La cyber Security non è una soluzione, ma un processo

Privacy, Sicurezza

La cyber security non è più sepolta nella sezione tecnologica di giornali e siti web – al contrario è nelle notizie in prima pagina. E’ addirittura un argomento di dibattito delle prossime primarie negli Stati Uniti. E’ connessa con la minaccia di interruzioni di fornitura di energia a livello nazionale. La cyber security ora interessa tutti i principali settori, Paesi e altri ambiti sociali.

Questa vasta portata rende la sicurezza informatica un concetto schiacciante per molte aziende. Riguarda sia il funzionamento interno dei dipartimenti IT che i clienti delle aziende. Quando organizzazioni che promettono ai clienti confidenzialità e privacy vengono violate, diventa dolorosamente chiaro che la sicurezza non riguarda solo i computer. Ashley Madison e i suoi clienti hanno imparato questa lezione amaramente.

E anche i politici stanno imparando.

A causa del numero in continua crescita di violazioni di dati, e del crescente aumento di attenzione verso questi fatti, i governi nel mondo stanno intensificando i requisiti di conformità (anche se alcune delle loro idee, come la domanda di backdoor crittografiche, non sono ancora state sufficientemente approfondite). Le aziende stanno iniziando ad assumersi maggiori responsabilità per queste problematiche di sicurezza come mai prima d’ora. Vengono anche ritenute responsabili quando non riescono ad essere all’altezza di queste responsabilità.

Hai ragione se stai pensando che cyber security suona come un termine forte. E chiedersi cosa le sta dando così tanto peso è una buona domanda. Se la cyber security descrive un campo operativo per le aziende, come dovrebbe essere approcciato? E come la cyber security differisce dalla tradizionale sicurezza IT?

Dovresti iniziare da zero?

Alcune persone vedono la cyber security come un cambiamento fondamentale nel modo in cui le aziende proteggono se stesse, e saltano alla conclusione che i concetti di sicurezza IT tradizionale debbano essere gettati via. Proprio recentemente, si sono visti titoli di articoli nell’industria della sicurezza che annunciavano la morte dell’antivirus.

Ma questa non è la prima volta in cui l’anti-virus viene portato prematuramente all’obitorio. E come il vinile sopravvive come mezzo per apprezzare della grande musica, l’antivirus rimane una parte importante di ogni strategia completa di sicurezza.

Le minacce e la sicurezza evolvono, quindi l’antivirus non è più solo una questione di ‘firme’

Le misure di sicurezza sviluppate 20 anni fa probabilmente non sarebbero sufficienti per proteggere le organizzazioni nel panorama attuale delle minacce. Ma le minacce non cambiano in una notte. Evolvono nel corso degli anni. E così fanno le soluzioni di sicurezza. Le nuove funzionalità di protezione, aggiunte alla tradizionale scansione antivirus basata su firme, hanno creato stack di protezione integrata con molteplici componenti.

Dentro lo stack, la scansione antivirus è ancora efficace. E paragonato alla sofisticata analisi euristica, è un metodo agevole di rilevare il malware. Perché sprecare banda CPU su sample che possono essere rilevati con metodi più semplici? Ecco perché i veri esperti di sicurezza considerano lo slogan che l’antivirus è morto come “un’iperbole sbagliata”.

“Nel 2008, F-Secure ha completato la sua tradizionale tecnologia antivirus con DeepGuard, un motore euristico avanzato in grado di rilevare attacchi Zero-day. La piattaforma Object Reputation Service Platform (ORSP) di F-Secure – oggi componente essenziale di F-Secure Security Cloud – è stata inclusa nei prodotti F-Secure a partire dal 2009, e ha ridotto il tempo di protezione contro le minacce nuove da ore a minuti. Nel frattempo, la scansione antivirus tradizionale basata su firme ci permette di ottimizzare il consumo di CPU. Classificare un sample con le firme costa circa 10 millisecondi del tempo di una CPU. Usare un’analisi pesante può richiedere fino a 5 minuti.” Jarno Niemela – Senior Researcher – F-Secure Labs.

Ma un cambiamento paradigmatico sta avvenendo

Anche se la tecnologia è progredita, il modo in cui le aziende devono gestire la sicurezza oggigiorno è fondamentalmente differente dall’approccio di soli 5 anni fa. E le motivazioni sono diverse. Ma due trend in particolare stanno guidando la nuova concezione della cyber security per le aziende.

In primo luogo, la crescente digitalizzazione dei processi e delle aziende sta avvenendo a un ritmo senza precedenti. Un incidente di sicurezza informatica non è solo qualcosa che causa ore extra per il dipartimento IT di un’azienda. Oggi, l’IT spesso alimenta il business di un’azienda lungo l’intera catena del valore, e un singolo incidente può causare il brusco arresto delle operazioni, e addirittura mettere in pericolo la sopravvivenza dell’azienda stessa.

In secondo luogo, le minacce stanno crescendo, sia in numero che in sofisticazione. Il 2014 è stato l’8° anno di seguito in cui il numero di malware rilevato è raddoppiato, con una media di 81 attacchi al minuto. Ci si aspetta che il numero di malware raddoppi ancora nel 2015. Allo stesso tempo, negli ultimi anni il malware ha raggiunto un nuovo livello di sofisticazione. Una delle ragioni per cui ciò sta accadendo risiede nel fenomeno degli Stati Nazionali che diventano i nuovi ‘attaccanti’. Questi Stati investono enormi risorse per trovare e sfruttare debolezze nei sistemi di difesa sia di individui che di corporazioni. Si stima che lo sviluppo del malware Doqu 2.0 che è stato usato per compromettere un vendor di sicurezza (oltre ad altri bersagli) sia costato circa 10 milioni di dollari. E poiché i criminali spesso riusano exploit di attacchi mossi dagli Stati, le aziende devono considerare come questa tendenza aumenti la sofisticazione generale delle minacce online. (Una nota: i tentativi dei governi di indebolire meccanismi sicurezza come la crittografia a favore dei loro sforzi di sorveglianza rendono il panorama anche peggiore).

Considerando che gli incidenti informatici sono costosi, e che le minacce sono più numerose e sofisticate come mai prima d’ora, è chiaro che la sicurezza informatica richiede maggiore attenzione che un rinnovo annuale della soluzione di sicurezza di un endpoint. La sicurezza informatica deve essere sull’agenda del board aziendale.

Sicurezza informatica come un processo a 4 fasi

In F-Secure abbiamo adottato una vision della cyber security costruita sui concetti usati nell’Adaptive Security Architecture di Gartner. In breve, la nostra concezione ruota attorno alla considerazione che se la tua azienda dipende dalle tecnologie informatiche e potrebbe essere danneggiata da un incidente di sicurezza, dovresti considerare la sicurezza informatica come una questione di gestione del rischio, e meritevole dell’attenzione del tuo team di gestione. Ciò rende la sicurezza informatica più un processo che una problematica tecnica. Basandoci sul framework di Gartner, vediamo questo processo come composto da 4 fasi, ciascuna delle quali può e dovrebbe essere supportata dalla tecnologia.

Gartner
Gartner

 

  • PREDIRE: conosci i tuoi rischi, comprendi la superficie di possibili attacchi, scopri punti deboli

Per prendere le giuste misure di sicurezza, devi comprendere dove dirigere la tua attenzione. Un buon punto di partenza è valutare chi sono i potenziali avversari (criminali informatici, competitor, hacktivisti, terroristi, ecc.) e quali danni un incidente di sicurezza potrebbe causare – in sostanza un’analisi del rischio.

Ottenere una vista completa della superficie d’attacco è una parte integrale di quest’analisi, ma non è facile. Molte aziende non conoscono nemmeno la loro impronta digitale, il che le rende inconsapevoli dei potenziali punti di ingresso di attaccanti e minacce. Inoltre, i sistemi IT in molte aziende sono cresciuti in modo organico, con sistemi intrecciati, infrastrutture date in outsourcing, e terze parti che sono digitalmente connesse e integrate con i processi di business.

Mantenere tutto questo sotto un rigido controllo è virtualmente impossibile. E mentre ci sono soluzioni tecniche che forniscono la visibilità di cui hai bisogno, mappare solo la tua impronta digitale non è sufficiente. Devi farne una scansione per valutarne le vulnerabilità e trovare i suoi punti deboli. Questo produce viste che scatenano azioni e che alimentano il prossimo passo nel tuo processo di cyber security.

  • PREVENIRE: minimizzare la superficie d’attacco, prevenire gli incidenti

Imparare quali sono i rischi e i punti deboli ti aiuterà a prendere tutte le misure disponibili per ridurre la superficie d’attacco. Ci sono molte cose che puoi fare, ma dovrai ancora considerare le restrizioni con cui dovrai lavorare – budget e risorse le più comuni. Sistem hardening, configurazioni dei firewall e l’eliminazione mirata di vulnerabilità (sia nei software di terze parti che in quelli di tua proprietà) sono cose comuni da fare per ridurre i tuoi punti deboli. Questa è la fase del processo dove le soluzioni consolidate di sicurezza degli endpoint entrano in gioco. Queste soluzioni aiutano a prevenire di cadere vittima di malware con cui si entra in contatto. Anche nel caso in cui un exploit raggiunga l’ambiente bersaglio, esse filtrano la maggior parte dei milioni di bit malevoli del software. Questi livelli di protezione sono forniti attraverso moderni approcci come l’analisi della reputazione e meccanismi di controllo come i controlli di applicazioni o accesso web, ma anche attraverso scansione AV tradizionale.

