Le nuove frontiere della Sicurezza IT
La cybersecurity non è una soluzione, ma un processo
Quattro sono le fasi individuate da F-Secure per costruire un’efficace strategia sulla sicurezza in azienda, senza trascurare fondamenta come gli antivirus, a torto giudicati obsoleti
La cybersecurity non è più sepolta nella sezione tecnologica di giornali e siti web, al contrario è nelle notizie in prima pagina. È addirittura un argomento di dibattito delle prossime primarie negli Stati Uniti ed è connessa con la minaccia di interruzioni di fornitura di energia a livello nazionale.
L’argomento ora interessa tutti i principali settori, paesi e altri spazi sociali. A causa del numero in continuo aumento di violazioni di dati, e del crescente aumento di attenzione verso questi fatti, i governi nel mondo stanno irrigidendo i requisiti di conformità (anche se alcune delle loro idee, come la domanda di backdoor crittografiche, non sono ancora state pensate). Anche le aziende, mai come ora, stanno iniziando ad assumersi maggiori responsabilità per queste problematiche di sicurezza, anche perché la normativa le porta a doversi assumere una maggiore responsabilità. Alcune persone vedono la cyber security come un cambiamento fondamentale nel modo in cui le aziende si proteggono e saltano alla conclusione che i concetti di sicurezza IT tradizionali devono essere gettati via. Ma questa non è la prima volta in cui l’anti-virus viene portato prematuramente all’obitorio. E come il vinile sopravvive come mezzo per apprezzare della grande musica, l’antivirus rimane una parte importante di ogni strategia completa di sicurezza. Le minacce e la sicurezza evolvono, quindi l’antivirus non è più solo ‘firme’
Le misure di sicurezza sviluppate 20 anni fa probabilmente non sarebbero sufficienti per proteggere le organizzazioni nel panorama attuale delle minacce. Ma le minacce non cambiano in una notte. Evolvono nel corso degli anni. E così fanno le soluzioni di sicurezza. Le nuove funzionalità di protezione, aggiunte alla tradizionale scansione antivirus basata su firme, hanno creato stack di protezione integrata con molteplici componenti.
Anche se la tecnologia è progredita, tuttavia, il modo in cui le aziende devono gestire la sicurezza oggigiorno è fondamentalmente differente dall’approccio di soli 5 anni fa. Due trend, in particolare, stanno guidando la nuova concezione della cybersecurity per le aziende.
In primo luogo, la crescente digitalizzazione dei processi e delle aziende sta procedendo a un ritmo senza precedenti. Un incidente di sicurezza informatica non è solo qualcosa che causa ore extra di lavoro per il dipartimento IT di un’azienda. Oggi, l’IT spesso alimenta il business di un’azienda lungo l’intera catena del valore e un singolo incidente può causare il brusco arresto delle operazioni o addirittura mettere in pericolo la sopravvivenza dell’azienda stessa.
In secondo luogo, le minacce stanno crescendo, sia in numero che in sofisticazione. Il 2014 è stato l’ottavo anno consecutivo in cui il numero di malware rilevato è raddoppiato, con una media di 81 attacchi al minuto. La stessa cosa è accaduta anche nel 2015. Allo stesso tempo, negli ultimi anni il malware ha raggiunto un nuovo livello di sofisticazione. Una delle ragioni per cui ciò sta accadendo risiede nel fenomeno degli Stati Nazionali che diventano i nuovi ‘attaccanti’, investendo enormi risorse per trovare e sfruttare debolezze nei sistemi di difesa sia di individui che di corporazioni. SICUREZZA INFORMATICA A 4 FASI
In F-Secure abbiamo adottato una vision della cyber security costruita sui concetti usati nell’Adaptive Security Architecture di Gartner. In breve, la nostra concezione ruota attorno alla considerazione che se un’azienda dipende dalle tecnologie informatiche e potrebbe essere danneggiata da un incidente di sicurezza, occorre considerare la sicurezza informatica come una questione di gestione del rischio, e meritevole dell’attenzione del tuo team di gestione. Ciò rende la sicurezza informatica più un processo che una problematica tecnica, strutturabile in quattro fasi.
