Nelle aziende di qualsiasi latitudine e dimensione la trasformazione delle operazioni di sicurezza, dette anche security operation, sta tenendo banco, alla luce di attacchi che non cessano, minacce che si annidano in azienda e nel cloud.
Ma anche a fronte di un incipiente caos digitale, fenomeno che colpisce partendo dal comportamento degli utenti: i dati archiviati su smartphone, tablet e pc sono messi in pericolo dalla scarsa cura degli stessi utenti e trasmettono la loro instabilità all’aziende.
Ne abbiamo parlato con Marco Rottigni, consulting system engineer di FireEye, società di intelligence security, ben focalizzata sulla protezione degli endpoint anche da minacce non rilevate da soluzioni endpoint legacy e di nuova generazione.
In particolare, l’ultima versione della soluzuone Endpoint Security, utilizzando il motore di analisi comportamentale di Exploit Guard, ha funzionalità di prevenzione per rilevare e rispondere alle minacce relative a sistemi Windows e macOS.
Quali sono oggi le attività basilari delle security operation?
Le security operation, interne o esterne all’azienda, devono gestire con la massima fluidità i tre momenti importanti di un evento di sicurezza: rilevamento allarme, analisi e investigazione dello stesso, risposta.
Queste tre fasi richiedono capacità specifiche che, rispetto al passato, cambiano al variare del livello di sofisticazione dell’attacco e dell’attaccante.
Diventa quindi necessario sviluppare o aumentare tre capacità fondamentali: Visibilità, propedeutica all’efficacia della detection; analisi e investigazione, che qualifica la severità oggettiva dell’evento; unita al livello di confidenza e all’impatto, aiuta a determinare il rischio e quindi la priorità; risposta, ovvero la capacità di bilanciare il contenimento della minaccia con la resilienza dei processi di business e con l’identificazione dell’attaccante come della sua strategia, per adeguare le difese alla minaccia stessa.
Parliamo di tempi e costi delle security operation, quanto e come sono cambiati nell’ultimo anno?
L’aumento della complessità dei processi di business e la loro estensione ben al di fuori del classico perimetro di rete aziendale ha richiesto maggiori risorse per una gestione attenta delle security operation, unite a una sempre maggiore specializzazione.
L’offerta sul mercato di profili con competenze elevate ed adatte a coprire le nuove esigenze è scarsa oppure troppo costosa: questo porta talvolta a scegliere soluzioni di outsourcing totale nella gestione delle security operation, che mal si combinano con la necessità di analisi e risposta in tempi molto brevi dalla scoperta della compromissione.
L’obiettivo dovrebbe diventare la crescita di risorse e competenze interne e l’adozione di processi precisi e ben rodati che coinvolgano in caso di necessità specialisti esterni per azioni di analisi e investigazione di allarmi ben contestualizzati, la cui gestione ritorna di dominio intra-aziendale una volta stabilita criticità, rischio e linee guida per la risposta.
Componente fondamentale di questo approccio è certamente la Cyber Threat Intelligence che, se strutturata per essere consumabile dai diversi stakeholder coinvolti nelle security operation, diventa fattore abilitante importantissimo per determinare strategia e tecniche utilizzate dall’attaccante, adeguando rapidamente le difese e minimizzando i costi operativi.
La sicurezza come servizio sta diventando un must per le aziende, al pari del cloud?
La scarsità di competenze elevate e specializzate qualifica il ricorso a estensioni delle capacità dei SOC (Security Operations Center) e CERT (Computer Emergency Response Team) aziendali come una azione più che giustificata in termini di ROI. Se questi ricorsi sono ben pianificati, con verifiche preventive dello stato dei processi e programmazione attenta di come innestare il servizio in tali processi, il beneficio economico e operativo diventa significativo. Ritengo si stia vivendo un momento di evoluzione altrettanto importante anche dei fornitori di servizi di sicurezza, che quindi devono essere selezionati con attenzione per completare le lacune che le aziende hanno in termini di security operation, senza ridondanze e con SLA precisi e documentati.
Un’azienda può effettuare un mix di gestione della sicurezza, fra servizi e on premise? Quali sono i soggetti aziendali coinvolti e come si coordinano?
Penso che la combinazione di risorse on-premise e a servizio sia la chiave migliore per strutturare quella resilienza necessaria alle inevitabili brecce che ogni azienda potrebbe subire.
Adottare una forma mentis che preveda vulnerabilità è un atteggiamento molto efficace per dosare sia quantitativamente che qualitativamente l’equilibrio nella gestione delle Cybersec Operation.
Proprio per questa ragione la tecnologia diventa insufficiente e talvolta inefficace a identificare le minacce avanzate se non combinata con la crescita di competenze investigative e di risposta; quando questi due elementi raggiungono livelli sufficienti, arricchire il quadro con informazioni di Cyber Threat Intelligence completa le capacità per fronteggiare adeguatamente il rischio.
Quali sono i threat che maggiormente oggi minacciano le aziende e come ci si difende?
Il panorama delle minacce è ormai cambiato in termini di sofisticazione del software impiegato, ma soprattutto di qualità delle strategie di attacco. Dietro ogni attacco cybercriminale si celano ormai gruppi organizzati, dotati di strategie precise che combinano tecniche di ingegneria sociale molto raffinate con strumenti davvero evoluti.
Gli obiettivi sono via via più pericolosi: attacchi multi-stadio che partono da compromissioni subdole e pressoché impercettibili fino a guadagnare posizioni di presenza solida sulle postazioni compromesse, trasferimento di strumenti ulteriori grazie a chiamate a server di comando e continuando nel tempo fino a raggiungere la compromissione di risorse importanti; fermo di servizi di business oppure fino a trafugare i dati che costituivano il target della missione iniziale.
Per contrastare e rimediare queste minacce servono capacità di rilevamento molto raffinate, in grado di identificare segnali anche deboli di compromissione sul nascere. L’obiettivo diventa minimizzare il dwell time o tempo di residenza dell’attaccante: questo intervallo si misura dal momento della compromissione iniziale fino alla sua scoperta. Identificati i segnali, si deve partire con un’azione di rimedio, contenimento dell’impatto ed estromissione dell’attaccante possibile solo grazie alla comprensione della strategia di attacco nella sua completezza. Ecco l’importanza di competenze e Cyber Threat Intelligence unite a una tecnologia sufficientemente evoluta.
