Fabio Sammartino lavora come Head of Pre-Sales in Kaspersky (nella foto). Ha una visione del cybercrime a largo spettro e, dal suo osservatorio privilegiato, può spiegare cosa stia accadendo attualmente in moltissime aziende italiane (e non) e come la Threat Intelligence possa aiutare a far quadrare il cerchio della sicurezza informatica.
“Negli ultimi mesi – spiega Sammartino – stiamo assistendo a un crescente numero di attacchi, soprattutto di tipo ransomware, nei quali i gruppi criminali utilizzano anche tattiche di public shaming, cioè pubblicano sulla rete Tor (per rimanere anonimi) informazioni sottratte all’azienda prima dell’attacco con richiesta di riscatto.
Particolarmente in questo periodo di pandemia, infatti, la vulnerabilità delle aziende è aumentata. L’emergenza Covid ha portato a una situazione di lavoro in remoto, nella quale l’architettura informatica di moltissime imprese è stata modificata in corsa e senza particolare attenzione ai temi della sicurezza. Ciò ha portato a una vertiginosa moltiplicazione di nuovi accessi dall’esterno a servizi che prima erano raggiungibili solamente dalla LAN. Il perimetro aziendale, dunque, si è molto esteso ed è infinitamente più fragile”.
Vulnerabilità in azienda e scarsa prevenzione
A questi fattori di recente comparsa, si aggiungono quegli elementi di innovazione tecnologica che già da qualche anno stanno cambiando il modo di lavorare e di produrre. Ci riferiamo all’IoT come al cloud, che espandono il perimetro da proteggere all’interno delle realtà professionali e produttive. “In effetti, oggi – prosegue Sammartino – all’interno di moltissime aziende della manifattura, ci sono impianti nei quali convivono sistemi Legacy con soluzioni IoT. Molti sistemi informatici che controllano i macchinari datati non sono stati mai aggiornati, ma parallelamente i nuovi componenti sensorizzati producono dati da interpretare, gestire, nonché proteggere. Un paradosso che rappresenta la sfida dei nostri tempi.
L’adozione di soluzioni cloud-based, invece, implica proprio un cambio di mentalità, perché il cloud non costituisce di per sé un pericolo dal punto di vista informatico. C’è bisogno, piuttosto di una nuova analisi del rischio e delle responsabilità sui dati, perché non tutto ricade sul provider. Servono, dunque, soluzioni e strategie di sicurezza che permettano la stessa visibilità e la stessa protezione dei dati in cloud”.
Un altro fattore di debolezza del quale i cyber criminali approfittano largamente è rappresentato dal livello mediamente basso di expertise all’interno delle aziende. Sammartino ne è certo: questa condizione di scarse competenze e consapevolezza all’interno delle aziende è un’enorme falla che solo un partner tecnico/consulenziale evoluto può aiutare a sanare. Mancano analisti, manca la visione del rischio e spesso le aziende si occupano specificamente di sicurezza informatica solo in situazione di crisi, cioè quando si verifica un attacco.
“Le strategie di prevenzione devono prevedere programmi di cybersecurity awareness e formazione. Non basta conoscere in maniera sommaria quali sono i rischi più comuni o accedere a dati pubblici sul mondo delle minacce informatiche. Se non si sa come utilizzare queste nozioni, è inutile conoscerle. Noi di Kaspersky forniamo gli strumenti tecnici e contemporaneamente proponiamo anche un reale accompagnamento delle aziende/clienti verso un percorso evolutivo di cyber sicurezza”, specifica il manager.
Threat Intelligence: prevenire è meglio che curare
Kaspersky studia i movimenti dei grandi gruppi criminali e li monitora. Le informazioni sulle tecniche, tattiche e procedure d’attacco sono fondamentali per adattare la strategia di protezione dell’azienda e, di conseguenza, rimanere sempre in uno stato predittivo anziché reattivo.
Ciò che è importante, infatti, è che le aziende siano costantemente pronte a impedire l’attacco, non solo a ripararne i danni.
La visione evolutiva della cyber security passa proprio dal concetto di prevenzione, quindi di profonda conoscenza del nemico e delle sue tecniche. “La Threat Intelligence di Kaspersky, infatti, si basa su informazioni qualificate che non sono geograficamente localizzate: la copertura globale è certamente uno dei punti chiave delle nostre soluzioni – approfondisce Fabio Sammartino -. La seconda peculiarità della nostra CTI è l’applicabilità dei dati raccolti. Noi traduciamo e rendiamo usabili le informazioni. per esempio fornendo gli indicatori di compromissione, inserendo questi indicatori all’interno dei nostri feed per portarli a tutti i livelli, a livello macchina, a livello governance, ovunque siano utili”.
Soluzioni semplici ma efficaci
Ma entriamo nello specifico delle soluzioni di Threat Intelligence Kaspersky: “La visibilità sulle minacce che la CTI può fornire e l’integrazione con i sistemi già presenti in azienda sono le due chiavi di lettura importanti delle nostre proposte – sintetizza Sammartino -. Così la nostra organizzazione risponde a tutti gli scenari più attuali e a tutte le aziende che hanno bisogno di uno strumento semplice, ma efficace per difendersi”.
Nel portafoglio di offerta Kaspersky, quindi, vi sono:
- soluzioni EDR (Endpoint Detection Response), che prevedono indicatori di compromissione capaci di rilevare attacchi avanzati sin dalle prime fasi;
- Sandbox, che abbinati a un EDR garantiscono una maggiore visibilità sulle minacce e una maggiore semplicità d’uso.
- Threat Data Feeds da integrare direttamente nel Siem, per le aziende dove vi sia una maggiore maturità o che abbiamo un security operation center (SOC);
- servizi MDR (Managed Detection and Response) che sfruttano la tecnologia del software endpoint Kaspersky come base d’installato, ma offrono al cliente la Threat Intelligence.
In pratica, la Cyber Threat Intelligence (CTI) Kaspersky è una composizione di strumenti che va modellata sulla specifica realtà dell’azienda/cliente e della sua strategia di security: in base al livello di competenza del cliente e delle tecnologie utilizzate si dosano le soluzioni di Threat Intelligence calandole nello specifico contesto. L’obiettivo è fornire strumenti sempre utilizzabili e integrabili nella strategia generale.
