Intel Security svela i motivi che rallentano la risposta agli attacchi mirati

redazione

Un nuovo report di Enterprise Strategy Group (ESG), commissionato da Intel Security, intitolato Tackling Attack Detection and Incident Response (Affrontare il rilevamento degli attacchi e la risposta agli incidenti), prende in esame le strategie di sicurezza delle organizzazioni, l’ambiente degli attacchi informatici, le sfide della risposta agli incidenti, e le necessità degli operatori del settore. L’indagine ha rilevato che i professionisti della sicurezza sono letteralmente sommersi da incidenti di sicurezza, con una media di 78 indagini per organizzazione nell’ultimo anno, e con il 28% di tali incidenti costituiti da attacchi mirati – una delle forme più pericolose e potenzialmente dannose degli attacchi informatici attualmente in corso. Secondo i professionisti IT e gli specialisti di sicurezza intervistati, migliori strumenti di rilevamento, migliori strumenti di analisi, e maggiore formazione su come affrontare le problematiche di risposta agli incidenti sono la strada giusta per migliorare l’efficienza e l’efficacia della loro attività operativa.

 

"Quando si tratta di rilevamento degli incidenti e della conseguente risposta, il tempo ha una importanza vitale per evitare eventuali danni", ha dichiaratoJon Oltsik, Senior Principal Analyst di ESG. "Più tempo è necessario a un’organizzazione per identificare, analizzare e rispondere a un attacco informatico, più è probabile che le azioni intraprese non saranno sufficienti ad escludere una costosa violazione di dati sensibili. Una volta a conoscenza di questo, i CISO dovrebbero ricordare che la raccolta e il trattamento delle informazioni relative agli attacchi è anch’essa un mezzo per agire – che migliora il rilevamento delle minacce e l’efficacia e l’efficienza della risposta."

 

Migliore integrazione

Quasi l’80% delle persone intervistate ritiene che la mancanza di integrazione e comunicazione tra gli strumenti di sicurezza crei colli di bottiglia e interferisca con la loro capacità di individuare e rispondere alle minacce alla sicurezza. Una visibilità complessiva e in tempo reale è particolarmente importante per una rapida risposta agli attacchi mirati, e il 37% ha espresso la necessità di una maggiore integrazione tra l’intelligence di sicurezza e gli strumenti operativi dell’IT. Inoltre, anche le attività che richiedono più tempo e che riguardano la determinazione della portata di un attacco e l’adozione di contromisure per ridurre al minimo l’impatto di un attacco, possono essere accelerate dall’integrazione  con gli strumenti informatici. Queste risposte suggeriscono che i molto comuni di patchwork di architetture che mettono insieme decine di singoli prodotti di sicurezza hanno creato numerosi silos di strumentazioni, console, processi e reportistica e hanno favorito la propagazione di un processo generale molto dispendioso in termini di tempo. Queste architetture a silos, poi, sono responsabili della creazione di sempre maggiori volumi di dati relativi agli attacchi che hanno l’ulteriore svantaggio di rendere ancora più difficile individuare gli indicatori di attacco più rilevanti, sommergendoli.

 

Migliore comprensione

I professionisti della sicurezza intervistati sostengono che la visibilità della sicurezza in tempo reale soffre di una limitata comprensione del comportamento degli utenti e della rete, e del comportamento di applicazioni e host. Mentre i primi quattro tipi di dati raccolti sono di relativi alla rete, e il 30% raccoglie dati riguardanti le attività degli utenti, è evidente che l’acquisizione dei dati non è sufficiente. Gli utenti hanno bisogno di un aiuto maggiore peri contestualizzare i dati e per capire quali siano i comportamenti di cui preoccuparsi. Questa difficoltà si può spiegare con il dato secondo cui quasi la metà (47%) delle organizzazioni ha affermato che determinare l’impatto e la portata di un incidente di sicurezza è stato particolarmente dispendioso in termini di tempo.

 

Strumenti analitici migliori

Gli utenti sono consapevoli di aver bisogno di aiuto per evolvere da una fase di semplice raccolta di volumi di eventi di sicurezza e di dati di intelligence delle minacce e rendere più efficace il senso di tali dati e utilizzarlo per individuare e valutare gli incidenti. Il 58% per cento ha ammesso di aver bisogno di strumenti di rilevamento migliori, come ad esempio gli strumenti di analisi statica e dinamica con intelligence basata su cloud per analizzare i file per tipo di danno perpetrato. Il 53% ha bisogno di migliori strumenti di analisi per trasformare i dati sulla sicurezza in intelligence. Un terzo (33%) ha espresso la necessità di strumenti migliori per analizzare il normale comportamento dei sistemi in modo che i team siano in grado di rilevare le variazioni più velocemente.

