Oggi gli attacchi dei cybercriminali sono individuati sempre più facilmente dagli IT manager a livello di server o reti, cosa diversa è per quelli rivolti a endpoint o device mobile. Questo risulta evidente nella ricerca Sophos, fornitore di soluzioni per la protezione delle reti e dell’endpoint, dal titolo “7 scomode verità dell’endpoint security” che ha rilevato che 37% è il tasso di attacchi rilevati su server o reti, mentre solo il 17% viene identificato a livello di endpoint e il 10% su dispotivi mobili.
La ricerca ha coinvolto più di 3.100 decision maker in ambito IT di aziende di medie dimensioni in 12 paesi, e Chester Wisniewski, principal research scientist di Sophos l’ha commentata spiegando che “I server custodiscono informazioni sensibili relative all’azienda, ai suoi dipendenti e ai dati finanziari e le normative sempre più stringenti – come il GDPR – mettono le imprese nella condizione di dover comunicare tempestivamente eventuali attacchi subiti. La sicurezza informatica a livello server e rete ha dunque conosciuto una notevole impennata e resta una priorità assoluta per le aziende. Di conseguenza, gli IT manager dedicano massimo impegno a proteggere queste aree al fine di prevenire il possibile ingresso di attacchi proprio da questi due punti di accesso che diventano inevitabilmente il luogo in cui è più facile individuare e bloccare i cybercriminali. Tuttavia, gli IT manager non devono ignorare gli endpoint perché molti cyber attacchi iniziano proprio lì ed è allarmante notare che troppo spesso ancora non sia possibile identificare come e quando le minacce siano entrate nel sistema”.
Il ruolo delle soluzioni EDR – Endpoint Detention and Response
Il 20% degli IT manager che nell’ultimo anno sono stati vittime di uno o più attacchi, non sono in grado di identificare come sia avvenuto l’ingresso delle minacce e il 17% non sa per quanto tempo tali pericoli siano stati presenti nel sistema prima di essere rilevati.
Al fine di ovviare a questa mancanza di visibilità, gli IT manager devono avvalersi di soluzioni EDR (Endpoint Detention and Response) in grado di rivelare il punto di partenza della diffusione delle minacce e l’impronta digitale lasciata dai cybercriminali che si muovono lateralmente all’interno di una rete.
“Se i responsabili IT – ha continuato Wisniewski – non riescono a individuare l’origine o il modo in cui si muove un attacco, non saranno in grado di ridurre al minimo i rischi per la sicurezza aziendale e interrompere la catena di attacco al fine di prevenire ulteriori infiltrazioni pericolose. L’EDR supporta gli IT manager nell’identificazione del rischio e nella messa a punto di un processo per le aziende che si trovano ad entrambi i lati del Security Maturity Model: nel caso in cui l’IT sia prevalentemente concentrato sul rilevamento, l’EDR potrà supportarlo trovando, bloccando e rimediando ai danni dell’attacco. Se invece l’IT aziendale sta ancora costruendo le fondamenta della sicurezza, l’EDR rappresenterà una componente fondamentale, andando a fornire la Threat Intelligence necessaria”.
Secondo la ricerca Sophos, in media, le aziende che si trovano ad affrontare uno o più attacchi alla propria sicurezza ogni mese, dedicano circa 48 giorno all’anno (circa 4 al mese) per analizzarli.
Non c’è dunque da sorprendersi se gli IT manager hanno indicato l’identificazione di eventi sospetti (per il 27%), la gestione degli alert (per il 18%) e l’assegnazione di priorità agli eventi sospetti (per il 13%) come le tre principali funzionalità che si aspettano di trovare in una soluzione EDR, al fine di ridurre sensibilmente il tempo dedicato ad identificare e contrastare gli alert di sicurezza.
A questo proposito, la ricerca Sophos ha evidenziato che il 57% degli intervistati ha dichiarato che prevede di implementare una soluzione EDR entro i prossimi 12 mesi e, inoltre, che scegliere l’EDR significa colmare una lacuna nelle competenze. L’80% degli intervistati ha ammesso che sarebbe utile avere a disposizione un team più ricco e preparato.
“La maggior parte degli attacchi spray and pray (nei quali l’hacker diffonde una quantità elevata di link infetti destinandoli a un ampio gruppo di persone, aspettando che alcune di esse cadano in trappola) può essere bloccata – ha concluso Wisniewski – in pochi secondi a livello endpoint senza generare alcun allarme. Gli attacchi persistenti, inclusi quelli di tipo ransomware come SamSam, si prendono invece il tempo necessario per bucare un sistema aziendale, individuando a esempio password o sistemi di accesso remoto (RDP, VNC, VPN…) semplici da bypassare e trovando così il punto d’appoggio dal quale muoversi silenziosamente fino a riuscire a portare a termine l’attacco. Con la sicurezza approfondita garantita dall’EDR, gli IT manager potranno analizzare molto più rapidamente l’attacco subito e utilizzare i risultati ottenuti attraverso la Threat Intelligence per trovare le infezioni simili all’interno di un sistema. Quando i cybercriminali capiscono che un certo tipo di attacco funziona, tendono a replicarlo all’interno dell’azienda che vogliono colpire. Scoprire e bloccare i modelli di attacco significa dunque ridurre drasticamente i giorni che i responsabili IT devono dedicare allo studio dei potenziali incidenti di sicurezza”.
