3 consigli per rilevare gli incidenti

cybersecurity, Report, Suggerimenti

Un nuovo report di F-Secure rivela che quasi l’80% delle investigazioni di risposta agli incidenti inizia dopo che è stato violato il perimetro di sicurezza di un’azienda. Non solo, ma circa il 13% delle investigazioni è condotto su “falsi allarmi”, per cui le aziende investono tempo e soldi cercando di bloccare un attacco invece di risolvere problemi IT.

La sfida posta dal riuscire a rilevare incidenti di sicurezza è un tema noto. Erka Koivunen, Chief Security Officer di F-Secure, ha evidenziato in un articolo che gli studi danno stime molto differenti su quanto tempo serve a un’azienda per rilevare una violazione, e che diverse violazioni molto note sono rimaste nascoste per più di un anno. E in molti casi, le aziende vengono a sapere di essere state violate da terze parti invece che da capacità di rilevazione interne.

Ma la domanda da un milione di dollari è “cosa possono fare le aziende per vincere la sfida?” La rilevazione di un incidente richiede personale specializzato, strumenti e processi, che possono mettere a dura prova le risorse di cyber security di un’organizzazione. Considerati questi costi potenziali, non sorprende che le aziende siano riluttanti ad affrontare la questione.

Ma il panorama delle minacce in continua evoluzione, unito alle nuove regolamentazioni come il GDPR, e al controllo sempre più attento da parte degli utenti sulla capacità di un’azienda di rispondere agli incidenti, fa sì che per le aziende tale capacità non sia più procastinabile né da sottovalutare.

Ecco alcune delle sfide che le aziende devono affrontare nella rilevazione di incidenti e qualche consiglio su cosa possono fare.

L’evidenza di una violazione sta nei dati, quindi raccoglili con criterio

Rilevare incidenti di sicurezza non è un gioco in cui si tira a indovinare. Devono esserci evidenze che qualcosa non va. E non devi attendere di leggere che c’è un problema sui giornali o di ricevere un messaggio dall’attaccante che ti informa di aver preso in ostaggio i tuoi dati.

I log sono una fonte importante e sono usati molto nelle investigazioni di Incident Response (IR). Quindi, l’ideale è adottare un approccio sistematico per aggregare e monitorare i log in tutta la tua organizzazione. E’ anche consigliabile raccogliere ulteriori elementi. Evita però di raccogliere troppi dati, perché il loro ammontare può diventare insostenibile (leggi più sotto).

Filtrare i dati può essere doloroso, ma necessario

Cosa fai con tutti i dati che raccogli? Devi filtrarli se vuoi che ti diano informazioni utili.

Ipotizziamo che tu stia raccogliendo dati sufficienti per avere una vista abbastanza completa della tua rete: avrai milioni di eventi da analizzare. Per esempio, il team del Rapid Detection Center di F-Secure – che gestisce Rapid Detection Service – ha raccolto circa 2 milioni di eventi in un mese da 1300 sensori installati presso un cliente.

Dopo aver scartato gli eventi non degni di nota, sono rimasti circa 900.000 eventi. Alla fine di un processo esaustivo di arricchimento, correlazione e analisi compiuto su questo set di dati, sono stati identificati 25 eventi sospetti. Poi, un processo che ha visto un’analisi manuale e la collaborazione col cliente ha portato alla luce che 15 di quei 25 eventi erano vere minacce.

E’ importante notare che Rapid Detection Service di F-Secure è una soluzione dedicata di rilevazione e risposta agli incidenti, configurata da F-Secure per raccogliere solo eventi correlati a potenziali minacce. Le organizzazioni che non dispongono delle funzionalità interne per fare tutto ciò possono trovarsi rapidamente ad annegare nei dati senza gli strumenti o le competenze giusti (competenze che scarseggiano in tutto il mondo) per analizzarli. Ma se questo viene ben fatto, le organizzazioni dovrebbero arrivare ad avere un numero limitato e gestibile di eventi che richiedono un’azione.

Le anomalie sono “tracce”, quindi sii pronto a seguirle

Quindi cosa cercare? Tutto ciò che è fuori dall’ordinario potrebbe rappresentare una potenziale preoccupazione. Anomalie che fanno presagire un attacco potrebbero includere un utente non-admin che cerca di accedere a molteplici server, un gran numero di tentativi di login in un lasso di tempo breve, attività che accadono in momenti strani, e altro ancora. Dovresti anche confrontare i log con i feed di intelligence delle minacce per trovare qualsiasi indicatore di una compromissione (per esempio scoprire attività da IP noti come malevoli).

In un mondo perfetto, un’analisi accurata di questi eventi potenzialmente minacciosi potrebbe portare facilmente e velocemente a determinate spiegazioni, come qualcuno che lavora fino a tardi, password dimenticate, e un errore di rete causato da un aggiornamento recente.

Ma nel mondo reale, alcuni di questi eventi indicano incidenti di sicurezza. E mentre la risposta agli incidenti delle organizzazioni può essere vista come una problematica separata, Tom Van de Wiele, Principal Security Consultant di F-Secure, sostiene che un’efficace rilevazione degli incidenti può rafforzare le capacità di un’organizzazione di rispondere agli stessi – cosa che chiunque, dagli amministratori IT, ai membri del board aziendale, ai CISO e ai CEO, apprezzerà quando si verificherà una crisi.

Ogni processo di risposta agli incidenti inizia con la stessa domanda: si tratta di un incidente? Il costo della risposta a questa domanda dipende da quanto velocemente un’azienda determina se si tratta di un incidente, da quanto i suoi processi e procedure siano fluenti e efficaci, da quale sia la qualità della sua tecnologia e forensica, e da quanto il suo personale sia preparato,” spiega Tom. “Una volta che un’organizzazione ha tra le mani i fatti basati sulle sue capacità di rilevazione, e non su supposizioni o assunzioni, allora il processo può continuare con i passi successivi che solitamente sono contenimento e sradicamento.”

SCARICA IL REPORT

 

Articolo tratto da “3 reasons why companies struggle with incident detection” di Adam Pilkey, Content Editor Corporate Communications F-Secure Corporation.

0 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

w

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: