L’elemento portante delle appliance di sicurezza è invisibile, ma svolge un ruolo fondamentale nell’assicurare che questi apparati blocchino le minacce: la threat intelligence, o più precisamente, la capacità delle appliance di sicurezza di conoscere tutte le novità del panorama delle minacce in continua evoluzione, reagendo in modo appropriato, è ciò che supporta le difese informatiche.
Ottenere una threat intelligence puntuale, accurata e predittiva è molto più complesso di quello che possa sembrare. Per Michael Xie, Fondatore, Presidente e CTO di Fortinet, richiede un robusto processo di ricerca e sviluppo, che comprende diverse componenti.
Avere piccole task force
In molti aspetti del business, team di grandi dimensioni portano a grandi risultati. Quando si cerca di sconfiggere cyber-criminali ben motivati, tuttavia, seguire l’opinione diffusa raramente si dimostra la soluzione ideale. Un’efficace organizzazione di ricerca delle minacce dovrebbe essere costituita da molti team ristretti, ognuno dei quali dedicato a un particolare tipo di minaccia. In questo modo si incentiva la specializzazione e la competenza di ciascun gruppo, portando a una scoperta più veloce delle minacce e a identificarne un numero maggiore, riducendo i tempi di risposta dei clienti agli incidenti.
Dare agilità prima di tutto
I team di threat research devono essere agili. L’orizzonte delle minacce è estremamente dinamico, evolve di giorno in giorno o persino di ora in ora, se non in minuti. Occorre essere in grado di stabilire le proprie priorità e modificarle al volo, aggiornando la propria pianificazione. Una volta identificata la direzione da prendere, è necessario scegliere i ricercatori con le competenze più appropriate per creare task force specifiche da dedicare a queste minacce emergenti quali IoT, ransomware e malware autonomo, solo per citare esempi recenti.
Avere una visione di insieme
I ricercatori devono essere incoraggiati a pensare in grande e perseguire i propri interessi anche se questi non hanno un legame diretto con i prodotti dell’azienda. La ricerca sulle vulnerabilità IoT, per esempio, può consentire al vendor di sicurezza IT di approfondire la propria conoscenza del panorama delle minacce.
Affinare l’istintosui threat
I leader devono allenare i propri team a sviluppare il proprio acume nell’identificare una minaccia come rilevante prima che gli eventi rendano la cosa ovvia ai più. Validi ricercatori, per esempio, da anni avevano avvisato che le vulnerabilità IoT rappresentavano la prossima grande minaccia – prima ancora che la botnet IoT Mirai facesse il suo ingresso sulla scena e creasse scompiglio nel mondo. Le minacce nascono ed evolvono rapidamente. Se un security provider è lento nel ricercarle e nel reagire, i suoi clienti saranno protetti più lentamente.
Condividere la conoscenza
Se un team ha accesso a un volume elevato di dati, maggiore è il potenziale dei risultati della sua ricerca. Le aziende che dispongono di team di ricerca devono condividere le informazioni in loro possesso anche con organizzazioni esterne, quali per esempio l’Interpol o la NATO. Questo è senza dubbio l’approccio da seguire, in quanto consente a tutte le parti in causa di dare vita a un database sulle minacce più ampio, utile per monitorare, bloccare e tracciare le varie tipologie di malware fino alla loro fonte.
Investire in tecnologie di ricerca
I giorni dell’analisi manuale delle informazioni sulle minacce sono passati da tempo. Team di ricerca efficaci necessitano di strumenti avanzati per correlare i notevoli volumi di dati che ricevono ogni secondo. Mentre oggi ci affidiamo ai Content Pattern Recognition Language (CPRL) per semplificare l’identificazione di migliaia di varianti di virus presenti e future con un’unica signature, il futuro appartiene a tecnologie quali l’analisi dei big data e l’intelligenza artificiale.
In ambito cyber-security quest’ultima verrà presto costantemente adattata alla crescente superficie d’attacco. Oggi le risorse dedicate svolgono il compito relativamente complesso di “unire i puntini”, condividere i dati e applicarli ai sistemi. In futuro, un sistema di AI consolidato sarà in grado di automatizzare molte di queste decisioni complesse in completa autonomia.
Indipendentemente dal livello di avanzamento dell’intelligenza artificiale, tuttavia, l’automazione completa – o il passaggio alle macchine del 100% del controllo sui processi decisionali – non è possibile.
Ci sarà sempre bisogno dell’intervento umano. Big data e piattaforme di analisi consentono di prevedere la progressione del malware ma non la sua mutazione. Solo la mente umana avrebbe potuto prevedere che un ransomware come Wannacry si sarebbe integrato negli exploit delle vulnerabilità della National Security Agency per propagarsi su PC non “patchati”.
L’evoluzione del malware segue in modo intrinseco quella umana e come le persone adottano le nuove tecnologie nelle proprie vite. Se nei prossimi anni, per esempio, le auto senza pilota e i wearable IoT dovessero trovare un’ampia diffusione, i cyber-criminali cercheranno – come del resto hanno sempre fatto – il modo per cavalcare l’onda ed exploitare questi veicoli e device. Stesso discorso vale per le cripto-valute che, se dovessero far registrare lo stesso interesse di quest’anno, attirerebbero orde di hacker.
Il concetto di automazione crea molte nuove possibilità per i cybercriminali, sottoponendo a crescente pressione le aziende. Dato che gli hacker possono aumentare il livello di automazione nel malware, gli attacchi non solo arriveranno più rapidamente, ma saranno anche ridotti i tempi tra breach e danno, mentre la detection diverrà sempre più complessa.