La gestione automatica delle patch inoltre riduce la tua esposizione, e assicura che per le nuove vulnerabilità appena scoperte vengano applicate patch in modo tempestivo, riducendo drasticamente la finestra di tempo per attacchi di successo. Un’altra, spesso trascurata, misura preventiva è il miglioramento della cultura della sicurezza in azienda. Dopotutto, l’essere umano è tipicamente l’anello debole in una strategia della sicurezza, e studi recenti confermano che questo anello debole è comunemente il colpevole più citato negli incidenti di sicurezza.

  1. RILEVARE: riconoscere gli incidenti e le minacce, isolarle e contenerle

Il malware citato prima – Doqu 2.0 – utilizzava 3 debolezze sconosciute in precedenza – le cosiddette vulnerabilità zero-day. Presentava anche tecniche di evasione sofisticate che rendevano impossibile rilevarlo virtualmente per soluzioni di sicurezza tradizionali. Con simili super malware in circolazione e migliaia di nuovi metodi di attacco che emergono ogni giorno, devi lavorare con la consapevolezza che prima o poi qualcosa o qualcuno bucherà le tue difese. Lo scenario peggiore è che tu sia sotto attacco senza saperlo. Più a lungo sarai stato compromesso e maggiore sarà il danno, poiché gli attaccanti avranno avuto più tempo per muoversi lateralmente nel tuo ambiente rubando dati. La realtà di oggi è che le aziende impiegano mesi (non giorni) per rilevare una violazione una volta che è avvenuta.

Per ridurre questo cosiddetto tempo di sosta, devi mette in atto soluzioni e processi che ti permettano di individuare nuove minacce in progresso. Ciò richiede una varietà di cose, incluso l’accertarsi che la tua protezione degli endpoint non funzioni solo nel metodo ‘antidoto’ tradizionale (con il match delle firme) ma presenti anche rilevazione euristica che blocca e isola comportamenti sospetti nei tuoi endpoint. Vorrai anche una soluzione di monitoraggio che ti avvisa quando qualcosa di potenzialmente pericoloso si sta verificando nel tuo ambiente. E oltre ad aggiungere simili componenti tecnologici, devi sviluppare procedure nel tuo team di monitoraggio costante e di valutazione dello stato della sicurezza. Solo allora hai la migliore chance di reagire rapidamente agli incidenti, il che ci porta alla nostra ultima fase nel processo.

  1. RISPONDERE: reagire alle violazioni, mitigare i danni, analizzare e imparare

Come hanno dimostrato casi eclatanti come la violazione avvenuta in Sony, le aziende sono spesso impreparate a trattare con incidenti di sicurezza informatica. Se guardi alla sicurezza informatica come a una problematica di gestione del rischio, dovresti accertarti che sia previsto un piano di business continuity nel caso si verifichi un incidente. Le aziende non sono in grado di gestire molti di questi incidenti con le risorse interne. Quindi accertati di avere dei partner esperti che ti possano aiutare in caso di incidenti alla sicurezza. Il tempo è essenziale, e dopo la rilevazione di una violazione, rimane l’amaro dubbio su quanto in profondità l’intrusione sia andata e se tutte le tracce della violazione siano state rimosse. Avrai bisogno di usare competenze e strumenti di IT forensica per venire a capo di questo per ripristinare la fiducia nei tuoi sistemi. E anche dopo un pieno recupero, sarà importante capire ogni dettaglio di ciò che è avvenuto. Questo completa il cerchio, in quanto ti aiuta a scoprire nuovi punti deboli, che ti aiutano a fortificare le tue difese e migliorare il tuo approccio alla sicurezza.

In sintesi

La protezione non è mai al 100%. Ma la preparazione è tutto. Quindi intensifica la tua sicurezza per ridurre i rischi, e lavora sempre tenendo a mente che l’incidente può accadere. Seguire questo approccio ti permetterà, quando la violazione avviene, di gestire tutto professionalmente.

“Ci sono due tipi di aziende: quelle che sono già state violate e quelle che non lo sanno ancora.” 

 

Articolo tratto da ‘Cyber security is not a solution, but a process’, scritto da Jens Tonke, Executive VP Cyber Security Services, F-Secure

Valuta questo articolo

0 voti

0 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: