Sicurezza e prevenzione

Prevenire gli attacchi mirati: i professionisti della sicurezza informatica trovano il sistema

Chief Security Officer ed esperti della sicurezza informatica chiamati in causa per misurare i loro problemi con il malware avanzato utilizzato negli attacchi a bassa prevalenza e mirati. I risultati dell’indagine hanno aiutato gli specialisti a capire meglio le dinamiche e a definire le strategie a supporto della sicurezza informatica.

Pubblicato il 22 Lug 2016

malware-sicurezza-160722190038

Quando si parla di attacchi mirati, nonostante i molti investimenti, le aziende hanno comunque sempre grossi problemi per contrastare le minacce e mantenere alti i regimi di sicurezza IT.

Il rilevamento per tutti è il problema in cima alla lista. Analizzando più in dettaglio la questione, per il 36% delle organizzazioni la prima criticità rimane riuscire a filtrare l’alert dal rumore di fondo, al secondo posto c’è la complessità di evitare i falsi positivi (25%) e al terzo posto troviamo la difficoltà  di formulare una risposta tempestiva attraverso notifiche di violazione funzionali ed efficaci (13%).

A rivelarlo è un’indagine condotta per il secondo anno consecutivo dagli esperti di McFee, da tempo braccio armato di Intel Security, in occasione della Conferenza Black Hat che ha chiamato a raccolta Chief Security Officer ed esperti della sicurezza chiamati a misurare i loro problemi con il malware avanzato utilizzato negli attacchi a bassa prevalenza e mirati. I risultati dell’indagine hanno aiutato gli specialisti a capire meglio le dinamiche e a definire le vision e le strategie migliori a supporto della sicurezza.

In sintesi, tutti i problemi della governance derivano da un’integrazione insufficiente di diversi elementi funzionali:

  • controllo
  • acquisizione di informazioni
  • analitiche
  • elementi di imposizione dell’architettura di sicurezza

Cosa serve, dunque? La risposta degli esperti è chiara: una serie di tecnologie incrociate a supporto del processo di prevenzione/rilevamento/risposta agli eventi malevoli.

Attacchi mirati: ecco come lavorare di prevenzione e di integrazione

La sicurezza informatica, overo la sicurezza delle informazioni, è basata su una buona gestione delle informazioni. Suona tautologico ma è quanto mai vero. La condivisione di informazioni sul contesto in tempo reale, infatti, supporta il rilevamento precoce degli attacchi così come la prevenzione adattiva delle minacce. Il Big Data Management nella sicurezza ha un valore strategico oltre che tattico perché l’utilizzo di algoritmi e indicatori potenzia i livelli di sicurezza aiutando meglio a contestualizzare il contesto e a prendere in considerazione una serie di informazioni contestuali o meno che concorrono a formare il quadro di insieme utile a interpretare anomalie o comportamenti sospetti. Solo se il tutto è compreso in un sistema integrato, i flussi e i sistemi di monitoraggio, analisi e segnalazione diventano veramente efficaci. L’integrazione migliora l’efficacia mentre la condivisione attiva dei dati e i processi accelerati di controlli incrociati permettono ad ogni controllo di sicurezza di sfruttare i punti di forza e le esperienze pregresse. Non a caso gli esperti parlano sempre più spesso di prevenzione adattiva delle minacce, che sta rapidamente sostituendo le architetture tradizionali non integrate, dal momento che gli addetti alla sicurezza lavorano per ottenere un vantaggio sostenibile contro le minacce complesse.

In estrema sintesi, piuttosto che trattare ogni interazione del malware come un evento a se stante, un modello di prevenzione adattiva delle minacce integra processi e dati attraverso un livello di messaggistica efficiente. In questo modo si dispone di livelli rafforzati di controllo e analisi associate a diverse forme di informazioni e collegate ai componenti end-to-end per generare e utilizzare la maggior quantità di datii fruibili possibili da ogni contatto e processo.

Gli elementi base della prevenzione adattiva degli attacchi mirati

Nel caso di attacchi mirati, il passaggio a una prevenzione adattiva delle minacce aiuta a superare le recinzioni funzionali fin troppo comuni che frenano il rilevamento, la risposta e qualsiasi possibilità di una migliore prevenzione. L’isolamento di dati e controlli singoli, infatti, complica le operazioni e aumenta il rischio.

Per esempio, i dati generati da ogni controllo e il contesto di ciascuna situazione sono raccolti male e raramente condivisi. Un firewall può bloccare la ricezione di un payload da un dominio non attendibile perché conosce le comunicazioni, non perché conosca il malware. Se arriva da un dominio attendibile quel pacchetto verrà ammesso. Allo stesso modo, l’antimalware potrebbe bloccare dei payload sconosciuti, in arrivo da indirizzi notoriamente malevoli, se sa vedere oltre o all’interno del payload per considerare gli indirizzi IP.

La questione fondamentale è che se non sono integrate le funzioni di sicurezza mantengono le aziende in uno stato di emergenza, portandole a uno stato di reazione continua, mettendo in campo risorse umane a ogni segnalazione di violazione. L’inefficienza del processo allunga i tempi di esposizione dei dati e delle reti agli aggressori più determinati che riescono a infiltrarsi nei sistemi aziendali e a operare indisturbati.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati