Osservando la situazione generale delle minacce, il numero di attacchi informatici alle aziende e le segnalazioni di attacchi riusciti, i criminali informatici sembrano essere sempre un passo avanti rispetto alla sicurezza IT con i loro attacchi innovativi. Un appello per la costruzione di una strategia di sicurezza informatica a lungo termine.
Non c'è da stupirsi: molti CISO e CIO si preoccupano principalmente di mitigare gli attacchi che si verificano sul momento piuttosto che guardare al panorama delle minacce in continua evoluzione a lungo termine. Con una strategia di sicurezza informatica completa ea lungo termine, le aziende sarebbero armate in modo molto più efficace contro gli attacchi futuri. Nonostante il gran numero di attacchi nel presente, questo è del tutto possibile, perché il futuro non è affatto così incerto come si potrebbe pensare. Molte nuove minacce sono sofisticate evoluzioni di vettori di attacco esistenti.
Nuove minacce, vecchi vettori di attacco
Per molti versi, l'industria della sicurezza stessa è responsabile dell'attuale "strategia miope". Molti fornitori di tecnologia utilizzano la paura e l'incertezza dei clienti come strumento di vendita, sostenendo che la sicurezza informatica si sta evolvendo così rapidamente che non si sa cosa verrà dopo. Sebbene questo approccio alla pratica decisionale che allarmi la paura possa aiutare a vendere i prodotti di sicurezza più recenti, incoraggia anche attivamente una mentalità a breve termine. Sebbene sia vero che emergono continuamente nuove minacce, molti dei vettori di attacco su cui si basano sono cambiati poco negli ultimi decenni. Mentre le organizzazioni criminali attaccavano i mainframe negli anni 'XNUMX e 'XNUMX, oggi attaccano le piattaforme cloud, ma utilizzando tattiche e tecniche molto simili.
Ad esempio, quasi tutti gli attacchi alle moderne reti aziendali sono il risultato di uno spear phishing riuscito. La tecnica esiste da almeno un decennio, mentre il phishing esiste dagli anni '90. Inoltre, l'ingegneria sociale è un fattore chiave in quasi tutti gli attacchi informatici. Questi metodi di attacco non sono affatto nuovi, né lo sono le principali strategie di difesa contro di essi: formazione regolare sulla sicurezza informatica e rilevamento rapido di comportamenti "anomali" degli utenti sulla rete.
Sicurezza informatica con automazione e ML
Forse la più grande differenza tra allora e oggi è la scala. Nel tempo, i gigabyte si sono trasformati in terabyte e petabyte. Il modo in cui le persone lavorano in organizzazioni ampiamente distribuite in un mondo globalizzato, spesso in viaggio o dal proprio ufficio, è cambiato in modo significativo nell'ultimo decennio. Tutto ciò rende molto più difficile per i team di sicurezza tenere sotto controllo i dati sensibili e individuare modelli di comportamento anomali.
Fortunatamente, l'analisi dei dati e il rilevamento delle anomalie è un'area in cui le nuove tecnologie sviluppate possono davvero fare la differenza. I progressi nell'automazione e nell'apprendimento automatico, ad esempio, significano che le aziende stanno ora costruendo piattaforme che possono sottrarre gran parte del lavoro manuale ai team di sicurezza. Anche i costi di queste tecnologie stanno diminuendo. Una volta riservato alle aziende più grandi, le aziende di tutte le dimensioni possono ora trarre vantaggio da queste nuove tecnologie.
Il futuro non è così incerto come alcuni pensano
Nonostante questi progressi, molti fornitori nel settore della sicurezza informatica continuano a promuovere il fattore paura: affermano che l'informatica quantistica sarà la prossima pietra miliare per i criminali informatici perché renderà molto più facile decifrare la crittografia e le password. I criminali informatici stanno anche aumentando il tasso dei loro attacchi grazie all'automazione e collaborando in modo molto più efficace, ad esempio tramite "Hacking as a Service" condividendo strumenti zero-day e dati di nome utente/password, riducendo così in modo significativo la dipendenza dalle tecniche di ingegneria sociale.
Sebbene ciò possa essere vero, non c'è ancora motivo di farsi prendere dal panico. Perché anche se i criminali fossero in grado di ottenere l'accesso alle reti senza utilizzare il social engineering, esistono già tecnologie come User & Entity Behavior Analytics (UEBA) che possono contrastarlo. UEBA funziona confrontando il comportamento di utenti e dispositivi legittimi (entità) sulla rete per un periodo di tempo, impostando parametri di "attività normale" in base a criteri chiave come la posizione geografica, i tempi di accesso e l'accesso ai file. Se il comportamento di un utente si discosta troppo dal comportamento normale noto, come l'accesso dalla Cina alle XNUMX del mattino quando normalmente accedono alla rete da Monaco durante il normale orario di lavoro, questo comportamento viene automaticamente segnalato come sospetto al team di sicurezza.
Analisi del comportamento invece della guerra tecnologica
Anche se i criminali utilizzassero il computer quantistico anziché l'ingegneria sociale per decifrare le credenziali di un utente, il loro comportamento sulla rete li catturerebbe rapidamente. L'altro vantaggio significativo dell'utilizzo dell'analisi comportamentale è che tutti i dati di attività rilevanti provenienti da altri flussi di attività possono essere uniti automaticamente in avvisi di incidente. Ciò fornisce ai team di sicurezza un contesto istantaneo sul livello di rischio di un evento, che supporta una risposta e una mitigazione molto più efficaci delle conseguenze dell'attacco.
Conclusione: espandere la pianificazione della sicurezza informatica
Nonostante ciò che alcuni angoli del settore della sicurezza informatica possono dire, è possibile pianificare molto più avanti di quanto molte organizzazioni realizzino. Nuove minacce emergono continuamente, ma quando le osservi più da vicino, diventa evidente quanto siano sorprendentemente simili agli attacchi precedenti. Allo stesso tempo, le tecnologie utilizzate per difendersi da questi attacchi, che sono rimaste molto simili, si sono evolute in modo significativo grazie ai progressi del machine learning e dell'automazione. Quindi non c'è più alcun motivo per non preoccuparsi o pianificare il futuro. Con questo in mente, è tempo di passare dal pensare alla sicurezza informatica in cicli di budget standard da tre a cinque anni a come estendere efficacemente la pianificazione oltre gli orizzonti decennali. Anche se non conosciamo i dettagli di ciò che accadrà, è probabile che sembrerà molto più familiare di quanto pensiamo.
Ulteriori informazioni su Exabeam.com[stellaboxid=17]