PREDIRE OVVERO CONOSCERE I RISCHI
Per prendere le giuste misure di sicurezza, occorre comprendere dove dirigere l’attenzione. Un buon punto di partenza è valutare chi sono i potenziali avversari (criminali informatici, competitor, hacktivisti, terroristi o altro) e quali danni un incidente di sicurezza potrebbe causare, in sostanza un’analisi del rischio. Una vista completa della superficie d’attacco è consigliabile, ma molte aziende non conoscono nemmeno la loro impronta digitale, il che le rende inconsapevoli dei potenziali punti di ingresso di attaccanti e minacce. Inoltre, i sistemi IT in molte aziende sono cresciute in modo organico, con sistemi intrecciati, infrastrutture date in outsourcing e terze parti che sono digitalmente connesse e integrate con i processi di business. Mantenere tutto questo sotto un rigido controllo è virtualmente impossibile. E mentre ci sono soluzioni tecniche che forniscono la visibilità necessaria, mappare solo l’impronta digitale non è sufficiente. Occorre farne una scansione per valutare le vulnerabilità e trovare i punti deboli.
MINIMIZZARE LA SUPERFICIE DI ATTACCO
Imparare quali sono i rischi e i punti deboli aiuterà a prendere tutte le misure necessarie per ridurre la superficie d’attacco. Questa è la fase del processo dove le soluzioni consolidate di sicurezza degli endpoint entrano in gioco. Esse aiutano a prevenire dal malware con cui si entra in contatto. Anche nel caso in cui un exploit raggiunga l’ambiente bersaglio, esse filtrano la maggior parte dei milioni di bit malevoli del software. Questi livelli di protezione sono forniti attraverso moderni approcci come l’analisi della reputazione e meccanismi di controllo come i controlli di applicazioni o accesso web, ma anche attraverso scansione AV tradizionale. La gestione automatica delle patch inoltre riduce l’esposizione e assicura che per le nuove vulnerabilità appena scoperte vengano applicate patch in modo tempestivo, riducendo drasticamente la finestra di tempo per attacchi di successo. Un’altra, spesso trascurata, misura preventiva è il miglioramento della cultura della sicurezza in azienda.
RICONOSCERE INCIDENTI E MINACCE
Il malware Doqu 2.0 utilizzava tre debolezze sconosciute in precedenza, ovvero le cosiddette vulnerabilità zero-day. Presentava anche tecniche di evasione sofisticate che rendevano impossibile virtualmente per soluzioni di sicurezza tradizionali rilevarlo. Con simili super malware in circolazione e migliaia di nuovi metodi di attacco che emergono ogni giorno, si deve lavorare con la consapevolezza che prima o poi qualcosa o qualcuno bucherà le difese. Lo scenario peggiore è essere sia sotto attacco senza saperlo. Più a lungo una realtà sarà stata compromessa e maggiore sarà il danno, poiché gli attaccanti avranno avuto più tempo per muoversi lateralmente nel tuo ambiente rubando dati. Per ridurre questo cosiddetto tempo di sosta, occorre attivare soluzioni e processi che permettano di individuare nuove minacce in progresso. Ciò richiede una varietà di cose, come accertarsi che la protezione degli endpoint non funzioni solo nel metodo ‘antidoto’ tradizionale (con il match delle firme) ma presenti anche rilevazione euristica che blocca e isola comportamenti sospetti negli endpoint. Si può aggiungere anche una soluzione di monitoraggio che avvisi quando qualcosa di potenzialmente pericoloso si sta verificando.
