Darktrace illustra le principali ragioni per le quali è necessario attuare un importante cambio di prospettiva per quanto riguarda la cyber security
Le minacce informatiche stanno diventando sempre più parte integrante del tessuto digitale aziendale e gli attacchi mirati diventano sempre più subdoli e dinamici. Questa evoluzione nelle metodologie di attacco ha fatto emergere i limiti degli approcci tradizionali di sicurezza. Chi subisce un attacco deve potenziare le proprie capacità nell’individuare e riconoscere le minacce nei propri sistemi aziendali per ritornare ad essere in vantaggio sull’attaccante e agire per tempo in modo preciso ed efficace. La Cyber Intelligence è fondamentale per questa sfida in quanto fornisce una visione totale, personalizzata e in tempo reale delle anomalie emergenti – contrariamente al precedente approccio basato su firme e regole che diventano obsolete dato che si riferiscono a minacce già individuate. L’approccio basato sull’Intelligence è il cuore della Cyber Defense di nuova generazione; vengono impiegati personale qualificato e tecnologie all’avanguardia di tipo ‘sistema immunitario’ in un processo costante di apprendimento e comprensione delle problematiche in evoluzione per poterle contrastare prima che diventino critiche.
Restare aperti per lavorare
Oggi la violazione del perimetro della rete aziendale viene considerata inevitabile dagli operatori di sicurezza. Questa è la nuova realtà: le tecnologie operanti sul perimetro aziendale pur ricoprendo un ruolo cruciale in un sistema stratificato di difesa, sono insufficienti per sconfiggere un attacco mirato. È ormai accettato che le violazioni siano inevitabili e il loro verificarsi sia più un discorso di ‘quando’ che di ‘se’. In questo nuovo mondo la sfida è cambiata. Oltre a difendere il proprio perimetro aziendale si devono affrontare anche le minacce interne utilizzando un approccio basato sull’Intelligence per indirizzare pericoli reali all’interno di una rete complessa.
Le aziende moderne devono essere in grado di operare in un mercato aperto e connesso. La linfa vitale di un’azienda sono i dati e per crescere un’azienda ha bisogno che questi possano circolare sia fuori che dentro i tradizionali perimetri di rete. I dati vengono scambiati costantemente fra l’azienda e i suoi clienti, i fornitori, il personale, i soci e così via. La sfida del CISO oggi è quella di proteggere i suoi dati che sono alla mercé di chiunque. In effetti tutti i progressi tecnologici che hanno consentito alle aziende di prosperare negli ultimi dieci anni – la connettività, la digitalizzazione, l’innovazione – sono quelli che le espongono ai rischi maggiori. Chi opera nella sicurezza oggi sa come gestire i comportamenti del personale di un’azienda. Pur considerando i lavoratori come risorse di valore e meritevoli di fiducia, questi rappresentano una minaccia significativa per l’integrità dei dati aziendali e il loro comportamento, doloso o colposo, aumenta il rischio per l’azienda.
Anche se c’è la tentazione di aumentare i controlli e introdurre norme operative più stringenti la necessità di lavorare fa sì che le persone trovino il modo di aggirarle. Chiunque vi dirà che è possibile curare qualsiasi malattia ammazzando il paziente. Un’azienda non può essere soffocata da controlli di sicurezza laboriosi e poco pratici pensando di rimanere più sicura a spese dell’efficienza, dell’agilità e della competitività. Oggi la sfida per gli operatori della sicurezza consiste nel difendere il patrimonio aziendale più prezioso, i dati, consentendo a essi di facilitare la crescita.
In questo scenario dove le minacce sono in continua evoluzione continuare a lavorare richiede un equilibrio fra i rischi e i benefici. L’equilibrio necessario non è mai totalmente statico, ma viene riadattato continuamente per mantenere uguali i pesi sui due piatti della bilancia. Questa sfida richiede un approccio sottile, orientato all’Intelligence più che alla sicurezza. Mentre la sicurezza informatica presuppone che le misure di difesa debbano funzionare il 100% delle volte, la Cyber Intelligence fornisce suggerimenti, basati su prove, che indirizzano il processo decisionale, fa emergere le problematiche di alto livello rispetto a quelle meno importanti e consente alle aziende un miglior controllo e una migliore consapevolezza sul proprio stato di salute per poter definire la migliore strategia per la cura.
Passare sotto ai radar
Ogni settimana le notizie di attacchi informatici vengono riportate sulle prime pagine dei giornali con riferimento a numeri vertiginosi di conti compromessi e impatti reputazionali non indifferenti.
Le intrusioni più eclatanti richiedono azioni di risoluzione immediate con impiego di risorse economiche, temporali e umane per ripristinare ciò che è stato compromesso.