 

Più formazione

Le persone che hanno preso parte all’indagine hanno ammesso la mancanza di conoscenza del panorama delle minacce e di competenza nell’effettuare indagini di sicurezza, suggerendo che anche una migliore visibilità attraverso funzionalità di integrazione o di analisi tecniche sarebbero insufficienti se i team di risposta agli incidenti non riescono a dare un senso alle informazioni che possiedono. Ad esempio, solo il 45% degli intervistati si considera esperto sulle tecniche di offuscamento del malware, e il 40% ha espresso il desiderio di una maggiore formazione per migliorare le conoscenze e le competenze di sicurezza informatica.

 

Automazione per intensificare la lotta

Il volume delle indagini e la carenza di risorse e competenze ha contribuito a un forte desiderio tra gli intervistati di essere supportati nel rilevamento e nella risposta agli incidenti. Il 42% ha riferito che agire per ridurre al minimo l’impatto di un attacco è stato uno dei compiti più impegnativi in termini di tempo. Il 27% vorrebbe risorse analitiche meglio automatizzate dagli strumenti di intelligence di sicurezza per accelerare la comprensione in tempo reale; mentre il 15% ritiene necessaria l’automazione dei processi per liberare personale e indirizzarle verso compiti più importanti.

 

"Possiamo fare un’analogia con la “golden hour” che si presenta nella professione medica quando i pazienti colpiti da attacco di cuore devono raggiungere l’ospedale entro un ‘ora, per avere maggiori probabilità di sopravvivenza, allo stesso modo il settore della sicurezza deve ridurre il tempo necessario alle aziende per individuare e deviare gli attacchi, prima che il danno sia fatto”, ha detto Chris Young, General Manager di Intel Security."Per questo è necessario che ci chiediamo dove stiamo sbagliando ed evolviamo il nostro approccio alla sicurezza."

 

ESG ritiene che da questo report di Intel Security si possano trarre delle indicazioni utili per gli specialisti della sicurezza:

 

·         Creare un’architettura di tecnologie di sicurezza aziendale strettamente integrata: i CISO devono sostituire gli strumenti sicurezza indipendenti con un’architettura di sicurezza integrata. Questa strategia funziona per migliorare la condivisione delle informazioni e la visibilità degli attacchi in tutto l’ambiente ICT dell’azienda, dall’utente, all’endpoint, al comportamento della rete, per non parlare risposte coordinate e più efficaci.

·         Suffragare la strategia di sicurezza informatica con analisi consolidate, trasformando la quantità in qualità: le strategie di sicurezza informatica devono essere basate su forti funzioni di analytics di sicurezza. Ciò significa la raccolta, l’elaborazione e l’analisi di enormi quantità di dati provenienti dall’interno (ad esempio i log, i flussi, i pacchetti, fi dati raccolti dall’analisi forense degli endpoint, dall’analisi statica o dinamica del malware, dall’intelligence organizzativa – come il comportamento degli utenti, o delle imprese, ecc) o dall’esterno (ad esempio intelligence sulle minacce, notifiche di vulnerabilità, ecc).

·         Automatizzare il rilevamento e la risposta agli incidenti, quando possibile: dal momento che le organizzazioni fanno  sempre fatica a tenere il passo con le tecniche di attacco più recenti, i CISO devono impegnarsi per una maggiore automatizzazione, come analisi avanzata del malware, algoritmi intelligenti, apprendimento automatico, e l’utilizzo dell’intelligence delle minacce per confrontare il comportamento interno con indici di compromissione (indicators of compromise IOC) e tattiche, tecniche e procedure (TTP) utilizzate dai criminali informatici.

·         Impegnarsi in una formazione sulla sicurezza continua: i CISO devono esigere che i loro team di sicurezza siano costantemente formati e informati, con una serie annuale di corsi che consentano ai singoli professionisti una comprensione più approfondita delle minacce e delle best practice per una risposta agli incidenti efficiente ed efficace.