“Serve una maggiore enfasi sia sulla preparazione a una violazione sia sul contenimento, che dovrebbe essere efficace e veloce, e prevedere il bilanciamento di risorse, persone, processi o tecnologie”. E’ la posizione di Tim Orchard, countercept managing director per F-Secure, quando si parla di sicurezza, delle criticità nei contesti aziendali e quindi del cambio di passo richiesto per affrontare le nuove minacce.
Orchard si spinge oltre e quasi sembra ammonire le aziende per richiamarne l’attenzione: “Si tratta di ripensare al modo in cui le organizzazioni gestiscono diversi aspetti legati alla sicurezza: è inutile chiedersi ‘se’ l’azienda verrà violata, perché lo sarà. Ha senso invece chiedersi ‘quando’ ciò accadrà”.
Continuous Response
Le aziende lo fanno? Una recente indagine interna – la fonte è Mwr Infosecurity di recente acquisita dal vendor – dice che il 44% delle realtà ha investito meno nella capacità di risposta rispetto a quanto abbia fatto per prevedere le minacce, prevenirle ed evidenziarle. Poco più di una su dieci ha dato priorità alla risposta. Troppo poco.
Per F-Secure l’unica risposta possibile è definita “continuous response”. Indica la disponibilità delle persone giuste, nella giusta posizione, al momento giusto per mantenere il controllo della situazione attimo per attimo.
E’ un obiettivo raggiungibile formando un team composto da “cacciatori” di minacce e da risorse per assumere il controllo della situazione, affiancate dal personale necessario per lavorare all’identificazione e alla successiva remediation.
Prosegue Orchard: “Strumenti e tecniche adeguate permettono di guadagnare tempo, ma devono essere abbastanza sofisticate per evitare di far capire all’attaccante che si stanno usando. Queste risorse poi devono essere a disposizione del team giusto per funzionare”.
E’ questo l’approccio che porta a gestire correttamente le fasi di individuazione e risposta. In ambito Mdr (managed detection and response), come sottolinea Gartner, significa anche affidarsi ad “occhi già addestrati” a farlo, perché proprio il 10% degli incidenti che riescono ad aggirare firewall e la protezione sull’endpoint, probabilmente sarà il più pericoloso.
Nell’analisi NetConsulting cube si aggiunge come la domanda di soluzioni di Security (87,2 miliardi di dollari, +11,8% anno su anno) continuerà ad aumentare con la crescita delle minacce, che si accompagnerà al boom dei nuovi paradigmi digitali, tra cui IoT e Mobile. Crescerà, quindi, l’adozione di soluzioni molto evolute.
È il caso degli intelligent security system, basati su machine learning e intelligenza artificiale, che adattano i tool di difesa alle minacce, delle soluzioni di endpoint detection and response (Edr) e dei sistemi Mdr. Infatti queste soluzioni offrono monitoraggio, rilevazione e servizi di risposta alle minacce 24/7 e si basano su advanced analytics e threat intelligence.
I sistemi Mdr, la prospettiva F-Secure
I sistemi Mdr lavorano sfruttando l’implementazione di sensori per la raccolta dei dati dai sistemi dei clienti, per poi analizzarli, verificarli, individuare compromissioni e poi informare il cliente.
Rilevata la minaccia il cliente può rispondere in autonomia, se ha le competenze interne per farlo, oppure affidarsi a team specializzati nel lavoro di analisi forense, anche da remoto, e in grado di suggerire le mosse successive.
F-Secure aggiunge allo schema un tassello importante perché permette di trattare la risposta come un’attività continua, con gli attori del processo in costante comunicazione tra loro. In questo modo eventi sospetti, rilevati su qualsiasi punto, sono messi a fattor comune prima, offrendo un vantaggio al team di difesa.
© RIPRODUZIONE RISERVATA