Nel contrasto alle crescenti minacce informatiche, il tema della visibilità è oggi un elemento determinante. Avere un quadro chiaro e dettagliato di tutto ciò che succede al proprio interno può infatti aiutare le aziende ad organizzare al meglio le azioni di ripristino e a circoscrivere il reale impatto degli attacchi, oltre che a prevenirne gli effetti. In qualità di esperto di queste dinamiche, Alessio Alfonsi, Senior Sales Engineer di NetWitness porta a fattor comune strategie e approcci, a partire da quello di NetWitness, la cui capacità di analisi si estende ad ampio spettro sulla rete.
Il primo quesito è se la visibilità sia una paranoia dei responsabili della sicurezza o una reale esigenza per le imprese. “In passato esisteva una grossa dicotomia tra il mondo del business e quello della security – esordisce Alfonsi -. Le richieste di budget o di conformità da parte dei team di sicurezza che arrivavano spesso alla fine dei progetti a chi doveva finanziarli o seguirne la delivery, apparivano come esagerate o impossibili da realizzare; in definitiva delle vere paranoie. Con la vastità e la gravità degli attacchi a cui assistiamo quotidianamente, tutti i responsabili del business, e non solo gli addetti alla cybersecurity, si rendono oggi conto che ambire alla massima visibilità non è una paranoia ma un’esigenza reale e forte per proteggere il proprio business”.
“Nel nostro ambiente si dice che ci sono due tipi di clienti: quelli che sono già stati attaccati e quelli che non sanno di essere stati attaccati”, prosegue il manager. E’ dunque chiaro che le aziende debbano concentrarsi nel limitare i danni e che per farlo abbiano la necessità di capire cosa stia succedendo al loro interno. “Se conosci il nemico e te stesso, la tua vittoria è sicura. Se conosci te stesso ma non il nemico, le tue probabilità di vincere e perdere sono uguali. Se non conosci il nemico e nemmeno te stesso, soccomberai in ogni battaglia”: Alfonsi si rifà a questo pensiero di Sun Tzu nel libro “Arte della Guerra”, per suggerire come a fronte di minacce sconosciute sia necessario porsi l’obiettivo di conoscere almeno se stessi, che in sicurezza significa i propri ambienti, le proprie reti e le proprie infrastrutture.
Massimizzare la visibilità prima che l’incidente si verifichi per essere pronti a rispondere correttamente all’attacco; è questa in sintesi la strategia suggerita da NetWitness, il cui motto calzante è “See Everything. Fear Nothing”, dichiara Alfonsi proseguendo con un esempio: “E’ di questi giorni la notizia di un attacco alla Regione Campania, dove la reazione tempestiva dell’azienda ha limitato il perimetro di attacco e le relative conseguenze. La visibilità aiuta a fare proprio questo, e in NetWitness utilizziamo una serie di punti di osservazione per dare visibilità a qualsiasi livello, intercettando anche segnali molto deboli ma utili“.
Alfonsi entra nel dettaglio di cosa si intende per segnali deboli, ma utili: “Un elemento chiave della strategia di NetWitness è di fare leva su indicatori di compromissione per supportare le aziende a prendere atto dell’attacco e mettere in campo immediate azioni correttive. Ma ancora meglio è provare ad evitare la compromissione: ci sono infatti dei segnali molto deboli che sarebbe utile leggere ed interpretare prima che l’attacco vada a buon fine – spiega il manager –; indicazioni che noi chiamiamo Enabler of Compromise, elementi del traffico o anomalie che ci possono far pensare che un attaccante potrebbe sfruttare tali debolezze. E non parliamo solo di vulnerabilità. Sul traffico di rete, per esempio, una sonda può segnalarci che stiamo utilizzando o navighiamo verso pagine in cui ci sono dei frame, dei div hiddden dei quali l’utente non ha consapevolezza ma che possono agire sulla sua macchina nel momento in cui viene dato il consenso. Alzare l’attenzione su questi fattori attraverso un’analisi della tipologia di traffico può dimostrarsi estremamente utile per le imprese”.
Come NetWtiness supporta questo livello avanzato di visibilità. “Storicamente molti clienti sono dotati di un SIEM e pensano che questo sia sufficiente a garantire loro tranquillità. In realtà il SIEM è una condizione necessaria ma non sufficiente per avere visibilità. La piattaforma per la raccolta e l’aggregazione di log solitamente nasce per motivi di compliance e viene poi adottata anche per la security; ma si tratta di un punto di vista parziale, di una sola delle prospettive necessarie per raccogliere informazioni. Il mondo SIEM deve essere invece complementato con altri dati forniti dalle sonde di monitoraggio del traffico di rete (NDR) e dagli agent installati sugli endpoint (EDR) – afferma Alfonsi, spiegando come l’obiettivo di NetWitness sia dare differenti prospettive all’analista, mettendo a disposizione sensori proprietari in un’unica console, dove accentrare in modalità aggregata tutte le informazioni correlate. “Un approccio che permette al team di security di essere molto più efficace durante le fasi di analisi e risposta agli incidenti – spiega il manager – avendo appunto il grosso vantaggio di accedere attraverso un’unica interfaccia a tutte le informazioni che normalmente dovrebbe cercare in modo manuale saltando da un prodotto a un altro o da una console a un’altra. Del resto – aggiunge Alfonsi –, senza la possibilità di centralizzare, la ricerca di pattern o l’analisi di regole di correlazione tra mondi differenti non potrà mai essere fatta in modo automatico né in modo sufficientemente veloce per reagire e limitare i danni di un eventuale attacco”.
La soluzione di NetWitness al servizio degli analisti, Packet – Siem – Endpoint, è frutto di vent’anni di esperienza e sperimentazione della società e si rifà alla vision di un suo presidente storico volta ad arricchire la piattaforma che nasce come analisi del mondo di rete, e si arricchisce poi con sensori per l’analisi dei log e del traffico endpoint. “Una soluzione in grado di registrare tutto il traffico per estrarre metadati utili all’analista e utilizzabili in qualsiasi momento per ricostruire i contenuti transitati sulla rete e seguire tutte le fasi d’attacco” sintetizza Alfonsi.
L’elemento differenziante di avere sensori nativi e di fargli parlare lo stesso linguaggio permette quindi ai team di sicurezza di essere molto efficaci e veloci e introduce al contempo il grosso vantaggio di poter correlare metadati, spiega il manager.
“Tutti strumenti validi per leggere e fare analisi avanzate che possono permettere anche di trattenere i talenti“, sottolinea Alfonsi, segnalando in merito al tema delle competenze la difficoltà di trovare sul campo nuovi analisti e di trattenere quelli con alta seniority. Difficoltà superabile fornendo ai team di sicurezza strumenti stimolanti per contrastare il cybercryme che oggi agisce in gruppi di attaccanti, come le gang dei ransomware, che hanno competenze, capacità di coordinamento e un grado di efficacia ed efficienza che forse nessuna azienda riesce ad avere oggi sul mercato. “I moduli di automazione e orchestrazione di NetWitness, in grado di alleggerire l’analista da tutte le mansioni noiose e ripetitive delegate agli automatismi vanno proprio nella direzione di colmare questo gap”, conclude Alfonsi.
Leggi anche l’intervista Pellegrini (NetWitness): Amplificare la visibilità di Voice of NetWitness
Leggi anche l’intervista Maccaglia (NetWitness): Team di Incident Response di Voice of NetWitness
© RIPRODUZIONE RISERVATA