Cyber Security? Tutto quello che c’è da sapere in otto punti essenziali
Come passare da un approccio alla sicurezza informatica basato sulla difesa passiva dagli attacchi a un modello più proattivo basato sull’analisi dei profili di rischio.
Cultura della sicurezza, obiettivi sensibili, verifica costante, analisi dei comportamenti, profili di rischio, previsione degli attacchi, integrazione e collaborazione
In questi ultimi anni gli hacker hanno avuto più visibilità a livello mondiale, compromettendo obiettivi realmente sensibili e potendo usufruire dell’eco mediatico dei Social Network in cui team come Anonymous hanno generato orde di veri e propri fan. L’approccio dei moderni criminali informatici si è evoluto di pari passo con l’innovazione tecnologica. Con l’aumentare della frequenza dei reati in materia di sicurezza informatica crescono anche i costi per gestire i danni causati dalle violazioni. Inoltre, nonostante continui significativi investimenti in strumenti di Cyber security il “time to detection” nelle aziende continua ad aumentare, dimostrando che l’efficacia è inversamente proporzionale all’aumento degli investimenti.
Assodato che il “Time to detection” sia in costante aumento, dobbiamo anche evidenziare che la maggior parte del lavoro di “Detection” – ossia di scoperta di un attacco – avvenga DOPO il fatto stesso, o addirittura alla fine dell’attacco, parallelamente al calcolo dei danni.
Gli analytics permettono di valutare e gestire in modo ottimale le diverse tipologie di rischio, compreso quello derivato dagli attacchi informatici, passando da un modello di difesa basato sul controllo delle regole a uno più proattivo basato sull’analisi dei comportamenti anomali, in una logica più integrata di gestione del rischio.
Gli attacchi informatici devono poter accedere alla vostra rete per azionare la catena di ingranaggi necessaria per un “hack”, indentificando ed estrapolando dati sensibili e rivendibili a caro prezzo: la rete Tor, meglio conosciuta come Darkweb, è in questo senso un po’ un moderno mercato nero in cui si rivendono, oltre a svariate attività o servizi criminali-armi-droghe, identità digitali complete per pochi Bitcoin (valuta virtuale).
Ne consegue che una priorità assoluta sia la riduzione, o meglio l’annullamento, del time to detection di questi attacchi, consentendo alle organizzazioni di mitigare in tempo reale i veri attacchi distinguendoli dal “rumore” causato da troppi falsi positivi.
La cyber security ormai è una priorità per tutti, dal CEO al dipendente che può essere dichiarato responsabile per una perdita di informazioni, Senza distinzioni. Se volete rendere la vostra azienda più sicura contro le violazioni informatiche, ecco tutto quello che dovete sapere per essere pronti e fare le scelte giuste.
1
Educate i vostri dipendenti
I vostri dipendenti sono la prima linea di difesa contro la criminalità informatica, quindi è importante che comprendano come i loro stessi comportamenti possano essere causa di un attacco. Anche un semplice errore può finire per avere un costo elevato per l’organizzazione.
2
Fate la lista dei possibili obiettivi di un attacco
Immaginate di essere un pirata informatico: quali sarebbero i dati sensibili che varrebbe la pena rubare? I criminali informatici sono interessati a qualsiasi tipo di dati personali (nomi, indirizzi, date di nascita e numeri di previdenza sociale) che possono essere utilizzati a scopo di frode. Se siete una banca, i vostri obiettivi ad alto valore includono anche le informazioni sugli account e i numeri di conto. Per una agenzia di intelligence governativa, l’obiettivo potrebbe riguardare le infrastrutture critiche. Sia che si tratti di dati personali, di informazioni sui pagamenti oppure dei dati di un progetto segreto al quale state lavorando, qualcuno potrebbe provare a rubarli.