MITIGARE I DANNI E ANALIZZARE
Come hanno dimostrato casi eclatanti, come la violazione avvenuta in Sony, le aziende sono spesso impreparate a trattare con incidenti di sicurezza informatica. Se si guarda alla sicurezza informatica come a una problematica di gestione del rischio, occorre accertarsi che ci sia un piano in atto di business continuity nel caso si verifichi un incidente. Le aziende che non sono in grado di gestirli con le risorse interne devono anche accertarsi di avere dei partner esperti, con competenze e strumenti di IT forensica per ripristinare la fiducia nei sistemi. Anche dopo un pieno recupero, sarà importante capire ogni dettaglio di ciò che è avvenuto
L’argomento ora interessa tutti i principali settori, paesi e altri spazi sociali. A causa del numero in continuo aumento di violazioni di dati, e del crescente aumento di attenzione verso questi fatti, i governi nel mondo stanno irrigidendo i requisiti di conformità (anche se alcune delle loro idee, come la domanda di backdoor crittografiche, non sono ancora state pensate). Anche le aziende, mai come ora, stanno iniziando ad assumersi maggiori responsabilità per queste problematiche di sicurezza, anche perché la normativa le porta a doversi assumere una maggiore responsabilità. Alcune persone vedono la cyber security come un cambiamento fondamentale nel modo in cui le aziende si proteggono e saltano alla conclusione che i concetti di sicurezza IT tradizionali devono essere gettati via. Ma questa non è la prima volta in cui l’anti-virus viene portato prematuramente all’obitorio. E come il vinile sopravvive come mezzo per apprezzare della grande musica, l’antivirus rimane una parte importante di ogni strategia completa di sicurezza. Le minacce e la sicurezza evolvono, quindi l’antivirus non è più solo ‘firme’
Le misure di sicurezza sviluppate 20 anni fa probabilmente non sarebbero sufficienti per proteggere le organizzazioni nel panorama attuale delle minacce. Ma le minacce non cambiano in una notte. Evolvono nel corso degli anni. E così fanno le soluzioni di sicurezza. Le nuove funzionalità di protezione, aggiunte alla tradizionale scansione antivirus basata su firme, hanno creato stack di protezione integrata con molteplici componenti.
Anche se la tecnologia è progredita, tuttavia, il modo in cui le aziende devono gestire la sicurezza oggigiorno è fondamentalmente differente dall’approccio di soli 5 anni fa. Due trend, in particolare, stanno guidando la nuova concezione della cybersecurity per le aziende.
In primo luogo, la crescente digitalizzazione dei processi e delle aziende sta procedendo a un ritmo senza precedenti. Un incidente di sicurezza informatica non è solo qualcosa che causa ore extra di lavoro per il dipartimento IT di un’azienda. Oggi, l’IT spesso alimenta il business di un’azienda lungo l’intera catena del valore e un singolo incidente può causare il brusco arresto delle operazioni o addirittura mettere in pericolo la sopravvivenza dell’azienda stessa.
In secondo luogo, le minacce stanno crescendo, sia in numero che in sofisticazione. Il 2014 è stato l’ottavo anno consecutivo in cui il numero di malware rilevato è raddoppiato, con una media di 81 attacchi al minuto. La stessa cosa è accaduta anche nel 2015. Allo stesso tempo, negli ultimi anni il malware ha raggiunto un nuovo livello di sofisticazione. Una delle ragioni per cui ciò sta accadendo risiede nel fenomeno degli Stati Nazionali che diventano i nuovi ‘attaccanti’, investendo enormi risorse per trovare e sfruttare debolezze nei sistemi di difesa sia di individui che di corporazioni. SICUREZZA INFORMATICA A 4 FASI
In F-Secure abbiamo adottato una vision della cyber security costruita sui concetti usati nell’Adaptive Security Architecture di Gartner. In breve, la nostra concezione ruota attorno alla considerazione che se un’azienda dipende dalle tecnologie informatiche e potrebbe essere danneggiata da un incidente di sicurezza, occorre considerare la sicurezza informatica come una questione di gestione del rischio, e meritevole dell’attenzione del tuo team di gestione. Ciò rende la sicurezza informatica più un processo che una problematica tecnica, strutturabile in quattro fasi.
