Difesa interna: sicurezza informatica con una visione interna. A causa del pericolo, le organizzazioni stanno rafforzando le loro difese contro gli attacchi informatici dall'esterno. Tuttavia, spesso dimenticano di guardarsi dentro. Le nuove tecnologie aiutano a fermare gli aggressori che sono già sulla rete.
Per i criminali informatici, la crisi della corona e le sue conseguenze significano uno stato d'animo da corsa all'oro: mai prima d'ora molte aziende sono state così vulnerabili come lo sono oggi. Tuttavia, la sicurezza IT sta lentamente recuperando terreno per garantire la maggiore superficie di attacco causata dai dipendenti distribuiti e aumenta le barriere di sicurezza attorno all'azienda e ai suoi dipendenti che lavorano da casa. Molte organizzazioni trascurano il fatto che le soluzioni utilizzate sono dirette solo verso l'esterno e non verso l'interno, dove si nascondono i pericoli a volte maggiori.
Gli estorsori informatici stanno diventando sempre più presi di mira
La crittografia ransomware dei dati è un buon esempio di minacce esterne. Sono diffusi ampiamente dagli aggressori utilizzando il principio dell'annaffiatoio e il successo per i criminali tende ad essere casuale, a seconda di quale dipendente ha fatto clic su un'e-mail di phishing. Ma anche se i dati sono stati crittografati, le aziende possono utilizzare strumenti di decrittazione, recoveryware o semplici backup per contrastare e recuperare i dati.
In risposta, molti estorsori informatici stanno diventando più mirati. Puntano sempre più i loro attacchi alle organizzazioni i cui dati sono considerati più preziosi o dove il potenziale di danno reputazionale è maggiore. Perché queste aziende sono più disposte a pagare un riscatto, anche se è per il fatto che i dati non diventano pubblici. A tale scopo, i criminali studiano le potenziali vittime individualmente e in modo molto dettagliato per poter valutare con precisione il potenziale di un attacco riuscito. Alla fine, decidono quali organizzazioni attaccare in base alle aspettative di profitto. Queste nuove minacce molto più mirate richiedono una risposta diversa rispetto agli attacchi più indiscriminati del ransomware.
Le nuove minacce richiedono risposte più intelligenti
Dal punto di vista delle operazioni di sicurezza IT, gran parte della sfida nella difesa dai criminali informatici risiede nel rilevare e indagare su potenziali attacchi utilizzando gli indicatori di compromissione (IOC). Questi possono essere indirizzi IP sospetti e/o inseriti nella lista nera, URL di phishing noti e firme di file dannose. Idealmente, i classici strumenti di sicurezza che utilizzano questi IOC, come il rilevamento delle intrusioni, i firewall e la sicurezza degli endpoint, impediscono alle organizzazioni di cadere vittime di un attacco riuscito prima che lo facciano loro.
Strumenti classici per attacchi classici
Questo approccio può funzionare per il ransomware, in cui i dati vengono immediatamente crittografati dopo un attacco riuscito. Con gli attacchi mirati, i criminali devono cercare a lungo nella rete per trovare i dati giusti che valga la pena rubare. Le aziende possono avere petabyte di dati archiviati in molti luoghi diversi. Per ottenere questi preziosi dati, i criminali devono investire molto più tempo e fatica. Tuttavia, gli strumenti di sicurezza rivolti verso l'esterno non sono in grado di rilevare gli utenti interni compromessi perché, a prima vista, sono completamente legittimi sulla rete. Per rilevare gli attacchi in questa fase, le organizzazioni hanno bisogno di altri strumenti di sicurezza. E poiché a volte i criminali possono rimanere nella rete per molto tempo, è importante individuarli il prima possibile prima che possano causare ulteriori danni.
Il fattore tempo offre un vantaggio alla sicurezza IT
Egon Kando è Area Vice President of Sales Central, Southern and Eastern Europe presso Exabeam (Foto: Exabeam).
A volte, i criminali possono trascorrere mesi o addirittura anni all'interno di un'infrastruttura, facendo di tutto per non essere scoperti mentre si fanno strada attraverso la catena di difesa fino ai gioielli della corona dei dati dell'azienda. Tuttavia, questo offre anche piccoli vantaggi alla difesa: da un lato, hanno più tempo per cercare gli intrusi rispetto al ransomware e, dall'altro, i criminali lasciano tracce mentre si muovono nella rete.
