In che modo le PMI traggono vantaggio dal rilevamento e dalla risposta della rete

10. Settembre 2021
| Non ci sono commenti

Condividi post

La tecnologia avanzata anti-crimine informatico utilizzata da anni dalle grandi organizzazioni è ora alla portata delle piccole imprese: Network Detection and Response.

Proteggersi nell'attuale tempesta di criminalità informatica è una sfida per le piccole e medie imprese, spesso con budget e risorse limitati. Le minacce si evolvono più rapidamente rispetto alle soluzioni di sicurezza informatica esistenti e i piccoli reparti IT non riescono a tenere il passo.

Il ransomware può colpire chiunque

Gli attacchi ransomware sono onnipresenti, ma il panorama delle minacce non si ferma qui: minacce persistenti avanzate, minacce interne e attacchi alla catena di approvvigionamento sono tra le numerose minacce quotidiane. Gli aggressori utilizzano le stesse tecnologie all'avanguardia dei fornitori di sicurezza informatica, come l'intelligenza artificiale (AI), la crittografia e la scansione delle vulnerabilità. Approfitta di un mercato nero maturo per malware e ransomware come servizio. Beneficiano di una superficie di attacco in continua espansione, che sta crescendo a causa della rapida adozione di soluzioni cloud, IoT e federazione delle identità. Ad esempio, i recenti attacchi alla catena di approvvigionamento come quelli su Solarwinds e Kaseya sembrano perfettamente legittimi agli strumenti di sicurezza tradizionali. I dispositivi IoT, i dispositivi non gestiti o personali e le macchine virtuali o i container dimenticati creano punti ciechi di sicurezza.

Risorse raggruppate in un'unica dashboard

Quando le piccole imprese hanno la fortuna di avere analisti della sicurezza, queste risorse devono consultare più dashboard per rilevare e comprendere una minaccia o un attacco complesso. Queste sono le tipiche frasi che si sentono dai responsabili della sicurezza informatica nelle aziende più piccole: "Sono ben consapevole che abbiamo punti ciechi nella rete e grandi lacune nella nostra architettura di sicurezza. Vediamo solo una parte della rete e dei dispositivi”. Con così tanti strumenti di sicurezza disponibili, non sanno come dare la priorità agli avvisi: "Cosa dovrei fare prima e cosa dovrei ignorare?" E quando rispondono alle minacce, devono scavare manualmente attraverso diversi sistemi e registri per ottenere un risultato significativo. "È così inefficiente e richiede troppo tempo per indagare sulla causa principale di un incidente di sicurezza".

Rilevamento di minacce nella rete

Una cosa è rimasta la stessa nel corso degli anni: ogni grave violazione della sicurezza coinvolge il traffico di rete. Ad esempio, se gli hacker vogliono rubare dati, devono portare il loro bottino in una posizione specifica. Gli attacchi recenti, come l'attacco "Sunburst" alla supply chain, possono essere rilevati solo (a) riconoscendo che c'è qualcosa che non va nel traffico di rete e (b) essendo in grado di reagire immediatamente a quell'attività e fermarla.

Ciò richiede il rilevamento e la risposta automatizzata a livello di rete, che pochissime organizzazioni, in genere grandi aziende, hanno implementato oggi. Gartner definisce Network Detection and Response (NDR) come soluzioni che "utilizzano principalmente tecniche non basate su firme... per rilevare il traffico sospetto sulle reti aziendali". Secondo gli analisti, gli strumenti di rapporto di mancato recapito "analizzano continuamente il traffico non elaborato e/o le registrazioni dei flussi... per creare modelli che riflettano il normale comportamento della rete" e il sistema emette avvisi "quando rileva schemi di traffico sospetti". Altre funzioni chiave delle soluzioni NDR sono le risposte automatiche o manuali (vedere Gartner, "Market Guide for Network Detection and Response", pubblicata l'11 giugno 2020).

