Oggi le aziende devono presumere la riuscita degli attacchi. Per questo le misure preventive non bastano più. I responsabili della sicurezza dovrebbero elaborare una strategia di Incident Detection & Response, nonostante le difficoltà di attuazione.
Testo: Andreas Heer, Immagine: Unsplash,
«Assume the breach». Questo è il paradigma per la strategia di sicurezza IT che gli addetti ai lavori dovrebbero oggi seguire. Di fronte agli attacchi sempre più numerosi e sofisticati, anche le aziende devono migliorare le proprie misure di sicurezza. Perché: quanto passerà prima che «Drovorub», il presunto rootkit per Linux russo, scoperto di recente dalla National Security Agency statunitense, attacchi anche server (cloud) locali?
Drovorub viene ascritto al gruppo russo APT28, noto anche come «Fancy Bear» o «Strontium», e sospettato di sostenere con il proprio operato gli interessi del governo. APT28 e molti altri cybercriminali, come gli autori di Emotet, dimostrano che la criminalità informatica è ormai da tempo un’attività professionale. Considerando le risorse umane ed economiche alla base di queste attività, oggi non occorre chiedersi se un’azienda sarà colpita, ma piuttosto quando un simile attacco avrà successo. Pertanto, i responsabili della sicurezza devono presupporre che l’hacker si trovi già nella rete.
Con queste premesse, le sole misure preventive non bastano più, anche se rimangono fondamentali per scongiurare buona parte degli attacchi. Tuttavia, nel clima odierno, l’Incident Detection & Response sta acquistando un’importanza sempre maggiore nel contrastare gli attacchi riusciti. In altre parole: quanto più sofisticata è l’azione degli hacker, tanto più alto deve essere il grado di maturità della sicurezza informatica nelle aziende.
Il Cybersecurity Framework del NIST descrive metodi e best practice per la difesa informatica, suddividendo la sicurezza IT in cinque passaggi: identificazione (Identify), protezione (Protect), rilevazione (Detect), risposta (Respond) e ripristino (Recover). Il terzo e quarto passaggio, Detection & Response, riguardano quindi l’Incident Handling in caso di attacchi riusciti.
Oltre a misure automatizzate, come la rilevazione e il blocco del traffico di rete dannoso, la Detection comprende numerosi metodi manuali, utili per individuare modelli di attacco che risultano troppo complessi per le contromisure automatiche. Per fare ciò, gli specialisti della sicurezza informatica utilizzano diversi strumenti e in questa dinamica la raccolta di informazioni è di fondamentale importanza: blog di security, banche dati di conoscenze come il Mitre ATT&CK Framework e forum di discussione nella darknet ne sono validi esempi, come lo scambio regolare con altri specialisti. Solo in questo modo un’azienda può garantire che gli indicatori di un attacco siano noti e rilevabili all’interno della propria infrastruttura.
Il threat hunting descrive un approccio per l’identificazione degli indicatori di attacchi, con cui gli specialisti della sicurezza IT ricercano nella rete aziendale i modelli degli attacchi informatici in corso. Questo compito richiede conoscenze altamente specialistiche, ma permette di rilevare anomalie altrimenti invisibili ai sistemi di sicurezza.
Se tali misure di rilevamento evidenziano un attacco riuscito, si rende necessaria una risposta adeguata, che dovrebbe non solo essere rapida e agile, ovvero adattata all’effettiva situazione, ma anche seguire una procedura ben definita, idealmente secondo principi delle migliori pratiche. Come nel caso dell’Incident Detection, anche l’eliminazione coniuga numerose misure di natura tecnologica e comunicativa. Un approccio comprovato è quello di formare a questo scopo un Computer Security Incident Response Team (CSIRT), composto da specialisti della sicurezza informatica con competenze tecniche approfondire.
Se il responsabile della security di un’azienda non si preoccupa del reclutamento di questi specialisti della sicurezza, ne pagherà le conseguenze più tardi in fase di discussione del budget. Infatti, le misure di sicurezza IT sono come un’assicurazione: quando tutto fila liscio, la ragione può essere ricondotta al buon lavoro degli specialisti e delle misure tecniche, oppure alla semplice mancanza di attacchi. Ma è proprio l’imprevedibilità degli attacchi informatici a complicare la vita del CISO nel pianificare le risorse e nel discutere con il CFO.
Una misura elegante perché economicamente trasparente è l’outsourcing del Detection & Response a un Managed Security Service Provider (MSSP). Questa soluzione migliora inoltre la scalabilità, perché le risorse possono essere impiegate secondo necessità, rendendo i costi calcolabili. Infatti, non occorre la sfera di cristallo per prevedere che l’importanza del rilevamento e della risoluzione degli attacchi informatici aumenta di pari passo con la loro complessità. Grazie all’outsourcing parziale, un outtasking, il responsabile della security trova una soluzione.
Maggiori informazioni: