Il tema della sicurezza, e nello specifico quello della sicurezza informatica, è un tema frequentato, tanto più lo è in questa fase di trasformazione che chiama le aziende ad innestare strumenti digitali in ogni processo.

Negli anni si sono prodotte e accumulate centinaia di analisi sulle minacce, sulla loro evoluzione, si susseguono report circostanziati con i relativi dati sull’evoluzione qualitativa e quantitativa, con il cybercrime pronto ad utilizzare a proprio vantaggio le tecnologie più evolute e l’impossibilità da parte delle aziende di pensare a un modello di difesa basato su una concezione ‘perimetrale’ dell’ambito da difendere.
Oggi, anzi, la criticità più evidente è addirittura accorgersi delle falle e farlo in un intervallo di tempo ragionevole.

Uno scenario in continua evoluzione

E’ proprio questo il primo punto. I responsabili della sicurezza in azienda prima di tutto hanno bisogno di risposte convincenti a problemi quotidiani, possibilmente senza dover investire tempo e risorse umane extra budget, annullando – per quanto sia quasi impossibile – i margini di imprevisto.

Le nuove tecnologie digitali aiutano in questo, ma è un dato di fatto come, solo in ambito financial, il 37% degli istituti riceva circa 200 mila alert quotidiani (fonte Ovum), salvo poi registrare (fonte Ponemon Institute) che quasi la metà di essi siano falsi positivi.

In uno scenario che resta sempre difficile da fotografare nella sua interezza un dato su tutti aiuta a capire la difficoltà nell’indirizzare gli sforzi: sul 99,9% di attacchi rilevati (di facile rimedio o con minime conseguenze), solo la percentuale rimanente rappresenta una forte criticità, ed è proprio il caso di utilizzare l’aggettivo perché si tratta di un totale assoluto quantificabile in milioni di attacchi, ad alto rischio anche perché gestito da persone fisiche con bersagli ben definiti e strumenti sofisticati.

Si può quindi parlare oggi da un lato di minacce pret à porter, vere e proprie commodity. Intendiamoci, sono minacce che potenzialmente possono anche esporre ad alti rischi, ma che si è imparato a fronteggiare.

Minacce che si possono rivelare ad alto dispendio di risorse ma soprattutto per chi sottovaluta gli investimenti di sicurezza tradizionali. Vi fanno parte persino i tanto temuti crypto-ransomware da cui pure è possibile proteggersi con un software a tutela dell’endpoint. 

I Crypto-Ransomware rappresentano oggi una minaccia pericolosa ma da cui è possibile difendersi

Del tutto diverso si fa il discorso quando si scala la strategia di attacco, oltre gli automatismi, e cioè quando l’attacco mirato comprende uno studio anche umano della vittima, le possibilità di penetrazione, la richiesta di un riscatto importante, magari facendo leva anche sulle falle aziendali nella protezione della privacy.  

Un aspetto importante legato alla sicurezza riguarda altresì gli scenari veri e propri di cyberwar.  Di questo tema non si parla mai abbastanza, ma con la trasformazione digitale, con l’affidare anche infrastrutture critiche a sistemi digitali, i Paesi si stanno sempre più preparando ad affrontare attacchi di questo tipo, parliamo quindi non solo di minacce legate a specifiche aree di guerra e instabilità politica, ma anche di tutta la sfera di macro e micro attacchi in ambito IoT.

Sicurezza, è questione di metodo

Cerchiamo di individuare dove sono le criticità a seconda della tipologia aggressione. 

Partiamo proprio dagli attacchi commodity. Si tende troppo a pensare che una buona soluzione di protezione degli endpoint, di nuova generazione, possa prevenire ogni genere minaccia, ma non è così e spiegheremo perché.

In questi casi si può rischiare di focalizzare l’attenzione esclusivamente su un rimedio che agisce sull’ultimo anello della catena. Torniamo però a un primo rilievo e cioè che la criticità è agire sulle capacità di rilevazione e rapida risposta.
E’ un fattore importante, perché quando la minaccia è studiata e focalizzata per specifici obiettivi, l’hacker è il primo a conoscere i sistemi di difesa più consolidati e a sapere come scardinarli.

Addetto anti-hacker
Obiettivo primo degli hacker è riuscire ad agire nella rete del proprio obiettivo senza farsi scoprire

L’attaccante in questo caso sfrutta falle del sistema operativo per nascondere la minaccia in modo da ritardarne il rilevamento anche solo monitorando da remoto il traffico della rete dell’obiettivo puntato.

Non mancano i casi di aziende controllate per mesi a loro insaputa, in uno scenario in cui la prima qualità per chi attacca è proprio non farsi scovare per poter agire quanto più a lungo possibile nell’occulto. E quindi l’abilità di chi si difende si misurerà proprio a partire dalla capacità di prevederne il comportamento.