La soluzione NDR identifica le risorse sulla rete

In altre parole, una soluzione NDR identifica tutte le risorse sulla rete, inclusi i dispositivi IoT e i dispositivi non gestiti. Analizza i metadati di rete completi e il traffico di rete, sia il traffico est/ovest che nord/sud (ossia il traffico interno e il traffico che attraversa il perimetro della rete). Utilizzando sensori posizionati sulla rete, monitora il traffico, tiene traccia di tutti i metadati di rete e integra questi dati con i registri di altre soluzioni di sicurezza esistenti come sicurezza degli endpoint, EDR, firewall, soluzioni SIEM e SOAR. Poiché il rapporto di mancato recapito funziona con copie di questi dati, non sono necessari agenti o altre modifiche nella rete.

Vista a 360 gradi della rete

Di conseguenza, le organizzazioni ottengono una visione a 360 gradi per comprendere le minacce esterne o interne. Vedono quando i dati lasciano la loro rete verso una posizione sospetta all'estero. Notano quando un PC accede a domini o URL dannosi. Ti accorgi quando il malware inserisce copie crittografate di dati sulla rete. Avvisano gli analisti della sicurezza quando il server Web della telecamera IP risulta vulnerabile. E possono fermare e mitigare istantaneamente molte di queste minacce con funzionalità di risposta automatizzata.

Thomas Krause, direttore regionale DACH-NL presso ForeNova Technologies (Immagine: ForeNova).

Il rapporto di mancato recapito non è nuovo e ha già subito alcune modifiche. Si chiamava NTA (Network Traffic Analysis) o NTSA (Network Traffic Security Analysis). L'approccio è ora maturato e ha un elemento di risposta più sofisticato. Tuttavia, è ancora uno strumento piuttosto raro che viene ormai utilizzato quasi esclusivamente in aziende molto grandi. Perché?

Grandi quantità di dati possono generare falsi positivi

Il punto chiave è che queste grandi aziende sanno esattamente cosa c'è in gioco. Consapevoli del rischio esistenziale che la loro azienda deve affrontare e dell'infinita superficie di attacco, non sono disposti a pagare alcun prezzo per una soluzione che aiuti davvero. Forniscono anche tutta la manodopera necessaria per avere gli esperti che li gestiscono. Una sfida importante è che gli strumenti NDR tendono a restituire molti falsi positivi a causa della grande quantità di dati che esaminano. Quindi, fino ad ora, per finanziare un team che si occupasse dell'ondata di falsi positivi, se volevi beneficiare del rapporto di mancato recapito, avevi bisogno di un sostanzioso budget per la sicurezza informatica. Inoltre, solo le grandi aziende erano disposte e in grado di affrontare questo diluvio di falsi positivi.

Rendi i rapporti di mancato recapito gestibili e convenienti per le PMI

I recenti progressi rendono i rapporti di mancato recapito più gestibili per le aziende più piccole. In poche parole, le seguenti sette innovazioni NDR stanno rivoluzionando il gioco:

