Parlando di Cyuber Security, viene da dire che davanti alle tante minacce di livello avanzato, da diverso tempo le best-practices prevedono una difesa stratificata e profonda. C’è da dire che ci sono diversi ambiti di difesa, suddividendoli per linee, viene da pensare che la prima linea di difesa, escludendo quelle formative e di manutenzione dei sistemi, sia la difesa perimetrale, quali Antivirus, Firewall e sistemi di IPS e IDS. Le successive linee di difesa, solitamente prevedono sistemi per la centralizzazione e quindi gestione degli eventi e delle informazioni sulla sicurezza (Security Information and Event Management, SIEM), oltre a soluzioni per la prevenzione della perdita di dati (Data Loss Prevention, DLP) e le innovative soluzioni di risposta e rilevazione degli endpoint (Endpoint Detection and Response, EDR).
Nonostante tutti questi strati, rimane comunque una zona scoperta, la zona grigia. Questa zona è la zona a valle dei sistemi perimetrali, ovvero dove un eventuale malintenzionato si riesce ad introdurre prima che abbia compromesso i sistemi chiave e trafugato i dati. Ovviamente si riesce a tenere traccia e contrastare eventuali malware avanzati introdotti e attacchi mirati, ma non si riesce ancora a farlo con i tempi necessari, ossia immediati, per cui spesso si riesce a intervenire quando la frittata è fatta, e si deve correre ai ripari in pochissimo tempo. Sarebbe quindi necessario avere una visibilità in tempo reale delle possibili attività di minaccia dopo l’exploit iniziale, mentre l’infiltrato valuta la rete, cerca i punti deboli e si prepara ad appropriarsi dei dati.
Perchè dunque non si riesce a prevenire questo tipo di attacchi?, il motivo è semplice, i sistemi di sicurezza perimetrale, operano e si attivano su minacce già note, ma non hanno o hanno poca visibilità, sulla ricognizione dell’avversario o i movimenti laterali e soprattutto non sono in grado di capire quali altri sistemi potrebbero essere compromessi. Ciò è dovuto ai sistemi di prevenzione della perdita di dati e di risposta e rilevamento degli endpoint, che avvertono in caso di accessi sospetti e/o di furti di asset critici. Purtroppo, tali sistemi non sono concepiti per individuare e tantomeno tenere traccia di comportamenti minacciosi che si presentano in rete.
Sebbene offrano una maggiore visibilità, i sistemi SIEM sono sviluppati per fungere da strutture difensive che reagiscono a indicatori noti; soluzioni non ottimali, dunque, al momento di individuare in maniera proattiva movimenti laterali sospetti oppure attività correlate a malware nuovi/ignoti. Riuscire a filtrare e assegnare una priorità agli effettivi indicatori di compromissione (Indicators of Compromise, IoC) tra l’immensa mole di allerte può rivelarsi un compito arduo. Come se non bastasse, ottenere un’immagine completa di un’intera attività di attacco che interessa la rete è difficile e richiede tempi lunghi.
Le minacce più pericolose da affrontare al giorno d’oggi non sono i semplici malware ma le campagne di attacco orchestrate da soggetti umani. La componente malware è comunque sviluppata per operare furtivamente eludendo, inosservata, gli strati di sicurezza. Questi strumenti riscuotono successo: numerose violazioni restano ignote finché un soggetto terzo non avverte la vittima.
La vera battaglia contro le campagne di attacco avanzate si combatte dopo che è già avvenuta la violazione. È dunque essenziale disporre della visibilità in tempo reale delle tecniche di attacco adottate. La visibilità successiva all’exploit ostacola gli avversari nel tentativo di celarsi e agevola chi subisce l’attacco nelle attività di difesa. È dunque ora che le organizzazioni si sbarazzino della zona grigia che affligge la cyber security dei propri sistemi.
Articolo completo su: ICT Security
Articolo a cura di: Ivan Straniero, Regional Manager, Southern & Eastern Europe di Arbor Networks
Link per scaricare il PDF : La zona grigia che affligge la Cyber Security