In un mondo in cui la tecnologia cambia costantemente, i tradizionali modelli di sicurezza sono sotto pressione. Aggressori sempre più sofisticati trovano modi sempre nuovi per eludere i sistemi di difesa interconnessi, mentre i sistemi isolati spalancano la porta a minacce che sono state bloccate altrove solo perché non condividono le informazioni essenziali. Per essere efficaci, i modelli di sicurezza devono essere in grado di evolvere, per rilevare e correggere le minacce in evoluzione, dal malware al ransomware, dagli exploit zero-day alle campagne avanzate che usano strumenti particolarmente sofisticati.

 

Security intelligence: cos'è?

La crescente complessità dell'ambiente tecnologico è, oggi, un forte incentivo a condividere le informazioni sulle minacce, tanto che si sente parlare sempre più spesso di "security intelligence". Ma che cos'è? Ne esistono tre varianti: tattica, operativa e strategica. L'intelligence tattica è quella che fa riferimento a sistemi di sicurezza, scanner e sensori, quindi a informazioni create in automatico, spesso molto basiche. Per esempio, i sistemi antivirus sono in grado di rilevare e bloccare un file nocivo, ma solitamente non forniscono ai sistemi di supporto decisionale i dati contestuali, come l'indirizzo IP dell'origine. Questi dati di tracciamento consentirebbero ai sistemi centralizzati di identificare gli elementi strutturali dell'attacco e correlare queste informazioni con altri dati. Dal punto di vista della prevenzione, le informazioni raccolte da questi sistemi sono spesso degli indicatori di compromissione, utili per le indagini forensi e le attività di remediation, ma non sufficientemente dettagliati né condivisi abbastanza velocemente per proteggere l'organizzazione in toto. L'intelligence operativa fa, invece, riferimento al contesto. Gli analisti della sicurezza passano la maggior parte del tempo a cercare di determinare gli eventi e gli allarmi da indagare, l'ambito e l'estensione di un sospetto attacco e il modo migliore per coordinare le azioni di risposta. Gran parte di questa attività è manuale anche se, oggi, i Big Data, le tecnologie di machine learning e apprendimento automatico permettono di potenziare le abilità naturali degli operatori, riducendo i tempi di reazione e aumentando l'efficacia del rilevamento. Infine, l'intelligence strategica è composta di quelle informazioni che alimentano le policy di sicurezza e le attività di pianificazione organizzativa. Includono elementi quali l'identificazione dei probabili obiettivi e avversari, le probabilità di rischio e le valutazioni dell'impatto, oltre agli obblighi legali e normativi. Anche se le informazioni strategiche sono ricavate da un'attività in gran parte manuale e basata sull'esperienza, il fatto di avere policy, piani e profili di rischio aggiornati consente una risposta più veloce ed efficace alle attività sospette.

Fornitori di soluzioni e servizi di sicurezza, aziende tecnologiche e organismi pubblici sono oggi più inclini a divulgare e condividere le informazioni sulle minacce. Esiste una cospicua platea di professionisti della sicurezza che si affida a report e blog per il proprio aggiornamento. Mentre i blog rappresentano un metodo di comunicazione tempestivo ed efficace, utile per la protezione tattica, i report danno indicazioni di tendenza e consigli validi per migliorare la sicurezza dei dati a livello più strategico. A livello di industria, la condivisione automatizzata dei dati sulle minacce è ancora in fase embrionale. Negli anni scorsi l'industria ha investito nella condivisione e analisi di dati tattici - registri di eventi e indicatori di compromissione come hash dei file, URL e indirizzi IP sospetti. Il risultato è una miglior capacità di rilevare gli attacchi potenziali, anche se resta da risolvere il limite del rapporto fra il segnale (gli indicatori di attività illecite) e il disturbo (i cosiddetti "falsi positivi"). Anche se i sistemi stanno migliorando il rilevamento, la capacità degli operatori di svolgere il triage e l'elaborazione delle informazioni per poi agire di conseguenza presenta ancora delle criticità. I fornitori stanno lavorando a delle soluzioni che affrontino il problema, dal monitoraggio degli accessi ai dati sensibili fino a sandbox e trappole sofisticate che possano individuare gli indizi convergenti di un potenziale attacco. Per potenziare le capacità umane, però, risultano essenziali l'ulteriore automazione e orchestrazione dei processi che, spesso, solo un provider di servizi di sicurezza gestita (MSS) è in grado di offrire.

