Difficile proteggere quello che non si vede e difendersi da attacchi che non si rilevano. Per questo CrowdStrike potenzia le sue piattaforme con nuove funzioni di XDR e visibility.
Autore: f.p.
Il motivo principale per cui le aziende di cyber security fanno costantemente evolvere i loro prodotti non è la necessità di motivare nuove vendite con qualche funzione in più. È adeguare le proprie soluzioni allo scenario delle minacce che, contrariamente a quanto pensano molte aziende, cambia altrettanto costantemente. La pandemia Covid prima e il conflitto russo-ucraino poi, spiega ora Crowdstrike, hanno cambiato la dinamica degli attacchi e l'importanza di chi li porta avanti. La vecchia "triade" hacktivist-ecrime-nazioni ha sostanzialmente perso il primo membro e oggi le azioni ostili verso imprese e PA sono portate avanti da attori che hanno sia motivazioni sia mezzi di tutto rilievo.
Poco importa che gli attacchi siano lanciati per fare spionaggio, destabilizzare elezioni, esflitrare dati, bloccare infrastrutture critiche o realizzare truffe e ricatti. Fatto sta che il volume, l'intensità e la sofisticazione degli attacchi sono in costante aumento. E se l'obiettivo è interessante, non c'è problema a mettere in atto attacchi "manuali" mirati, anche con azioni di ingegneria sociale che riescono ad aggirare controlli che una volta si consideravano assai solidi, come l'autenticazione a più fattori.
Davanti a questo scenario, le aziende sono svantaggiate perché chi attacca ha ben chiaro il suo obiettivo e come perseguirlo, mentre chi si difende deve tenere d'occhio molti fronti diversi. Su cui, tra l'altro, non ha sempre una piena visibilità. Qui la sigla magica dovrebbe essere XDR: eXtended Detection and Response, ossia la capacità di avere un approccio olistico e trasversale alla protezione da attacchi e da altri rischi della cyber security. Il che richiede - altrimenti addio trasversalità - la possibilità di raccogliere ed analizzare tutti i dati necessari a capire lo stato di sicurezza di una infrastruttura IT completa.
Come spiega Amol Kulkarni, Chief Product and Engineering Officer di Crowdstrike, un XDR realmente efficace "deve abilitare funzioni di analisi e rilevamento degli attacchi che coprano tutti i domini dell'IT aziendale", perché "ciascun dominio ha già le sue funzioni di detection, ma ci sono segnali deboli che si possono contestualizzare solo esaminando più domini allo stesso tempo, in modo da rilevare attacchi che una analisi dei singoli domini oggi si farebbe sfuggire".
Questa filosofia è alla base della "trasformazione" della precedente piattaforma Falcon Insight in Falcon Insight XDR. La semplice aggiunta di una sigla in più indica che ora il raggio di visibilità di Falcon Insight non comprende solo le informazioni raccolte direttamente dai tool Crowdstrike ma si estende anche a quelle raccolte dalla telemetria effettuata dai prodotti e dalle piattaforme di alcuni partner tecnologici. I nomi in gioco sono molti, perché comprendono tutti i membri vecchi e nuovi della CrowdXDR Alliance (Cisco, Cloudflare, Fortinet, Google Cloud, Netskope, Servicenow, Zscaler, solo per citare i più noti) e diverse terze parti tra cui ora anche Microsoft e Palo Alto Networks.
Fare alleanze è il modo migliore per potenziare le funzioni di difesa, spiega Amol Kulkarni, perché i membri della XDR Alliance lavorano su "uno schema dati condiviso, che facilita l'analisi delle informazioni legate alla cyber security e la velocizza". Collaborare con le terze parti fuori dalla Alliance è un po' più complesso, perché serve convertire i dati tra schemi diversi e allo stesso tempo fare in modo che queste conversioni non rallentino il monitoraggio delle reti.
Crowdstrike ha presentato anche altre novità, pensate per migliorare la "security posture" delle imprese in alcuni ambiti specifici. Una di queste novità riguarda il tema sempre caldo della cloud security e in particolare l'applicazione dei principi Zero Trust nella gestione degli accessi alle risorse cloud. Una buona fetta dei problemi di sicurezza del cloud, sottolinea in questo senso Crowdstrike, è legata proprio a una gestione non corretta delle identità, dei privilegi e delle procedure di accesso alle risorse nella "nuvola".
La risposta dell'azienda è il potenziamento della piattaforma CrowdStrike Cloud Security con alcune funzioni di CIEM (Cloud Infrastructure Entitlement Management) e con l'integrazione del Crowdstrike Asset Graph. Il Graph permette a Cloud Security di "vedere" davvero tutte le risorse in cloud e le loro configurazioni per come sono rilevate dai tool Crowdstrike. Le funzioni CIEM, in estrema sintesi, poi abilitano verso le risorse in cloud i principi di controllo sicuro degli accessi e dei privilegi che sono ben noti on-premise ma che troppo spesso non si riescono ad applicare agli ambienti estremamente dinamici e frammentati del cloud.
Altre due novità riguardano il campo ben collaudato della gestione e dell'analisi dei dati di log. Per Crowdstrike questa gestione è sempre molto utile, e non solo alla cyber security, ma gli strumenti tradizionali per farla non sono più adeguati alle esigenze delle imprese. Questo soprattutto perché fanno fatica a gestire un volume di informazioni che cresce di continuo e che va analizzato in tempo reale.
Per questo Crowdstrike ha sviluppato, grazie anche alle tecnologie acquisite tempo fa con Humio, uno strumento di nuova generazione per il log management: Falcon LogScale. Accanto allo strumento stand-alone nasce anche un servizio gestito - Falcon Complete LogScale - che unisce le sue funzioni con il supporto di un team di tecnici dedicato.
Infine, la sempre maggiore "attenzione" delle azioni di attacco cyber verso le infrastrutture critiche e gli ambienti IoT ha spinto Crowdstrike a potenziare la sua piattaforma Falcon Discover, che rileva e mappa gli elementi chiave (asset, applicazioni, account) di una rete. In particolare, un nuovo modulo - Falcon Discover for IoT - estende le funzioni della piattaforma agli ambienti IoT e ai sistemi di controllo industriale (ICS).
"L'asset inventory continua a essere un punto debole per molte aziende, ancora di più quando cercano di estenderlo dalla parte IT a quella OT", spiega Amol Kulkarni. Aumentare il raggio d'azione di Falcon Discover serve proprio a colmare questo gap, dando una base su cui le imprese possono poi costruire la propria strategia di sicurezza.