L’attuale approccio al rilevamento e alla risposta agli attacchi informatici, basata su firme, anomalie e regole per individuare e impedire ai criminali informatici di penetrare all’interno delle organizzazioni e rubare i dati aziendali, non funziona. Lo dimostra il fatto che il 71% degli analisti di tutto il mondo non ammetterebbe che la propria organizzazione potrebbe essere compromessa senza che il team di sicurezza ne sia venuto a conoscenza.
La colpa non è di certo degli analisti Le superfici di attacco si espandono più velocemente di quanto i team di security e gli stack tecnologici in uso alle aziende siano in grado di rilevare. Recentemente, il 63% degli analisti SOC intervistati ha dichiarato che la superficie di attacco è aumentata significativamente solo negli ultimi tre anni e il 97% degli analisti teme che possa sfuggirgli un evento di sicurezza perché impegnato ad analizzare una quantità enorme di avvisi di sicurezza.
Di fronte a questo scenario, è assolutamente necessario adottare una nuova prospettiva e un nuovo approccio.
Tutte le aziende sono aziende ibride
La realtà è che, con il passaggio ad ambienti ibridi e multi-cloud, le aziende sono diventate, senza eccezioni, imprese ibride. Di conseguenza, gli analisti SOC si trovano a dover affrontare un numero sempre maggiore di problemi: ampia superficie di attacco che gli attaccanti possono sfruttare e in cui possono infiltrarsi; nuovi metodi messi in atto dai cyber criminali per eludere le difese e muoversi lateralmente; rumore di fondo degli avvisi, complessità e attacchi ibridi. D’altronde, tutte le aziende continueranno a essere ibride anche in futuro.
Tutti i moderni attacchi informatici sono attacchi ibridi
Alla luce di questi problemi, tutti i moderni attacchi informatici diretti contro un’azienda dovrebbero essere considerati attacchi ibridi. Non farlo significa rimanere bloccati in una situazione in cui cresce il numero di attacchi sconosciuti e di furti di dati.
Infatti, secondo IBM Security Research, nel 2021 il 45% delle violazioni era basato sul cloud. Vectra AI prevede che nel 2023 la percentuale avrà infine superato di gran lunga il 50%, perché il passaggio all’infrastruttura cloud ibrida non sta rallentando, né la capacità degli attaccanti di approfittarne. Questo lascia i team di sicurezza praticamente all’oscuro quando si tratta di rilevare in che punto l’organizzazione è stata violata. Un’informazione che nessun’azienda può più permettersi di non avere.
Un attacco ibrido è, in sintesi, un attacco che può iniziare da chiunque o da qualsiasi fonte, può spostarsi ovunque in qualsiasi momento e interrompere le operazioni aziendali su scala, nonostante siano state adottate tutte le misure preventive. Ciò significa che un numero sempre maggiore di attacchi è in grado di nascondersi ed eludere i migliori sforzi di rilevamento messi in campo dall’azienda con l’attuale approccio.
Un approccio integrato alla difesa dagli attacchi ibridi
Tuttavia, una volta adottato un approccio olistico e integrato alla resilienza informatica del cloud ibrido, l’intera postura di sicurezza cambia radicalmente in meglio.
I pilastri dell’approccio integrato all’identificazione degli attacchi ibridi sviluppato da Vectra AI sono tre:
- Difendersi dall’esposizione sconosciuta – Sapere in quali punti l’ambiente cloud ibrido è esposto agli attaccanti. Sapere in quali punti gli attaccanti hanno dimostrato di potersi infiltrare nell’organizzazione e applicare queste conoscenze per anticipare i rischi è fondamentale per migliorare la postura del rischio ibrido. Per esempio, CheckPoint Software ha rilevato che il 75% dei cyberattacchi che hanno avuto successo nel 2020 hanno utilizzato vulnerabilità vecchie di oltre due anni.
- Eliminare le compromissioni sconosciute – Sapere quando gli aggressori ibridi si sono infiltrati nell’ambiente aziendale. L’impossibilità di conoscere queste informazioni è il risultato di un numero eccessivo di strumenti isolati che inviano segnali di rilevamento disparati agli analisti SOC. È importante eliminare la complessità che rende più facile per gli attaccanti ibridi infiltrarsi, mimetizzarsi e avanzare all’interno dell’organizzazione senza essere visti.
- Rilevare e risolvere rapidamente gli attacchi ibridi sconosciuti – Sapere come gli attaccanti ibridi si muovono lateralmente, progredendo all’interno dell’ambiente aziendale. Sapere in che modo gli aggressori ibridi si muovono lateralmente tra i domini per portare avanti le loro campagne è molto utile per fermarli in anticipo e prevenire l’esfiltrazione dei dati.
La chiarezza del segnale è l’unica soluzione agli attacchi ibridi
Per affrontare in modo tempestivo ed efficace gli attacchi ibridi, il team SOC ha bisogno dell’unica cosa che continua a mancare: la chiarezza del segnale. La mancanza di un chiaro segnale di attacco ibrido è il motivo per cui le intrusioni di sistema, note anche come Advanced Persistent Threats (APT), sono raddoppiate dal 2020 al 2021, rappresentando il 40% delle violazioni dei dati.
di Alessio Mercuri, Senior Security Engineer di Vectra AI
