Nelle aziende è sempre importante rilevare gli attacchi degli hacker il prima possibile. Un'analisi del comportamento aiuta ad accorciare il "tempo di permanenza" degli attacchi riusciti.
Gli hack sono spesso rappresentati nei film come una sorta di rapina digitale in banca: gli hacker sfondano i meccanismi di protezione del loro obiettivo in modo drammatico e poi hanno solo pochi minuti per rubare gli ambiti dati, mentre la sicurezza informatica cerca disperatamente di fermare gli aggressori . La realtà è molto diversa, perché la maggior parte dei cybercriminali si trova effettivamente a proprio agio sulla rete e talvolta vi trascorre mesi o anni prima di essere scoperta. Se hai così tanto tempo, puoi ovviamente causare molti danni e il tempo di permanenza è uno degli indicatori più importanti quando si analizzano gli hack riusciti per determinare la gravità di un attacco. In molti casi, anche poche ore di accesso possono portare alla compromissione di una quantità significativa di dati.
Gli aggressori trascorrono 56 giorni nell'ambiente di destinazione prima di essere rilevati
In un recente rapporto, il tempo medio globale di permanenza dei criminali informatici prima del rilevamento era di 56 giorni. Questo valore era significativamente migliore rispetto a quello dell'anno precedente, quando gli aggressori avevano ancora ben 78 giorni prima di essere scoperti. In alcuni casi, tuttavia, le violazioni sono rimaste inosservate per diversi anni, con gravi conseguenze per tutti i soggetti coinvolti. Uno dei motivi per cui gli attacchi possono passare inosservati per così tanto tempo è la crescente espansione delle reti della maggior parte delle organizzazioni. Più queste reti diventano grandi, disperse e disorganizzate, più è facile per i criminali rimanere nascosti. Una volta lì, gli aggressori navigano nella rete senza essere rilevati, scansionando ed esfiltrando i dati mentre procedono. Naturalmente, per le aziende che detengono dati sensibili sui clienti o dati di ricerca segreti, è un incubo immaginare che gli aggressori possano rimanere inosservati nella rete per mesi o addirittura anni. Numerosi esempi mostrano quanto gravi siano tali fughe di dati di lunga durata per le aziende interessate.
L'incubo della sicurezza IT: aggressori nella rete non rilevati per anni
Ci sono innumerevoli esempi di aziende che sono state vittime di attacchi hacker di successo che sono costati miliardi di danni. Il fornitore di servizi finanziari statunitense Equifax, ad esempio, ha perso il 2017% del suo valore di borsa dopo che nel 35 è stata resa nota un'importante fuga di dati, ha dovuto accettare un immenso danno alla sua reputazione e pagare più di mezzo miliardo di dollari di sanzioni. Anche il caso di Cathay Pacific nel 2018, in cui sono stati compromessi i dati di 9,4 milioni di passeggeri, è leggendario e quasi ineguagliato in termini di durata del soggiorno. L'indagine di Cathay Pacific ha impiegato più di sei mesi per scoprire una serie di rivelazioni scioccanti: la prima data nota di accesso non autorizzato alla rete risale a quasi quattro anni fa, nell'ottobre 2014. Quindi gli aggressori non sono stati rilevati sulla rete per ben quattro anni! E come se questo non fosse già abbastanza imbarazzante per la sicurezza informatica di Cathay Pacific, la vulnerabilità attraverso la quale erano penetrati gli aggressori era facile da sfruttare e, inoltre, era da tempo di dominio pubblico.
Entrambi i casi fungono da avvertimento su ciò che può accadere nel peggiore dei casi e da esempio che il danno può essere limitato se la violazione della sicurezza IT viene rilevata il prima possibile. È noto da tempo che ogni organizzazione è vulnerabile ed è solo una questione di tempo prima che si verifichi una violazione della sicurezza. Ciò solleva la questione di quali soluzioni e competenze la sicurezza IT abbia bisogno per poter rilevare queste attività dannose il prima possibile.
L'analisi avanzata del comportamento fornisce un sistema di allerta precoce molto migliore
Apparentemente, le competenze e le soluzioni utilizzate non sono in buona forma in molte aziende quando gli aggressori hanno in media due mesi per sentirsi a proprio agio in un ambiente bersaglio. Quando si tratta di prevenire del tutto gli attacchi o di ridurre il loro tempo di permanenza, molti team di sicurezza si trovano in una posizione piuttosto persa. Perché molte comuni soluzioni di sicurezza producono soprattutto una cosa: falsi allarmi. I team devono dedicare molto tempo all'elaborazione manuale del flusso di allarmi. Ciò lascia poco, se non nessuno, tempo per impegnarsi nel processo ancora più lungo di trovare gli aggressori che sono già entrati nella rete ed eliminarli.
Una tecnologia significativamente più efficace rispetto alla valutazione manuale degli avvisi di sicurezza è l'analisi comportamentale. Può aiutare a identificare utenti sospetti o attività di rete in modo più efficace. Le soluzioni di analisi del comportamento sfruttano i registri degli incidenti di sicurezza preesistenti, il che significa che conoscono già l'intero ambito e il contesto dei dettagli degli eventi correlati. Di conseguenza, gli analisti della sicurezza non devono più esaminare un gran numero di registri eventi per creare manualmente le tempistiche degli incidenti. Eliminando questo processo che richiede tempo, le potenziali violazioni della sicurezza possono essere rilevate molto più rapidamente, consentendo ai team di sicurezza di rintracciare rapidamente gli aggressori ed eliminando virtualmente il tempo di permanenza degli aggressori.
Conclusione: l'analisi del comportamento degli utenti e delle entità rileva le minacce in anticipo
Le moderne normative sulla privacy sono più severe che mai, il che significa che le aziende semplicemente non possono più permettersi di accontentarsi della sicurezza dei dati. Ma poiché le reti sono ora più grandi e disperse che mai, proteggerle con strumenti di sicurezza tradizionali e analisi manuali è diventato poco redditizio. Le nuove tecnologie, come l'analisi comportamentale avanzata, eliminano il lungo lavoro che gli strumenti precedenti richiedevano, evitando falsi positivi e aiutando a rilevare le minacce reali molto prima.
[stellaboxid=17]