Velocità

La propagazione di un attacco fra i sistemi si verifica, in media, entro un minuto o due dalla compromissione di una macchina. La velocità della trasmissione (latenza) fra il rilevamento di una minaccia e la ricezione delle informazioni critiche, è quindi un elemento chiave. Informazioni ricevute troppo tardi per la prevenzione di un attacco sono ancora preziose, ma solo per il processo di pulizia. Le minacce avanzate persistenti e le campagne sofisticate e mirate spesso prendono di mira più organizzazioni nello stesso mercato verticale. Le comunicazioni fra un'organizzazione e l'altra dovrebbero pertanto avere luogo entro poche ore dalla prima notizia di un attacco e questa (purtroppo) non è ancora una prassi comune.

 

Correlazione

La correlazione delle informazioni sulle minacce, alla ricerca di andamenti e trend, è ancora oggi un passaggio piuttosto critico. La capacità di convalidare i dati in tempo reale, di correlarli fra i diversi sistemi operativi, dispositivi e reti, di usarli per assegnare una priorità all'evento e valutare la risposta è essenziale per l'efficacia delle azioni di rilevamento e correzione. L'obiettivo è di usare tecnologie per assegnare le priorità ai dati e tradurli in eventi di qualità da esaminare e prioritizzare. In questo modo, gli analisti della sicurezza possono concentrare l'attenzione solo sugli elementi a maggior rischio. Tutte queste problematiche sono ascrivibili al cosiddetto "ultimo miglio", quell'area critica che permette di convertire le informazioni in azioni controllate. Condividendo le informazioni sulle minacce si riducono notevolmente i vantaggi degli aggressori, dato che il ciclo di vita utile delle campagne si accorcia.

Ridurre il tempo di detection

Le aziende oggi devono tenere in considerazione il fattore tempo se vogliono realmente ottenere il valore che si aspettano di trarre dai propri dati e dalla propria infrastruttura di calcolo. In molte aree della sicurezza informatica, però, il tempo attualmente sta giocando a favore degli hacker: la sfida per le aziende sta nel riappropriarsi del controllo su questa variabile in modo tale da avere un vantaggio strategico.

Gli esperti consigliano alle aziende di dare priorità a questa variabile: potenziare la capacità di rilevamento e risposta rendendola più rapida, per esempio, riduce il rischio di andare incontro ai problemi (operativi ed economici) dovuti a una violazione dei dati.

Sulla scorta di un'analisi ricavata dal noto Data Breach Investigation Report di Verizon – condotto esaminando oltre 100mila incidenti di sicurezza e 3mila data breach verificatisi tra il 2014 e la fine del 2016, l'analista Aberdeen Group ha selezionato un sottoinsieme di 1.300 compromissioni (delle 3mila osservate) e ne ha rielaborato le informazioni essenziali per scoprire che la mediana – il tempo medio necessario per scoprire il "fattaccio" – si attesta sui 38 giorni. Questo significa che nella metà dei casi sono necessarie dalle 4 alle 6 settimane alle aziende target per capire di essere sotto attacco. Ma nell'altro 50% dei casi si è arrivati addirittura ad aspettare fino a 4 anni!

Per gli attacker, però, il tempo di compromissione si misura in genere in secondi o al più minuti (raramente giorni!). Mentre per le aziende sotto attacco il cosiddetto "defender lifecycle" – il tempo necessario per monitorare quel che accade, rilevare e isolare i comportamenti anomali, rilevare e contenere l'incidente, rimediare all'incidente, ripristinare l'infrastruttura alla fase precedente l'attacco, implementare le altre contromisure necessarie – si misura in giorni (raramente), settimane, mesi o addirittura anni. Il fattore tempo è, quindi, fondamentale per ridurre i danni economici di un data breach. Gli analisti di Aberdeen stimano che nel retail il costo medio di un attacco si attesti intorno ai 970mila dollari, con oscillazioni variabili tra i 600mila dollari e 1,25 milioni.

L'analista suggerisce quindi di implementare una strategia di data protection "pervasiva", indirizzata principalmente a ridurre in modo significativo la probabilità di successo di un data breach rispetto alla situazione attuale (status quo) e, ovviamente, contenendone gli impatti sul business. Tutto questo, chiaramente, a patto di non influenzare pesantemente le attività quotidiane dell'organizzazione, quindi nel rispetto della user experience. Nel modello elaborato dall'analista (battezzato "Montecarlo"), il dimezzamento dei tempi di scoperta del "fattaccio" si traduce in una riduzione di oltre il 30% dell'impatto sul business dell'evento criminale, specie se l'attacco potrà essere rilevato e contenuto prima dell'avvio dell'esfiltrazione dei dati da parte dei malintenzionati.

 

22 novembre 2017