3
Comprendete qual è la vostra posizione
La criminalità informatica è di per sé un problema dell’IT. E per questo, prima di tutto, è necessario farsi qualche domanda per valutare l'infrastruttura IT. Dove vengono conservati i dati sensibili? Quante persone hanno accesso a tali dati? E quali sono le misure di protezione? Quali sono i punti deboli del vostro sistema? Quanti server o workstation attualmente hanno problemi di configuration management? Quanti attacchi sui server si sono verificati lo scorso mese e l’anno scorso? La conoscenza del proprio ambiente IT è il primo passo per una corretta strategia di cyber security.
4
Abbracciate gli analytics
In molti casi, i criminali più esperti usano attacchi a bassa intensità per infiltrarsi nelle reti. Questi attacchi rientrano nella normale attività di rete e per questo sono difficili da rintracciare con i sistemi basati su regole tradizionali. Con il monitoraggio e l’estrazione dei log di sicurezza sulle reti, i dispositivi e le applicazioni utilizzate, combinate al netflow del traffico passante in tempo reale, gli analytics possono identificare cambiamenti anche minimi nelle attività. E attraverso la correlazione dei dati, gli analytics possono mettere insieme un quadro più completo di ciò che accade nella vostra rete - per avvertirvi in tempo reale di modifiche importanti che richiedono interventi immediati.
5
Profilate i comportamenti
Il modo migliore per identificare un comportamento anomalo è tracciare tutto ciò che è normale. Con l’estrazione dei dati storici, gli analytics creano un profilo basato sui comportamenti di vari soggetti ed elementi, tra cui dipendenti, reti, workstation e server. Sulla base di un determinato profilo, gli analytics possono rilevare rapidamente se un comportamento varia dalla norma. Si può dire, per esempio, se un dipendente (o un esterno che utilizza le credenziali di accesso di un dipendente) sta visitando siti web all'estero o sta inviando pacchetti sulla rete in modo atipico. I profili di rischio sono un modo essenziale per rilevare le intrusioni a bassa intensità, spesso trascurate da sistemi basati solo sulle regole e consentono di inviduare comportamenti anomali che ad un’analisi basata su regole potrebbero sembrare legittimi.
6
Siate proattivi
Non aspettare che si verifichi un attacco informatico per mettere in campo le dovute contromisure. I sistemi basati sulle regole sono reattivi per definizione. Per fermare i comportamenti fraudolenti bisogna provare qualcosa di nuovo. Gli analytics si concentrano sul “qui e ora”, permettendo di rispondere a nuove vulnerabilità in tempo reale e consentendo pertanto di anticiparle all’inizio della catena dell’attacco evitando qualsiasi perdita o fuga di dati
7
Abbattete i silos e integrate le fonti dati
Le grandi organizzazioni spesso memorizzano i dati in diversi sistemi legacy. Molti si sono evoluti in questo modo attraverso fusioni e acquisizioni. L’acquisizione di una nuova società ha spesso coinciso con l'adozione di un nuovo sistema. Una volta lo storage era costoso, e così in molti casi non era possibile memorizzare i dati di grandi dimensioni in un unico luogo, ma dovevi suddividerlo in silos. E non si tratta soltanto di silos difficili da proteggere, si tratta anche di una sfida per gli analytics, che funzionano meglio quando le diverse fonti di dati convergono in un unico ambiente. In questo senso, considerando le enormi quantità di eventi che si creano e che devono essere analizzati da un sistema di cybersecurity (anche più di 200.000 eventi al secondo) va da sé che il concetto di storage sia del tutto obsoleto e che di fatto qualsiasi analisi ed indagine vada svolta “in memory”.
8
Lavorate insieme
Se vogliamo combattere la criminalità informatica con successo, abbiamo bisogno di funzionare come una comunità, condividendo le informazioni. I criminali informatici sono fonte di preoccupazione per molti settori, dalle banche al retail. Per fronteggiare gli attacchi informatici, non si può giocare solo in difesa, ma è necessario imparare dalle minacce precedenti nei settori maggiormente colpiti. Il 30/09/2015 l’IOCTA (Internet Organised Crime Threat Assessment) ha infatti pubblicato il proprio resoconto annuale con le guide linea per una maggiore e più organizzata collaborazione tra le forze dell’ordine anche a livello internazionale.