  • Intelligenza artificiale: gli strumenti di rapporto di mancato recapito tradizionali hanno rilevato molte deviazioni dal comportamento della rete modellato. Ma non tutte rappresentavano minacce reali, anzi, la maggior parte erano falsi allarmi. Ci sono voluti molti specialisti per prendersi cura di questi falsi positivi. Utilizzando l'intelligenza artificiale, i moderni strumenti di rapporto di mancato recapito possono ora funzionare per le PMI restringendo gli avvisi a quegli eventi su cui è veramente necessario agire automaticamente o che devono essere esaminati da uno specialista umano.
  • Machine Learning: l'odierno machine learning può modellare il normale comportamento del traffico di rete in modo molto più accurato rispetto alle generazioni precedenti. Diversi algoritmi di apprendimento identificano e correlano centinaia di fattori nei dati di rete, portando a modelli molto più granulari.
  • Interfaccia utente altamente visualizzata: niente fa risparmiare più tempo agli analisti della sicurezza di un'interfaccia utente pulita e visualizzata. È molto più facile per te avere una panoramica di ciò che è importante e di ciò che deve essere fatto. Inoltre, è molto più facile per loro spiegare alla direzione cosa è successo quando ottengono rapporti chiari e visualizzati.
  • Rilevamento automatico di tutte le risorse nella rete: i punti ciechi nella rete sono il punto di ingresso perfetto per hacker e malware. Non puoi proteggere ciò che non puoi vedere. Con l'aiuto del rilevamento automatico, i moderni strumenti di rapporto di mancato recapito eliminano precocemente i punti ciechi e forniscono agli analisti della sicurezza informazioni in tempo reale sulla rete.
  • Integrazione con protezione degli endpoint, firewall, SIEM, EDR e altri strumenti: l'integrazione funziona in due modi. Da un lato, l'aggregazione dei file di registro dalle tecnologie di sicurezza esistenti aiuta a modellare lo stato normale. D'altra parte, può accelerare la reazione. Ad esempio, i playbook predefiniti possono automatizzare una quarantena immediata per un endpoint infetto o l'interruzione del traffico in uscita al firewall. Se vieni violato, il tempo è essenziale per mitigare gli effetti. E l'integrazione con altri sistemi di sicurezza può far risparmiare tempo.
  • Indagine automatizzata sugli incidenti e correlazione degli eventi: un attacco sofisticato è sempre costituito da una complessa catena di attacchi. Quando il loro sistema è stato violato o qualcosa sembra sospetto, gli analisti della sicurezza devono capire da dove proviene la minaccia mentre il tempo stringe. Con i moderni motori di correlazione, possono facilmente ricondurre qualsiasi evento alla sua causa principale e colmare qualsiasi vulnerabilità o lacuna.
  • Misure di risposta standard: poiché le risorse di sicurezza IT sono limitate, come accade per quasi tutte le piccole e medie imprese, le aziende devono automatizzare il più possibile la risposta alle minacce. L'utilizzo di risposte predefinite predefinite, come la messa in quarantena delle risorse di rete infette, può mitigare gli attacchi quasi in tempo reale. Gli strumenti di rapporto di mancato recapito possono definire playbook che attivano più azioni contemporaneamente, che vanno da e-mail e SMS ai membri del team, alla reimpostazione delle password e all'aggiornamento delle regole del firewall.

Grazie ai recenti sviluppi dei rapporti di mancato recapito, molte più piccole imprese sono ora in grado di rilevare le minacce sempre più sofisticate sulla loro crescente superficie di attacco. Le soluzioni NDR richiedono meno risorse perché distinguono tra minacce reali e falsi positivi, danno priorità alle azioni e automatizzano la risoluzione delle minacce. È ancora la tempesta perfetta là fuori, ma con l'aiuto di NDR, le PMI sono molto meglio attrezzate per farcela.

Altro su ForeNova.com

 

A proposito di ForNova

ForeNova è uno specialista della sicurezza informatica con sede negli Stati Uniti che offre alle aziende di medie dimensioni servizi di rilevamento e risposta di rete (NDR) convenienti e completi per mitigare in modo efficiente i danni causati dalle minacce informatiche e ridurre al minimo i rischi aziendali. ForeNova gestisce il data center per i clienti europei a Francoforte a. M. e progetta tutte le soluzioni conformi al GDPR. La sede europea è ad Amsterdam.

 

Articoli relativi all'argomento

Sicurezza IT: NIS-2 ne fa una priorità assoluta

Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più

Gli attacchi informatici aumenteranno del 104% nel 2023

Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più

Lo spyware mobile rappresenta una minaccia per le aziende

Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più

La sicurezza in crowdsourcing individua molte vulnerabilità

La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più

Sicurezza digitale: i consumatori hanno più fiducia nelle banche

Un sondaggio sulla fiducia digitale ha mostrato che le banche, la sanità e il governo sono i soggetti più fidati da parte dei consumatori. I media- ➡ Leggi di più

Borsa di lavoro nel Darknet: gli hacker cercano insider rinnegati

La Darknet non è solo uno scambio di beni illegali, ma anche un luogo dove gli hacker cercano nuovi complici ➡ Leggi di più

Impianti solari: quanto sono sicuri?

Uno studio ha esaminato la sicurezza informatica degli impianti solari. I problemi includono la mancanza di crittografia durante il trasferimento dei dati, password standard e aggiornamenti firmware non sicuri. tendenza ➡ Leggi di più

Nuova ondata di phishing: gli aggressori utilizzano Adobe InDesign

Attualmente si registra un aumento degli attacchi di phishing che abusano di Adobe InDesign, un sistema di pubblicazione di documenti noto e affidabile. ➡ Leggi di più

racconti
, , , , ,