmente all’interno delle organizzazioni. L’ultimo rapporto del Clusit ha certificato una crescita del 60% del numero di attacchi negli ultimi quattro anni, con la media mensile di attacchi gravi passata da 130 a 207.
Le tattiche, le tecniche e le procedure (TTP) utilizzate dai moderni attori delle minacce sono diventate sempre più sofisticate e i loro movimenti riescono spesso a passare inosservati. Carichi di lavoro e distratti dal rumore di fondo alimentato da alert continui, i Security Operation Center (SOC) interni alle aziende non sono in grado di stare al passo con i criminali informatici e riescono a rilevare i segni di una violazione solo quando è ormai troppo tardi.
Con il moltiplicarsi degli incidenti nel cloud, una mentalità orientata alla prevenzione può quindi diventare un problema poiché limita gli sforzi dell’organizzazione solo alla prima linea di difesa. Al contrario, accettare l’idea che, nonostante tutte le precauzioni, è possibile che un attacco si verifichi è il primo passo per mettersi in condizione di reagire rapidamente alle minacce in atto.
Invece di innalzare soltanto barriere all’ingresso, è infatti utile concentrarsi sull’individuazione di segnali precoci di attacco, per rilevare e fermare i movimenti laterali degli attaccanti prima che si trasformino in violazioni.
Indice degli argomenti
Garantire piena visibilità sull’infrastruttura
Le minacce moderne si muovono troppo velocemente, lasciando i difensori costantemente alla ricerca dell’ultima vulnerabilità. I metodi dei moderni attaccanti non possono essere caratterizzati da semplici firme e regole e le nuove minacce, sempre più evasive, sono capaci di eludere i sistemi di prevenzione e passare inosservate per mesi.
Ecco perché la visibilità deve essere la priorità. Considerate le attuali strategie messe in atto dai criminali informatici, è importante dotarsi di soluzioni che offrano un monitoraggio completo di tutte le reti e mantenere piena visibilità sui propri ambienti in modo da essere a conoscenza di qualsiasi attacco. I team di sicurezza hanno bisogno di integrare funzionalità avanzate di rilevamento e risposta per mitigare le minacce che stanno già aggirando i controlli esistenti.
Per garantire piena copertura su tutta l’infrastruttura, che sia on-prem o in cloud, attraverso il monitoraggio costante del traffico di rete, occorre dotare gli analisti di soluzioni di intelligenza artificiale capaci di dare priorità alle minacce sconosciute e urgenti, che oggi rappresentano il pericolo maggiore per il business. Ciò migliora la produttività degli analisti e li mette in condizione di mitigare i rischi e mantenere le organizzazioni al sicuro.
Aumentare la chiarezza del segnale
Oltre alla visibilità serve chiarezza. Occorre, cioè, migliorare l’efficacia degli analisti attraverso segnali chiari e metodi di rilevamento basati sull’intelligenza artificiale che possano correlare automaticamente e ordinare secondo criteri di priorità i comportamenti malevoli di host e account all’interno dell’infrastruttura. Analizzando modelli di rilevamento unici per il proprio ambiente, l’intelligence applicata ai segnali di attacco permette così di far emergere gli eventi rilevanti e ridurre il rumore di fondo degli avvisi di sicurezza.
La chiarezza del segnale consente ai team SOC di conoscere il punto di inizio dell’intrusione e seguire il percorso dell’attaccante all’interno dei sistemi, in modo da poter stabilire le priorità di tempo e di risorse. Ciò è oggi possibile sfruttando alcune delle più avanzate tecnologie di Intelligenza Artificiale del settore, che permettono agli analisti di tornare a fare ciò che sanno fare meglio, ovvero investigare e trovare le minacce.
Le tecnologie adottate devono consentire infatti anche di migliorare l’efficacia dell’analista attraverso una normalizzazione e correlazione dei dati e una visualizzazione chiara della potenziale catena di attacco. È giusto, quindi, dotarsi di strumenti di prevenzione, ma la sola prevenzione sta fallendo nel tenere gli attaccanti fuori dall’infrastruttura.
Lo scenario attuale richiede il miglioramento delle capacità di rilevamento e risposta alle minacce, creando un ecosistema di sicurezza integrato che consenta ai team security di rispondere in maniera efficace alle minacce.
Migliorare il controllo sulla rete
Raccogliere i dati giusti e analizzarli nel modo corretto consente ai team di sicurezza di fare di più con uno numero ridotto di strumenti e in minor tempo. L’AI e il Machine learning aiutano infatti gli analisti a concentrarsi sull’urgenza con una visione delle minacce che tenga conto della gravità e dell’impatto delle stesse. In questo modo i team di security possono focalizzare le proprie energie sulla risposta alle minacce critiche e ridurre il rischio aziendale.
Poter contare su strumenti di controllo intelligente delle risorse aziendali significa avere a portata di mano il contesto giusto per accelerare le indagini, automatizzare i workflow e indirizzare le azioni di risposta per contenere o bloccare un attacco. Investire negli strumenti e nei processi giusti permette di aumentare l’efficienza e l’efficacia del SOC.
È tempo di superare un approccio preventivo, che cerca di impedire agli attaccanti di fare breccia nel perimetro aziendale, e concentrarsi invece sulla necessità di strumenti in grado di rilevare e fermare un attacco sul nascere. Con l’evoluzione del panorama delle minacce, le organizzazioni hanno bisogno di strumenti moderni che illuminino i punti ciechi e garantiscano visibilità, chiarezza e controllo sugli ambienti aziendali.
