Anticipare gli attacchi e le minacce, rispondere in tempo reale, impostare trappole per contenerli e proteggere le risorse in base al loro valore, può aiutare le aziende a fermare criminali informatici sempre più sofisticati.

Nonostante tutte le risorse dedicate al miglioramento della sicurezza informatica, i livelli di minaccia continuano a crescere più rapidamente delle capacità di difesa. Gli attacchi perpetrati con  ransomware – vedi gli episodi più eclatanti come WannaCry e NotPetya  riscontrati nel corso del 2017 – sono casi esemplari.

A hard rain is gonna fall, profetizzava negli anni sessanta Bob Dylan in una delle sue più celebri canzoni. Se ai tempi il pericolo era quello di un fall-out atomico oggi l’incubo è il crimine informatico. E il diluvio si manifesta con azioni massive e devastanti come nel caso di attacchi ransomware e Ddos. Wannacry ha per esempio messo sotto assedio strutture informatiche critiche come ospedali e impianti produttivi di circa un centinaio di Paesi in tutto il mondo. Russia e Uk le aree geografiche più colpite. Risparmiata l’Italia dove i danni sono stati marginali.

Il ransomware – malware che rende virtualmente possibile riprendere il controllo dei propri computer solo dietro pagamento di un riscatto  – è un vettore di attacco che si è iniziato ad utilizzare in modo massiccio negli ultimi due anni e il suo utilizzo è incentivato dalle elevatissime opportunità di profitto.

Nel caso dei due più importanti attacchi ransomware del 2017 si è trattato di una perturbazione prevedibile. All’inizio dell’anno tutte le aziende di security si erano espresse infatti molto chiaramente, affermando che il ransomware si stava imponendo come il malware più diffuso e temibile. “Il 2017 sarà l’anno del ransomware“, si era ripetutamente dichiarato. Così è stato. Si deve peraltro aggiungere – come si è appreso dalle note informative rilasciate dalle security companies – che il malware era stato individuato in tempo utile e reso inoffensivo grazie a tempestivi aggiornamenti delle soluzioni di sicurezza.

Gli innumerevoli episodi che sii sono susseguiti a ritmo crescente negli utlimi cinque anni confermano  l’estrema pericolosità delle attuali organizzazioni criminali e dimostra che nulla deve essere sottovalutato; che i sistemi informatici vanno protetti, attenuando i possibili rischi. E’ indispensabile, come spesso più volte affermato dagli esperti, mettere in atto tutte le misure più adeguate, aggiornando innanzitutto i sistemi di sicurezza perimetrale e di endpoint ed eliminando, dove necessario, il parco macchine non più difendibile, in quanto obsoleto o non più supportato da aggiornamenti.

Come si è afferma nell’ultimo Rapporto Clusit la situazione è diventata da allarme rosso, non solo dal punto di vista quantitativo, ma anche dal punto di vista qualitativo: “Mai avremmo potuto immaginare che nel giro di un così breve tempo la situazione avrebbe raggiunto i livelli di gravità che si sono oggi evidenziati. Senza mezzi termini, il quadro che emerge dai dati è disastroso, e siamo ormai giunti ad una condizione di costante, quotidiano allarme rosso”.

Molte delle organizzazioni meglio protette del mondo sono state attaccate negli ultimi anni. A causa della proliferazione dei botnet e alla facile condivisione degli strumenti sul dark web, gli hacker stanno acquisendo una comprensione sempre più profonda dei potenziali bersagli e di come violarne le difese, riducendo contemporaneamente i costi da sostenere per realizzare gli attacchi.

L’aspetto positivo della situazione è che gli attacchi, come quello di WannaCry, hanno permesso di concretizzare una minaccia che è sempre sembrata lontana e astratta. Piuttosto che continuare in una posizione passiva, le organizzazioni devono adottare un modello di “difesa attiva”: dovrebbero anticipare gli attacchi, rilevare e rispondere in tempo reale, stabilire trappole e allarmi per contenere gli attacchi e adottare un approccio a più livelli per proteggere le risorse critiche.