Il concetto di operazione di ripristino a seguito di un attacco informatico è però incompleto. Le aziende non sono mai completamente esenti da minacce o da elementi potenzialmente pericolosi o malevoli. C’è una forte pressione affinché le aziende corrano ai ripari dopo un attacco per mitigare il danno d’immagine e per recuperare la credibilità nei confronti dei clienti e degli azionisti; questo però è classificato come ‘troppo poco e troppo tardi’. Troppo tardi perché il danno è stato fatto, troppo poco perché l’avversario è riuscito comunque a controllare e infiltrarsi nell’azienda evidenziandone a posteriori la limitata capacità di difesa.
La sfida degli ultimi anni si è acuita a causa dell’industrializzazione dell’economia che ruota intorno ai crimini informatici e alla sempre più raffinata abilità degli esecutori. Su internet si trovano avanzati strumenti di attacco pronti all’uso – è possibile provare, scambiare e vendere nuove forme di attacco e malware configurabili – e questo a riprova di come sia banale infiltrarsi in un’azienda. Una volta infiltratisi, gli attacchi hanno luogo in forma anonima rendendoli difficili da individuare perché in incognito e effettuati con cautela.
Per prima cosa, dall’esterno, l’aggressore userà le credenziali di accesso di un dipendente per non far scattare gli allarmi ubicati sul perimetro. Questo approccio rende estremamente difficile distinguere fra un’attività lecita e quella di un malintenzionato intento a fare danni. Gli aggressori utilizzano questo velo di legittimità per portare a termine i loro attacchi mimetizzandosi fra le normali azioni di quell’utente nel corso delle sue attività quotidiane sulla rete. Essere riconosciuti come utenti regolari offre un vantaggio agli aggressori. Essendo considerati ‘fidati’ il compito di muoversi nella rete aziendale ed estrarne dati o manipolarne i sistemi diventa più facile.
Per di più gli aggressori non usano solo campagne di email mirate e sfruttano credenziali legittime per passare sotto ai radar, ma possono anche sfruttare gli zero-day e i malware appositamente sviluppati per raggiungere i propri obiettivi. Sempre di più vengono perpetrati attacchi, portati avanti astutamente e ben mimetizzati, per lunghi periodi di tempo a riprova della pazienza e perseveranza dell’aggressore.
Un attacco di tipo avanzato può restare nascosto nella rete per giorni, settimane o mesi di fila rimanendo pazientemente inattivo nella rete aziendale in modo da renderne l’individuazione più difficile. Mediamente il tempo necessario a individuare un attacco informatico si aggira sui 170 giorni. Se perpetrato anche con aggressori dall’interno questo valore arriva a 259 giorni.
Durante questo lasso di tempo l’aggressore si fa un’idea dell’architettura della rete e stabilisce come muoversi su di essa per portare a termine l’attacco mirato. Mentre chi si deve difendere è costantemente distratto dalla gestione delle attività giornaliere, l’aggressore ha dalla sua parte il tempo e le risorse con cui effettuare ricognizioni sui sistemi, portare a termine le sue azioni e muoversi evitando di essere scoperto, con relativa tranquillità.
Solitamente un aggressore evoluto cerca di rimanere nascosto a lungo dentro un computer o la rete. Per porsi al riparo da eventuali intercettazioni l’aggressore cercherà di compromettere più dispositivi e server presenti sulla rete. Chi attacca è spesso capace di muoversi su una rete per capire quali siano gli strumenti usati per intercettarlo; questo gli permette di muoversi in modo sufficientemente invisibile per evitare di essere scoperto dai tipici sistemi che basano il loro funzionamento su un insieme di regole. Il traffico della rete e l’elevato volume di dati inviati a sistemi di ‘log-management’ rendono spesso impossibile rilevare i movimenti invisibili di un aggressore. Nonostante che nella fase di analisi forensica post-attacco sia evidente la prova dell’infiltrazione, salta anche all’occhio come questa possa essere invisibile nel rumore del traffico della rete.
Il tempo è prezioso
Il tempo è una risorsa preziosa che manca spesso a chi viene attaccato. L’aggressore determinato ha tempo in abbondanza, finanziamenti sufficienti e risorse umane per sviluppare attacchi che eludano i vari livelli di sicurezza presenti in un’azienda. Le aziende lottano costantemente per rilevare le fasi iniziali di una infiltrazione, prima che vengano fatti danni quali il furto di dati su grande scala o l’interruzione di un servizio essenziale. Invece le aziende si trovano coinvolte in una lotta contro il tempo per rimuovere e ridurre velocemente i danni finanziari e d’immagine, al contrario dei mesi di preparazione e ricognizione che l’aggressore ha a disposizione prima di sferrare il suo attacco. Fintanto che il vantaggio rimane in mano all’aggressore le aziende attaccate saranno sempre sulla difensiva.