La sicurezza IT può sfruttare queste opportunità per evitare che accadano cose peggiori, a condizione che disponga degli strumenti necessari per indirizzare la visione della sicurezza verso l'interno. Perché gli IOC sono invariabilmente rivolti verso l'esterno, il che li rende inutili per rilevare gli aggressori già presenti sulla rete.
SIEM e UEBA: la difesa centrale efficace
Le soluzioni SIEM (Security Information and Event Management) compilano registri da una varietà di fonti e li analizzano per comportamenti di rete normali e sospetti. L'ultima generazione di SIEM si basa su UEBA (User Entity Behavior Analytics), che si basa su algoritmi di apprendimento automatico e monitora continuamente il comportamento di utenti e dispositivi nella rete. Ad esempio, quando si accede a file insoliti o sono in esecuzione applicazioni cospicue. Questa analisi dei dati del registro di rete deve essere automatizzata perché ce n'è semplicemente troppa per essere esaminata manualmente dai team di sicurezza in modo efficace e in tempo reale.
Accorcia le reazioni agli attacchi
Tuttavia, l'identificazione di comportamenti sospetti è solo una parte del lavoro. Perché ora è necessario reagire il più rapidamente possibile per prevenire danni imminenti o limitarli il più possibile. Per poter definire la portata della reazione, l'incidente deve essere investigato a fondo. Ciò include la creazione di una sequenza temporale che mostra tutte le attività degli utenti e dei dispositivi coinvolti e valuta se sono normali o insolite. Fatto ciò, la risposta può essere pianificata e implementata. I team di sicurezza IT sono supportati da soluzioni SOAR (Security Orchestration, Automation and Response) per l'automazione e l'orchestrazione delle misure di difesa necessarie utilizzando vari prodotti di sicurezza. SOAR è, per così dire, il libero della difesa, che reagisce agli attacchi in modo mirato il più rapidamente possibile dopo il rilevamento e l'analisi.
I playbook dedicati possono automatizzare completamente le mitigazioni, come l'isolamento di un host o il divieto di un indirizzo IP per limitare l'impatto. Oltre a tempi di risposta più rapidi, questo riduce il tempo medio di ripristino (MTTR) in quegli scenari critici in cui il tempo è essenziale.
Non sentirti mai al sicuro
Anche se le soluzioni di difesa esterna come il rilevamento delle intrusioni, i firewall e la sicurezza degli endpoint non hanno lanciato l'allarme, la sicurezza IT nelle aziende dovrebbe sempre aspettarsi che i criminali informatici siano in qualche modo nella rete e che gli aggressori stiano cercando di rintracciarli in modo proattivo. Per fare questo, ha bisogno di soluzioni di sicurezza che guardino verso l'interno".
Ulteriori informazioni su Exabeam.com
A proposito di Exabeam Exabeam sta per Smarter SIEM™. Exabeam consente alle organizzazioni di rilevare, indagare e rispondere agli attacchi informatici in modo più efficiente, in modo che i loro team di sicurezza e minacce interne possano lavorare in modo più efficiente. Le organizzazioni di sicurezza non devono più convivere con prezzi gonfiati, attacchi distribuiti mancati e minacce sconosciute o indagini manuali e contromisure. Con Exabeam Security Management Platform, gli analisti della sicurezza possono raccogliere dati di registro illimitati, utilizzare l'analisi comportamentale per rilevare attacchi e automatizzare la risposta agli incidenti, sia on-premise che nel cloud. Exabeam Smart Timelines, sequenze di comportamenti di utenti ed entità create attraverso l'apprendimento automatico, riducono ulteriormente il tempo e la specializzazione necessari per rilevare le tattiche, le tecniche e le procedure degli aggressori. Exabeam è finanziato privatamente da Aspect Ventures, Cisco Investments, Icon Ventures, Lightspeed Venture Partners, Norwest Venture Partners, Sapphire Ventures e dal noto investitore di sicurezza Shlomo Kramer. Ulteriori informazioni sono disponibili su www.exabeam.com. Segui Exabeam su Facebook, Twitter, YouTube o LinkedIn.