PREDIRE OVVERO CONOSCERE I RISCHI
Per prendere le giuste misure di sicurezza, occorre comprendere dove dirigere l’attenzione. Un buon punto di partenza è valutare chi sono i potenziali avversari (criminali informatici, competitor, hacktivisti, terroristi o altro) e quali danni un incidente di sicurezza potrebbe causare, in sostanza un’analisi del rischio. Una vista completa della superficie d’attacco è consigliabile, ma molte aziende non conoscono nemmeno la loro impronta digitale, il che le rende inconsapevoli dei potenziali punti di ingresso di attaccanti e minacce. Inoltre, i sistemi IT in molte aziende sono cresciute in modo organico, con sistemi intrecciati, infrastrutture date in outsourcing e terze parti che sono digitalmente connesse e integrate con i processi di business. Mantenere tutto questo sotto un rigido controllo è virtualmente impossibile. E mentre ci sono soluzioni tecniche che forniscono la visibilità necessaria, mappare solo l’impronta digitale non è sufficiente. Occorre farne una scansione per valutare le vulnerabilità e trovare i punti deboli.
MINIMIZZARE LA SUPERFICIE DI ATTACCO
Imparare quali sono i rischi e i punti deboli aiuterà a prendere tutte le misure necessarie per ridurre la superficie d’attacco. Questa è la fase del processo dove le soluzioni consolidate di sicurezza degli endpoint entrano in gioco. Esse aiutano a prevenire dal malware con cui si entra in contatto. Anche nel caso in cui un exploit raggiunga l’ambiente bersaglio, esse filtrano la maggior parte dei milioni di bit malevoli del software. Questi livelli di protezione sono forniti attraverso moderni approcci come l’analisi della reputazione e meccanismi di controllo come i controlli di applicazioni o accesso web, ma anche attraverso scansione AV tradizionale. La gestione automatica delle patch inoltre riduce l’esposizione e assicura che per le nuove vulnerabilità appena scoperte vengano applicate patch in modo tempestivo, riducendo drasticamente la finestra di tempo per attacchi di successo. Un’altra, spesso trascurata, misura preventiva è il miglioramento della cultura della sicurezza in azienda.
RICONOSCERE INCIDENTI E MINACCE
Il malware Doqu 2.0 utilizzava tre debolezze sconosciute in precedenza, ovvero le cosiddette vulnerabilità zero-day. Presentava anche tecniche di evasione sofisticate che rendevano impossibile virtualmente per soluzioni di sicurezza tradizionali rilevarlo. Con simili super malware in circolazione e migliaia di nuovi metodi di attacco che emergono ogni giorno, si deve lavorare con la consapevolezza che prima o poi qualcosa o qualcuno bucherà le difese. Lo scenario peggiore è essere sia sotto attacco senza saperlo. Più a lungo una realtà sarà stata compromessa e maggiore sarà il danno, poiché gli attaccanti avranno avuto più tempo per muoversi lateralmente nel tuo ambiente rubando dati. Per ridurre questo cosiddetto tempo di sosta, occorre attivare soluzioni e processi che permettano di individuare nuove minacce in progresso. Ciò richiede una varietà di cose, come accertarsi che la protezione degli endpoint non funzioni solo nel metodo ‘antidoto’ tradizionale (con il match delle firme) ma presenti anche rilevazione euristica che blocca e isola comportamenti sospetti negli endpoint. Si può aggiungere anche una soluzione di monitoraggio che avvisi quando qualcosa di potenzialmente pericoloso si sta verificando.
MITIGARE I DANNI E ANALIZZARE
Come hanno dimostrato casi eclatanti, come la violazione avvenuta in Sony, le aziende sono spesso impreparate a trattare con incidenti di sicurezza informatica. Se si guarda alla sicurezza informatica come a una problematica di gestione del rischio, occorre accertarsi che ci sia un piano in atto di business continuity nel caso si verifichi un incidente. Le aziende che non sono in grado di gestirli con le risorse interne devono anche accertarsi di avere dei partner esperti, con competenze e strumenti di IT forensica per ripristinare la fiducia nei sistemi. Anche dopo un pieno recupero, sarà importante capire ogni dettaglio di ciò che è avvenuto