I vantaggi concreti di un corretto approccio alle minacce
I vantaggi concreti di un corretto approccio alle minacce

Oggi ci sono gli strumenti per farlo. Portiamo un esempio concreto quello di soluzioni applicate su una realtà addirittura da 325 nodi, su cui sono stati intercettati circa 500 milioni di eventi, nell’arco di un mese. L’analisi dei dati ha consentito di ridurre il numero di situazioni sospette a 225mila. L’intervento dei meccanismi di Broad Context Detection permette di focalizzare l’attenzione su 24 soli eventi, e l’analisi più approfondita ha permesso poi di rilevare la minaccia reale (nella proporzione di circa 1 a 7). 

Ancora più significativo un caso di studio su 1.300 nodi, i sensori hanno raccolto circa 2 miliardi di eventi su un arco temporale di un mese. Una prima analisi ha consentito di filtrare il numero iniziale, facendolo scendere a 900 mila. E sempre con la stessa tecnologia si è ridotta ancora la quantità di eventi rilevanti a 25, fino a identificare 15 reali minacce (riconosciute dall’azienda cliente). Se si fossero utilizzate le sole soluzioni Ids/Siem presenti in azienda, sarebbe toccato alla struttura interna processare i 900mila eventi.

E’ un paradigma consolidato come rilevazioni meno numerose e più precise portino a interventi più rapidi ed efficaci in caso di un cyberattacco conclamato.

Dove si gioca la partita

Il problema della sicurezza non è tutto qui, ma qui si gioca la partita. Spieghiamo, è strategico passare da un paradigma di risposta binario (acceso/spento) alla capacità di contestualizzare la minaccia sulla scorta degli eventi analizzati, proprio quando gli eventi da analizzare su una rete importante sono centinaia di migliaia.

Qui entrano in gioco i benefici legati alle tecnologie di intelligenza artificiale. E’ il machine learning a rendere scalabili le soluzioni sulla quantità di eventi, non c’è altra possibilità, e tecnologie di machine learning efficaci si generano solo grazie alla capacità di fondere quanto le tecnologie di ultima generazione sono in grado di offrire con le competenze degli esperti.

E’ legato all’abilità delle risorse dedicate dell’IT o del team di sicurezza recuperare dati validi da un sistema di intrusion detection già presente in azienda, lo stesso vale per la threat intelligence, la configurazione dei sistemi o la corretta risposta agli incidenti.

Aggiungiamo un dato nel 2020, il 60% dei budget di IT Security saranno destinati a soluzioni Rapid Detection & Response anche se oggi, a livello mondiale, la percentuale è sotto il 30% e in Italia sotto il 10%. 

La rapidità di individuare e gestire le minacce è il primo fattore critico

Focus quindi sulle modalità non tradizionali di infiltrarsi, non sulle minacce on/off, quelle facili da rilevare con i sistemi di protezione basati su firma. Sono invece le prime, quelle cui corrisponde lo 0,1% delle minacce che consideriamo intrinsecamente pericoloso. In questo ambito sarà proprio l’Intelligenza Artificiale – la capacità di analizzare grandi volumi di dati ed eventi in poco tempo – ad offrire un altro e alto livello di protezione grazie all’interpretazione di eventi correlati.

La capacità di individuare i rischi e rispondervi richiedono skill e competenze specifiche da parte del vendor, che dovrà essere in grado di offrire non solo prodotti e servizi ma anche di fornire le competenze e l’esperienza del proprio staff, e tecnologie di threat intelligence, sample analysis e decision-making, sviluppate internamente nel corso degli ultimi dieci anni e oltre, che siano in grado di adattarsi alla misura aziendale.

L’intelligenza artificiale proposta da F-Secure per la soluzione Rapid Detection & Response è specificatamente progettata per lottare contro i cyberattacchi reali. Essa è in grado di riconoscere un comportamento normale, e rilevare quelli che si discostano per analizzare ulteriormente questi ultimi.

Anche nell’era dell’AI e del machine learning per la security sarà indispensabile il connubio uomo+macchina

Così, vengono eliminati i falsi positivi, che si possono accumulare rapidamente e appesantiscono il lavoro dei team IT dedicati. Non è un caso il nostro riferimento continuo all‘approccio uomo e macchina insieme. La capacità di comprendere i dati sulle minacce potenziali e sui comportamenti anomali osservati, allo scopo di diagnosticare le minacce e valutare il loro impatto sull’attività di un’organizzazione.

Fornire informazioni puntuali sui livelli di rischio e sulle risorse coinvolte, ma insieme anche un set di raccomandazioni sulle misure di intervento con un approccio di processo già conosciuto in azienda, può offrire una visibilità precisa di un contesto di attacco. Ciò che si è in grado di conoscere, attraverso il metodo corretto, è già per questo meno pericoloso.

Non perdere tutti gli approfondimenti della Criminal Room

© RIPRODUZIONE RISERVATA