E’ un anno particolare, quello attuale, non solo per le problematiche legate all’emergenza sanitaria, ma anche per le diverse sfide poste dal cybercrime alla sicurezza IT aziendale nei nuovi contesti operativi. FireEye Cyber Defense Live diventa quindi momento di confronto virtuale e di riflessione e questo, esordisce Marco Riboli, vice president southern Europe FireEye“in uno scenario, quello europeodecisamente eterogeneo, quanto interessante. Basta pensare che della nostra regione fanno parte il Belgio, quindi Bruxelles con gli organismi della Comunità Europea, la Francia, i Paesi mediterranei tra cui l’Italia, ma anche Turchia e Israele. In quest’ultimo Paese, in particolare, FireEye è punto di riferimento del governo per quanto riguarda intelligence e sicurezza appunto. Ecco, nelle diverse realtà, sussistono percezioni anche molto diverse riguardo la security, che si sono accentuate ulteriormente in questo periodo di emergenza”.

Basta far riferimento, per comprendere il tema, alla gravità dei potenziali impatti dei nuovi cyberattacchi, in aree come l’Ics e l’assistenza sanitaria, con i rischi per gli utenti fisici, i loro dati e la salute. In un contesto in cui gli impianti industriali saranno sempre più collegati a reti esterne è evidente che ospedali, società di servizi pubblici, petrolio e gas, centrali elettriche e reti elettriche, ma anche tutte le infrastrutture civili, ecc. possono diventare il bersaglio degli hacker ed essere collegate ad una serie di attività, tra cui, in primis, l’estorsione di denaro.

Marco Riboli, vice president southern Europe FireEye
Marco Riboli, vice president southern Europe FireEye

Un esempio su tutti è l’attività del gruppo di hacker Fin11 che ha condotto alcune delle campagne di distribuzione di malware più importanti e più lunghe rilevate tra i gruppi Fin fino ad oggi, con operazioni che hanno riguardato un’ampia varietà di settori e regioni geografiche. Il gruppo, appunto, si è recentemente concentrato sul ransomware e sull’estorsione, proprio in un momento in cui il ransomware intrusivo balza agli onori delle cronache senza distinzioni geografiche.
Quello della protezione dei sistemi industriali e delle infrastrutture resta un contesto in cui FireEye identifica non pochi punti deboli: protocolli non autenticati, hardware obsoleto, autenticazioni utente deboli, controlli di integrità dei file deboli, sistemi operativi non aggiornati e non protetti e rapporti non documentati di terzi sono tra quelli principali.

Riboli rapporta questi stessi temi alla proposizione FireEye/Mandiant sulla scorta dei recenti annunci, relativi per esempio alla disponibilità della piattaforma Mandiant Advantage Threat Intelligence, “per riuscire ad approfondire l’analisi dell’attacco dal board delle macro minacce fino al dettaglio”, con Cloudvisory che permette di “mantenere il pieno controllo sull’elaborazione in cloud, innalzando il livello di visibilità e, anche per quanto riguarda la Security Validation, con la proposizione relativa che diventa sempre più importante “quanto più si moltiplicano le fonti di infezioni e diventa fondamentale verificare che l’infrastruttura sia al passo, correttamente configurata”. FireEye si muove sul mercato quindi con “una proposizione verticale ma anche a 360 gradi”, con un richiamo – chiude Riboli“all’attenzione per capire se gli investimenti sono in linea con la maturità delle minacce considerato “l’avanzamento nell’utilizzo delle tecnologie da parte degli attaccanti ed il bisogno di controlli puntuali, efficaci ma soprattutto tempestivi, in relazione all”estensione del dato’ dall’on-premise al cloud”.

Intelligence sulle minacce

Alcuni numeri, per focalizzarsi meglio sulle proposizioni. Solo nel 2019 sono stati individuati 461 “new adversary groups”, e sul totale dei rilevamenti il 41% del malware faceva parte di nuove famiglie, mentre il ransomware rappresenta la seconda fonte di guadagno in assoluto per il cybercrime.

In questo contesto Mandiant Advantage permette di riconoscere l’attività di attacco di fatto nel più breve tempo possibile sfruttando una rete di oltre 15mila sensori, 18 milioni di endpoint e processando 65 milioni di email ogni giorno. Alla “macchina” è affiancato il lavoro di Operational Intelligence (basato su 5 Operations Center che lavorano, 99 milioni di eventi e 21 milioni di alert) e di Adversary Intelligence grazie alla collaborazione di oltre 180 analisti.