Capire le sfide

Nonostante l’ambiente e la modalità delle minacce cambino costantemente, il modo in cui le aziende hanno risposto è rimasto sostanzialmente lo stesso, e si possono identificare tre principali motivi per cui questo non è più sufficiente:

  • La maggior parte delle organizzazioni non è impostata per contrastare gli errori dei dipendenti, una delle principali cause di violazioni. La propagazione di virus è infatti ancora largamente causata dall’apertura di   e-mail apparentemente innocue o dal download  di allegato dall’aspetto legittimo. È stimato che circa un terzo dei dipendenti tenda a cadere in queste trappole, e che circa il 15% di loro ripeterà l’errore.
  • Le aziende devono monitorare l’intera rete e prevedere le possibili vulnerabilità. Ma la maggior parte delle organizzazioni non ha questa capacità. Le difese del perimetro e la crittografia non sono sufficienti, perché inutili qualora gli intrusi siano già all’interno. I criminali sanno che i migliori obiettivi sono ben difesi, quindi tendono a sfruttare i punti deboli nella rete di clienti e fornitori di un’azienda.
  • Il livello di spesa richiesto è sostenibile da poche organizzazioni, quindi le organizzazioni IT sono quasi sempre sovraccariche e dotate di risorse insufficienti. Dopotutto, gli hacker hanno solo bisogno di un singolo strumento di attacco e di poche risorse focalizzate per centrare i propri obiettivi. Le organizzazioni IT devono invece stare attente a migliaia di potenziali minacce esterne provenienti da molteplici fonti. Devono essere in grado di filtrare le informazioni più pertinenti e avere una comprensione sufficientemente dettagliata di dove sono archiviati i loro dati più importanti e di cosa potrebbe metterli a rischio, per tentare di proteggerli in modo appropriato, il tutto continuando a supportare le esigenze dell’intera azienda. Cercare di gestire tutte queste richieste può portare a indecisioni e conflitti di priorità. Una risposta efficace richiede esperienza e capacità per rilevare, scoraggiare e difendersi da questi rischi.

Il modello di difesa attiva

La difesa attiva consente alle organizzazioni di coinvolgere e deviare gli aggressori in tempo reale, combinando le risorse di intelligence e di analisi delle minacce all’interno della funzione IT. Negli ultimi anni, alcune grandi organizzazioni hanno applicato questo modello operativo per rafforzare le proprie difese.

Però sono poche le organizzazioni che hanno la possibilità di stanziare un budget adeguato a costruire centri dedicati di questa portata. Queste aziende sono però in grado di agire su più fronti per rafforzare una difesa attiva: allineando il budget esistente, impegnando risorse esterne e stabilendo partnership per la condivisione delle informazioni.

Ecco gli elementi centrali di una difesa attiva:

  • Adottare un modello più proattivo, quindi un processo basato sull’intelligence in grado di anticipare gli attacchi prima che si verifichino. È importante coinvolgere esperti di sicurezza informatica, in gradi di monitorare un’ampia gamma di fonti.
  • Rilevare e rispondere agli attacchi in tempo reale. La diagnosi precoce dipende anche dalla capacità di tracciare modelli di traffico e di comportamento degli utenti che si discostano dalla norma. La sfida è capire che cosa è normale, dato che le aziende cambiano continuamente e il comportamento umano è imprevedibile. Rilevare intrusioni e anomalie sono due approcci ampiamente utilizzati. I sistemi di rilevamento delle intrusioni identificano le intrusioni in base a modelli di attacco noti. I modelli di rilevamento delle anomalie funzionano al contrario, cercando comportamenti che si discostano dai tipici pattern di rete.
  • Stabilire trappole e allarmi per contenere gli attacchi. I server e i sistemi esca sono un altro strumento che le aziende possono implementare come parte della loro difesa attiva, attirando gli attaccanti in un ambiente fittizio in cui possono essere studiati per ottenere ulteriori informazioni. È necessario però che siano sufficientemente convincenti da tenere gli intrusi all’interno abbastanza a lungo da permettere all’organizzazione di raccogliere informazioni utili.
  • A lungo termine, le aziende devono costruire strati di difesa per tenere al sicuro le risorse più critiche dell’azienda. Le architetture ad anello consentono di archiviare i dati in diversi livelli a seconda del valore e della sensibilità di tali risorse. Ogni livello richiede una chiave specifica e un protocollo di autorizzazione per gestire l’accesso. La penetrazione in uno qualsiasi dei livelli attiva allarmi specifici.

Insieme queste misure possono fare una profonda differenza. Una migliore intelligence e maggiore collaborazione possono aiutare le organizzazioni a sviluppare le capacità di difesa attiva di cui hanno bisogno per rispondere in modo più efficace a cyber-minacce sempre più pervasive e avanzate.

 

 

 

Per aggiornamenti in tempo reale su questo argomento, segui la nostra Redazione anche su Facebook, Twitter, Google+ o LinkedIn