Si sa: per i cybercriminali il settore retail rappresenta un bersaglio particolarmente appetitoso, dal momento che i dati che vi vengono memorizzati risultano decisamente preziosi e i danni che un attacco di successo è in grado di causare possono essere enormi dal punto di vista sia finanziario che della reputazione.
Colpisce, allora, secondo i risultati di una recente ricerca condotta da Ponemon Institute su 675 società appartenenti al settore retail, il dato secondo cui occorrono mediamente 197 giorni per rilevare attacchi mirati e almeno 38 per contenere le minacce.
Questo significa che chi si trova illegalmente all’interno di una rete, ha a disposizione un lasso di tempo enorme per muoversi liberamente e raggiungere i propri obiettivi, qualunque essi siano.
Come se non bastasse, lasciano intendere i risultati della ricerca, in molti casi la violazione viene scoperta solo quando i dati sottratti iniziano a circolare successivamente all’attacco.
Da qui la constatazione di Ivan Straniero, Territory manager South-East and Eastern Europe di Arbor Networks, secondo cui l’integrazione dell’intelligence sulle minacce all’interno della funzione di risposta agli incidenti da sola non basta. La sua utilità dipende, infatti, dalla pertinenza e dalla tempestività dell’intelligence medesima e perde rapidamente valore man mano che l’infrastruttura compromessa viene ripristinata dall’utente o modificata dall’hacker.
Come se non bastasse, rileva Straniero tornando a riferirsi all’indagine Ponemon, solo il 17% dei retailer interpellati mette in condivisione la propria intelligence con altre aziende o enti pubblici in antitesi con il 43% riportato dal settore finanziario che, oltre a essere un altro campo esaminato dallo studio, vanta tempi di rilevamento e contenimento delle minacce decisamente più brevi.
Da qui l’evidenza secondo cui, condividere l’intelligence con altre organizzazioni operanti nel medesimo settore, concorrenti compresi, è importante ed è un aspetto che molti comparti dovrebbero migliorare.
Verso una analisi attiva delle anomalie
Tanto più che uno degli altri elementi interessanti emerso dalla ricerca è che un terzo dei retailer interpellati sta considerando di introdurre un “team di cacciatori” per ridurre i tempi di rilevamento e contenimento delle minacce analizzando attivamente le anomalie.
Una caccia di questo genere permette alle aziende di potenziare i processi event-driven di risposta agli incidenti attraverso un approccio maggiormente proattivo. Andare a caccia di minacce può, infatti, aiutare a ridurre i tempi di rilevamento e contenimento degli attacchi che riescono a sfuggire ai controlli preventivi, ma perché questo approccio sia percorribile, ricorda il Territory manager South-East and Eastern Europe di Arbor Networks, occorrono soluzioni che permettano agli analisti di visualizzare le tendenze del traffico e delle minacce, andando oltre le schermate a righe e colonne oggi proposte da molti prodotti per la sicurezza.
Quel che è evidente, guardando all’attuale scenario delle minacce, è che i cybercriminali hanno la meglio molto più spesso di quanto vorremmo, conclude Straniero.
Per risolvere questo problema dobbiamo lasciarci alle spalle il consueto focus esclusivo sulle tecnologie preventive. Le più recenti tecnologie di rilevamento saranno sempre importanti, ma dobbiamo bilanciarle con investimenti a favore di persone e processi condividendo l’intelligence sulle minacce affinché la caccia preventiva abbia maggiori possibilità di successo.
