Ultime Notizie

mercoledì 7 marzo 2018

Come la Cyber Intelligence aiuta a combattere il Cyber Crime?

Come la Cyber Intelligence aiuta a combattere il Cyber Crime?

Le minacce informatiche stanno diventando sempre più parte integrante del tessuto digitale aziendale e gli attacchi mirati diventano sempre più subdoli e dinamici. Questa evoluzione nelle metodologie di attacco ha fatto emergere i limiti degli approcci tradizionali di sicurezza.

Chi subisce un attacco deve potenziare le proprie capacità nell'individuare e riconoscere le minacce nei propri sistemi aziendali per ritornare ad essere in vantaggio sull’attaccante e agire per tempo in modo preciso ed efficace. La Cyber Intelligence è fondamentale per questa sfida in quanto fornisce una visione totale, personalizzata e in tempo reale delle anomalie emergenti – contrariamente al precedente approccio basato su firme e regole che diventano obsolete dato che si riferiscono a minacce già individuate.

L’approccio basato sull'Intelligence è il cuore della Cyber Defense di nuova generazione; vengono impiegati personale qualificato e tecnologie all'avanguardia di tipo ‘sistema immunitario’ in un processo costante di apprendimento e comprensione delle problematiche in evoluzione per poterle contrastare prima che diventino critiche.

È ormai accettato che le violazioni siano inevitabili e il loro verificarsi sia più un discorso di ‘quando’ che di ‘se’. In questo nuovo mondo la sfida è cambiata. Oltre a difendere il proprio perimetro aziendale si devono affrontare anche le minacce interne utilizzando un approccio basato sull’Intelligence per indirizzare pericoli reali all’interno di una rete complessa.

Come la Cyber Intelligence aiuta a combattere il Cyber Crime?Anche se c’è la tentazione di aumentare i controlli e introdurre norme operative più stringenti la necessità di lavorare fa sì che le persone trovino il modo di aggirarle. Chiunque vi dirà che è possibile curare qualsiasi malattia ammazzando il paziente. Un’azienda non può essere soffocata da controlli di sicurezza laboriosi e poco pratici pensando di rimanere più sicura a spese dell’efficienza, dell’agilità e della competitività. Oggi la sfida per gli operatori della sicurezza consiste nel difendere il patrimonio aziendale più prezioso, i dati, consentendo a essi di facilitare la crescita.

In questo scenario dove le minacce sono in continua evoluzione continuare a lavorare richiede un equilibrio fra i rischi e i benefici. L’equilibrio necessario non è mai totalmente statico, ma viene riadattato continuamente per mantenere uguali i pesi sui due piatti della bilancia. Questa sfida richiede un approccio sottile, orientato all’Intelligence più che alla sicurezza. Mentre la sicurezza informatica presuppone che le misure di difesa debbano funzionare il 100% delle volte, la Cyber Intelligence fornisce suggerimenti, basati su prove, che indirizzano il processo decisionale, fa emergere le problematiche di alto livello rispetto a quelle meno importanti e consente alle aziende un miglior controllo e una migliore consapevolezza sul proprio stato di salute per poter definire la migliore strategia per la cura.

Le intrusioni più eclatanti richiedono azioni di risoluzione immediate con impiego di risorse economiche, temporali e umane per ripristinare ciò che è stato compromesso.

La sfida degli ultimi anni si è acuita a causa dell’industrializzazione dell’economia che ruota intorno ai crimini informatici e alla sempre più raffinata abilità degli esecutori. Su internet si trovano avanzati strumenti di attacco pronti all’uso – è possibile provare, scambiare e vendere nuove forme di attacco e malware configurabili – e questo a riprova di come sia banale infiltrarsi in un’azienda. Una volta infiltratisi, gli attacchi hanno luogo in forma anonima rendendoli difficili da individuare perché in incognito e effettuati con cautela.

Per prima cosa, dall’esterno, l’aggressore userà le credenziali di accesso di un dipendente per non far scattare gli allarmi ubicati sul perimetro. Questo approccio rende estremamente difficile distinguere fra un’attività lecita e quella di un malintenzionato intento a fare danni. Gli aggressori utilizzano questo velo di legittimità per portare a termine i loro attacchi mimetizzandosi fra le normali azioni di quell’utente nel corso delle sue attività quotidiane sulla rete. Essere riconosciuti come utenti regolari offre un vantaggio agli aggressori. Essendo considerati ‘fidati’ il compito di muoversi nella rete aziendale ed estrarne dati o manipolarne i sistemi diventa più facile.

Per di più gli aggressori non usano solo campagne di email mirate e sfruttano credenziali legittime per passare sotto ai radar, ma possono anche sfruttare gli zero-day e i malware appositamente sviluppati per raggiungere i propri obiettivi. Sempre di più vengono perpetrati attacchi, portati avanti astutamente e ben mimetizzati, per lunghi periodi di tempo a riprova della pazienza e perseveranza dell’aggressore.

Un attacco di tipo avanzato può restare nascosto nella rete per giorni, settimane o mesi di fila rimanendo pazientemente inattivo nella rete aziendale in modo da renderne l’individuazione più difficile. Mediamente il tempo necessario a individuare un attacco informatico si aggira sui 170 giorni. Se perpetrato anche con aggressori dall’interno questo valore arriva a 259 giorni.

Durante questo lasso di tempo l’aggressore si fa un’idea dell’architettura della rete e stabilisce come muoversi su di essa per portare a termine l’attacco mirato. Mentre chi si deve difendere è costantemente distratto dalla gestione delle attività giornaliere, l’aggressore ha dalla sua parte il tempo e le risorse con cui effettuare ricognizioni sui sistemi, portare a termine le sue azioni e muoversi evitando di essere scoperto, con relativa tranquillità.

Il tempo è prezioso

Il tempo è una risorsa preziosa che manca spesso a chi viene attaccato. L’aggressore determinato ha tempo in abbondanza, finanziamenti sufficienti e risorse umane per sviluppare attacchi che eludano i vari livelli di sicurezza presenti in un’azienda. Le aziende lottano costantemente per rilevare le fasi iniziali di una infiltrazione, prima che vengano fatti danni quali il furto di dati su grande scala o l’interruzione di un servizio essenziale. Invece le aziende si trovano coinvolte in una lotta contro il tempo per rimuovere e ridurre velocemente i danni finanziari e d’immagine, al contrario dei mesi di preparazione e ricognizione che l’aggressore ha a disposizione prima di sferrare il suo attacco. Fintanto che il vantaggio rimane in mano all'aggressore le aziende attaccate saranno sempre sulla difensiva.

In un’epoca in cui le minacce sono innumerevoli e in continua evoluzione analizzare i problemi di ieri non garantisce la difesa da quelli di domani. Gli aggressori di oggi utilizzano tecniche e strategie in continua evoluzione per rimanere nascosti a lungo nei sistemi. Il riferimento a ciò che è normale è in continua evoluzione.

Occorre quindi iniziare a considerare il tempo in modo diverso, tentare di cogliere attività sospette nella finestra temporale compresa fra l’infiltrazione iniziale e i primi segnali di anomalia. Invece d’investire in analisi post-mortem su intrusioni e compromissioni passate ci si deve sforzare di trovare i problemi di domani, indirizzando le attenzioni verso attività che si mimetizzano nel rumore delle attività quotidiane di un’organizzazione. All’interno dell’IT aziendale ci sono due fattori da tener presente:

Visibilità e comprensione

Le aziende devono fare un passo indietro quando prendono in considerazione le strategie per la difesa informatica, chiedendosi per prima cosa quanto bene conoscano la loro azienda. Le infrastrutture di rete e le intranet sono cresciute e si sono estese aggiungendo sempre più dispositivi, funzionalità e tecnologie; l’architettura digitale di un’azienda di una certa dimensione è solitamente molto complessa. Gli addetti IT alla sicurezza e dell’architettura spesso non hanno visibilità di tutti i sistemi sotto il loro controllo e si concentrano solo su quelli su cui ci sono problemi noti che richiedono soluzione.

La visibilità totale su tutte le interazioni e comunicazioni digitali, non solo su una parte, è critica perché consente agli addetti della sicurezza di prendere le decisioni migliori basandosi sulla conoscenza dell’intero sistema. Avendo visibilità totale sull’andamento e il tipo di traffico gestito giornalmente nell’azienda, gli addetti della sicurezza sono in condizione di configurare al meglio la protezione della rete, identificare le vulnerabilità o i dipendenti infedeli e tenere effettivamente a freno in tempo reale le minacce informatiche. Vedere e capire cosa sta accadendo in tempo reale è il primo passo per conoscere cosa non debba accadere, indipendentemente da quanto sia minimo lo scostamento dalla normalità.

Analisi intelligente e rilevamento anomalie

Avendo la conoscenza delle attività aziendali è possibile usare nuove tecnologie per analizzarle ed avere una chiara visione di quale sia la normalità. I fondamentali progressi nella matematica probabilistica e nell'ambito del ‘machine learning’ hanno reso possibile questo approccio, usando una tecnologia che impara su base continua ciò che è normale e anomalo nell’ambito aziendale ed evidenzia anomalie su base probabilistica in tempo reale.

Le anomalie o le deviazioni da ciò che è stato identificato come normale sui sistemi, le reti e gli utenti devono essere autentiche e basate sulla comprensione dinamica dell’ambiente circostante. Un comportamento difforme spesso può essere affrontato in modo appropriato, ma solo se rilevato nelle sue fasi iniziali. Le aziende devono abbandonare l’approccio che consiste nel dover passare al setaccio l’enorme quantità di allarmi generati da sistemi basati su regole preconfigurate per identificare le minacce e orientarsi verso sistemi d'intelligence, fatti su misura, che aiutano a conoscere l’ambiente digitale aziendale così com'è per prendere le corrette decisioni. Concludendo, si può dire che per ridurre il rischio occorre un esercizio continuo portato avanti da professionisti capaci di prendere le corrette decisioni, la capacità di fare le scelte giuste e di concentrarsi sulle aree d’interesse richiede una nuova generazione di prodotti che sia adattativa, probabilistica e in grado di auto apprendere.

Sei sotto attacco informatico?


Nessun commento:

Posta un commento