Le aziende devono ripensare al modo in cui affrontano gli attacchi informatici e la sicurezza informatica. Tanto per cominciare questo vuol dire non considerare questi concetti come assoluti; la sicurezza informatica totale non è possibile in pratica e gli attacchi non hanno perimetri ben definiti: non hanno un inizio preciso e nemmeno una fine. Ogni attacco inizia con una infiltrazione che a sua volta inizia con un cambiamento impercettibile nel normale ordine delle cose e s’ingrandisce fino a diventare una catena di eventi che messi insieme possono esercitare il controllo di un sistema remoto e metterne in pericolo i contenuti.
In un’epoca in cui le minacce sono innumerevoli e in continua evoluzione analizzare i problemi di ieri non garantisce la difesa da quelli di domani. Gli aggressori di oggi utilizzano tecniche e strategie in continua evoluzione per rimanere nascosti a lungo nei vostri sistemi. Il riferimento a ciò che è normale è in continua evoluzione.
Occorre quindi iniziare a considerare il tempo in modo diverso, tentare di cogliere attività sospette nella finestra temporale compresa fra l’infiltrazione iniziale e i primi segnali di anomalia. Invece d’investire in analisi post-mortem su intrusioni e compromissioni passate ci si deve sforzare di trovare i problemi di domani, indirizzando le attenzioni verso attività che si mimetizzano nel rumore delle attività quotidiane di un’organizzazione. All’interno dell’IT aziendale ci sono due fattori da tener presente:
Visibilità e comprensione
Le aziende devono fare un passo indietro quando prendono in considerazione le strategie per la difesa informatica, chiedendosi per prima cosa quanto bene conoscano la loro azienda. Le infrastrutture di rete e le intranet sono cresciute e si sono estese aggiungendo sempre più dispositivi, funzionalità e tecnologie; l’architettura digitale di un’azienda di una certa dimensione è solitamente molto complessa. Gli addetti IT alla sicurezza e dell’architettura spesso non hanno visibilità di tutti i sistemi sotto il loro controllo e si concentrano solo su quelli su cui ci sono problemi noti che richiedono soluzione.
La visibilità totale su tutte le interazioni e comunicazioni digitali, non solo su una parte, è critica perché consente agli addetti della sicurezza di prendere le decisioni migliori basandosi sulla conoscenza dell’intero sistema. Avendo visibilità totale sull’andamento e il tipo di traffico gestito giornalmente nell’azienda, gli addetti della sicurezza sono in condizione di configurare al meglio la protezione della rete, identificare le vulnerabilità o i dipendenti infedeli e tenere effettivamente a freno in tempo reale le minacce informatiche. Vedere e capire cosa sta accadendo in tempo reale è il primo passo per conoscere cosa non debba accadere, indipendentemente da quanto sia minimo lo scostamento dalla normalità.
Analisi intelligente e rilevamento anomalie
Avendo la conoscenza delle attività aziendali è possibile usare nuove tecnologie per analizzarle ed avere una chiara visione di quale sia la normalità. I fondamentali progressi nella matematica probabilistica e nell’ambito del ‘machine learning’ hanno reso possibile questo approccio, usando una tecnologia che impara su base continua ciò che è normale e anomalo nell’ambito aziendale ed evidenzia anomalie su base probabilistica in tempo reale.
Le anomalie o le deviazioni da ciò che è stato identificato come normale sui sistemi, le reti e gli utenti devono essere autentiche e basate sulla comprensione dinamica dell’ambiente circostante. Un comportamento difforme spesso può essere affrontato in modo appropriato, ma solo se rilevato nelle sue fasi iniziali. Le aziende devono abbandonare l’approccio che consiste nel dover passare al setaccio l’enorme quantità di allarmi generati da sistemi basati su regole preconfigurate per identificare le minacce e orientarsi verso sistemi d’intelligence, fatti su misura, che aiutano a conoscere l’ambiente digitale aziendale così com’è per prendere le corrette decisioni. Concludendo, si può dire che per ridurre il rischio occorre un esercizio continuo portato avanti da professionisti capaci di prendere le corrette decisioni, la capacità di fare le scelte giuste e di concentrarsi sulle aree d’interesse richiede una nuova generazione di prodotti che sia adattativa, probabilistica e in grado di auto apprendere.
Migliorare la concentrazione, per un’azione migliore
È quasi impossibile predire le metodologie e le tecniche di attacco; gli attacchi di ieri sono diversi da quelli di domani o dopodomani. Le vulnerabilità interne sono fonte di problemi che richiedono una valutazione continua. In questo contesto, dove innumerevoli minacce sono presenti in qualsiasi momento all’interno di un’azienda, è richiesta una visione completa degli eventi per capire dove concentrare l’attenzione e stabilire in tempo reale le priorità per la Cyber Defense. Di contro, il sovraccarico degli allarmi che vengono generati costantemente dalla pletora di prodotti convenzionali per la sicurezza ottiene come risultato l’abbassamento del livello di guardia da parte del personale addetto alla sicurezza o dell’IT, causato da questo elevato numero di anomalie proposte o dalla inutile natura delle informazioni ricevute.
Gli addetti della sicurezza devono essere in grado di affinare la conoscenza delle minacce in modo che abbiano senso in un contesto aziendale invece di perdere tempo ad analizzare migliaia di allarmi fuori contesto. Avvalersi delle configurazioni proprie di ogni azienda – l’orario in cui i dipendenti arrivano al lavoro, i tipi di dispositivi che utilizzano e come, le risorse a cui hanno accesso ecc. – è fondamentale poiché nessun attaccante conosce questi dettagli quando pianifica un attacco. Questo livello di granularità deve essere sfruttato utilizzando tecnologie di tipo ‘sistema immunitario’ che siano ‘self-learning’ e che possano vedere e analizzare scientemente questi dati, capendone in maniera implicita il livello di normalità o meno e facendo emergere in tempo reale le anomalie che devono essere gestite in modo tempestivo.
‘Cyber Intelligence’ contro ‘Threat Intelligence’
Il termine ‘Threat Intelligence’ viene usato per la raccolta e la condivisione di informazioni su minacce note. In altre parole si fa riferimento ad un database o insieme di dati da confrontare con gli allarmi di sicurezza rilevati in un’azienda, i log e altri dati forensici per capire se quanto rilevato è una minaccia oppure no. Se quanto rilevato è riconducibile alle informazioni contenute nella ‘Threat intelligence’ ciò può essere usato per proteggere l’azienda da attacchi simili ancora in circolazione.
Il difetto principale nel condividere informazioni riconducibili ad attacchi già avvenuti è che questo approccio ‘a posteriori’ non aiuta le aziende a difendersi dai nuovi attacchi di domani. Affinché questo funzioni è necessario che almeno un’azienda venga violata da ogni nuovo attacco per poterlo identificare, limitandosi a segnalare gli attacchi già subiti con la speranza che lo stesso si possa ripresentare. Solitamente occorrono alcuni mesi prima che una nuova tipologia di attacco venga inclusa nella ‘Threat Intelligence’; nel frattempo la vostra azienda è vulnerabile a quegli attacchi che devono ancora essere scoperti e condivisi dalle loro vittime. Nella peggiore delle ipotesi è un flusso di dati inutili che distoglie dall’obiettivo principale dell’azienda che è quello di difendersi dai nuovi attacchi, non da quelli già avvenuti. È di scarso sollievo sapere che la vostra azienda è stata la prima a scoprire, e subire, un nuovo tipo di attacco e la prima ad averla aggiunta alla ‘Threat Intelligence’ affinché gli altri si possano proteggere.
La ‘Threat Intelligence’ deve essere adattata ad ogni singola azienda per essere utile e ad un certo punto deve essere vagliata da un essere umano per poter prendere le appropriate decisioni nei momenti critici. L’intelligence migliore è quella che aiuta un essere umano nel processo decisionale, che gli dà la miglior sicurezza nel prendere decisioni corrette, appropriate e soprattutto in tempi sufficientemente brevi da evitare l’intrusione su vasta scala, un’interruzione dei servizi o un colpo alla reputazione.
Quindi la vera ‘Cyber Intelligence’ non è quella che identifica le minacce e i metodi di attacco già noti, ma si concentra sulla corretta comprensione di ciò che sta avvenendo in azienda con un livello di granularità tale da far emergere anche le azioni più subdole. L’intelligence migliore è quella che analizza in tempo reale anomalie ricche d’informazioni e che è in grado di correlare molteplici indicatori deboli per avere un quadro chiaro della situazione.
Effettivamente, nell’ambito della sicurezza nazionale e delle forze dell’ordine, il termine ‘intelligence’ si riferisce ad azioni d’indagine che forniscono informazioni per affrontare rischi e minacce specifiche prima che l’avversario prenda l’iniziativa e vi spinga sulla difensiva. Fornisce una conoscenza, suffragata da prove, che indicano ad un essere umano quando e come passare all’azione e a sua volta confermano l’efficacia delle decisioni su base continuativa dato che il contesto cambia inevitabilmente.
Per le aziende che vogliono essere proattive nei riguardi degli attacchi informatici queste domande sono critiche e richiedono azioni d’intelligence di elevata qualità e i riscontri di un’analisi avanzata e sensibile al contesto di un ampio spettro di fattori che contribuiscono all’eventuale attacco. La ‘Cyber Intelligence’ deve guidare nel prendere decisioni quando le infiltrazioni sono nella loro fase iniziale e gestibile, in una finestra temporale che consenta di verificarne l’efficacia ed evitare che la situazione diventi critica.