FireEye sottolinea però alcuni aspetti chiave, alla base dello sviluppo della soluzione. I clienti hanno bisogno non solo dell’accesso alla base dati delle evidenze registrate da Mandiant, ma anche della possibilità di visualizzare quali sono le informazioni rilevanti, in tempi rapidi senza rinunciare agli strumenti di “tracking & hunting” e con la possibilità, soprattutto, di integrare la soluzione alle altre risorse hardware e software adottate in azienda (task che la soluzione assolve con Api in grado di indirizzare anche la collaboration tra gli analisti, per esempio su Teams, oltre che con altre piattaforme come Splunk, Demisto, ArcSight, Ibm Security).

Questo permette ai Ciso di focalizzarsi sulle issue che meritano effettivamente attenzione, prioritarizzare le azioni di risposta, ed approdare ad un modello di azione proattivo per ridurre in anticipo l’impatto degli attacchi. Esigenze che Mandiant Advantage incontra in quattro passaggi: Data Collection, Enrichment automatizzato, Sistema di scoring basato sull’expertise allenata dai sistemi di ML fino all’output finale di riferimento per i team di sicurezza. Erogata come Saas Platform, Mandiant Advantage comunica attraverso un’interfaccia semplificata che offre personalizzazione delle query e accesso al dato live, univoco e fresco ( in termini di risposta nel tempo), con i relativi sforzi per avere fino al 95% di dati univoci. E l’obiettivo di “garantire un posto in prima fila al cliente sul dato”.

Security validation

Per quanto riguarda la componente di security validation, FireEye evidenzia l’approccio innovativo volto a validare l’efficienza per la security delle tecnologie di sicurezza come anche dei processi. I numeri raccontano che, in media, il 53% degli attacchi non viene rilevato, solo il 9% degli avvisi è correlato ai Siem ed il 67% delle violazioni della perdita di dati viene perso ma anche che l’80% degli strumenti è sottoutilizzato quando essi vengono sfruttati con le impostazioni predefinite. I prodotti spesso non vengono aggiornati come dovrebbero, ed i processi di lettura e utilizzo degli allarmi non sono efficaci, con i responsabili di cybersecurity che si trovano disorientati e non conoscono la reale postura di sicurezza, o non sono mai riusciti effettivamente ad effettuare un assessment corretto su eventuali problemi di esfiltrazione dei dati.

Mandiant Security Validation è quindi composta da una consolle centrale in cui vengono collezionati i test eseguiti in azienda (trasferimenti malevoli, test di movimento laterale, etc.), attraverso l’utilizzo di sonde specifiche, come agent, ed attraverso l’integrazione della tecnologia Mandiant con gli strumenti di protezione del cliente (ed ovviamente i Siem), per verificare il loro comportamento, l’effettiva elaborazione dei log e la restituzione corretta degli allarmi nel Siem.
Si tratta di un processo complesso che prevede la comprensione delle configurazioni di sicurezza, la loro ottimizzazione, indicazioni per la razionalizzazione degli endpoint, fino al monitoraggio relativo agli effetti dei cambiamenti nella rete sulla cybersecurity. E’ possibile quindi analizzare anche gli effetti nell’utilizzo delle Vpn, visualizzare l’efficacia delle soluzioni di cybersecurity in relazione alle minacce ransomware, così come validare le signature e garantire la segmentazione tra gli ambienti e comprendere quali sono le aree più delicate.

Protezione nel cloud

Con la crescita dell’adozione delle soluzioni e delle piattaforme cloud e la scelta delle aziende di affidarsi a più cloud provider per soddisfare diverse esigenze in modo specifico, crescono anche le sfide per la cybersecurity. Nel cloud, l’approccio alla responsabilità condivisa vede da una parte il provider preoccuparsi della protezione dell’infrastruttura, mentre all’utente finale spetta la gestione della sicurezza dei dati e dei servizi. In uno scenario multicloud si tratta di indirizzare quindi una serie di criticità, la prima è una scarsa visibilità sui workload di cloud diversi che non dialogano tra loro, ma anche i pericoli legati a configurazioni non corrette, per gestire le quali servirebbe un unico punto di “osservazione”.

Si innesta qui la proposta di Cloudvisory che permette di rilevare, bloccare ed informare i responsabili in caso di attacchi e valutare in modo proattivo le configurazioni, rispetto agli standard di conformità ed alle best practice. Gestione centralizzata, attenzione alla compliance rispetto agli standard, regole di sicurezza e enforcement sono gli ambiti indirizzati dalla proposta che non richiede per il funzionamento alcuna modifica dei servizi a disposizione ma anche l’integrazione con Aws, Azure, Google Cloud, OpenStack e Kubernetes. Attraverso una consolle intuitiva, con una dashboard che aiuta a capire a colpo d’occhio il livello di rischio dei sistemi, è possibile investigare in profondità i singoli problemi e le azioni da intraprendere. Cloudvisory offre visibilità su tutte le risorse in cloud e permette la definizione delle regole per isolare determinare servizi ed impostare eventuali regole per gestire i flussi dati legittimi e non.

© RIPRODUZIONE RISERVATA