A cura di Ivan Straniero, Territory Manager SEE Europe, Arbor Networks
È uno spiacevole fatto che chi sferra attacchi stia avendo sempre più successo nel sottrarre alle aziende di tutto il mondo dati e informazioni personali sui clienti. Nel mese di ottobre abbiamo osservato uno degli esempi di più alto profilo, un attacco diretto contro TalkTalk che si calcola abbia avuto conseguenze su 4 milioni di clienti. Proteggere con successo le nostre strutture sembra essere sempre più difficile nonostante le nuove tecnologie che promettono di sconfiggere gli attacchi più recenti. Vi sono diverse ragioni per questo, ma probabilmente quella più importante è che i nostri avversari sono persone motivate e innovatrici che in molti casi hanno accesso alle stesse tecnologie che utilizziamo per difendere noi stessi, cosa che permette di ottimizzare le loro tattiche per aggirare tali protezioni.
Tuttavia vi sono misure che possiamo intraprendere: per esempio, quasi tutti gli attacchi sfruttano una risorsa comune – le nostre reti – e pertanto dovremmo essere in grado di intercettarli e bloccarli se guardassimo agli elementi giusti nel modo giusto. Il problema è che in molti casi le nostre risorse dedicate alla sicurezza tendono a essere impegnate nel processare eventi – alcuni dei quali sono falsi positivi e nella maggior parte dei casi non rappresentano un serio rischio per i nostri asset e processi business-critical. In poche parole, non stiamo sfruttando la nostra risorsa migliore – i nostri esperti in sicurezza – nel modo migliore possibile. Stiamo cercando di reagire a un numero sempre crescente di eventi anziché ricercare proattivamente le minacce pericolose usando la rete come punto panoramico.
Non fraintendetemi, la metodologia reattiva porta indubbiamente all’identificazione e al contenimento di numerose minacce, ma alcune di esse riescono a passare lo stesso. Si tratta spesso di quelle che sono orchestrate appositamente per aggirare le soluzioni e i processi di cui disponiamo: attacchi multistadio invisibili dotati di componenti studiati per sembrare innocui.
È qui che viene utile l’idea di andare a caccia, cosa che ci permette di potenziare i nostri processi reattivi con un approccio proattivo mettendo a frutto le capacità e l’intelligence dei nostri team dedicati alla sicurezza. Insieme con i dati che già possediamo sulle attività di rete e sulle minacce, identificare comunicazioni anomale e sospette meritevoli di ulteriori approfondimenti è semplicemente un ulteriore punto di ingresso nel nostro processo IR già in atto.
E quindi, dove iniziamo la caccia? Il segreto è quello di conoscere l’aspetto delle attività considerate normali all’interno di un determinato ambiente. Gli esseri umani sono molto bravi nel riconoscimento dei pattern: se riuscissimo a presentare i dati relativi al traffico di rete e alle tendenze delle minacce in maniera visuale, allora gli utilizzatori di un tale sistema si abituerebbero a riconoscere una condizione ‘normale’ e identificare un cambiamento non appena dovesse emergere. Per riuscire a fare questo in modo efficace dobbiamo tuttavia focalizzarci sui possibili obiettivi che possono interessare chi sferra gli attacchi.
Il primo passo della nostra caccia riguarda l’identificazione dei dati o dei processi che presentano un valore per l’organizzazione che utilizza la rete, come per esempio le transazioni online dei clienti, e dei percorsi che chi attacca potrebbe seguire per raggiungere tali obiettivi. La cosa importante in questo caso è ragionare con la testa di chi sta attaccando. Alcune aziende conservano dati non considerati intrinsecamente di valore ma che potrebbero risultare più utili al di fuori delle aziende stesse e rappresentare quindi un possibile bersaglio. Una volta identificati questi asset e le strade disponibili per raggiungerli, dobbiamo familiarizzarci con i livelli di normale attività. Questo significa esplorare i dati che possediamo in modo da capire cosa ruoti intorno ad essi. Per quanto possiamo non approdare a nulla, già il solo processo di esplorazione ci aiuterà a identificare eventuali attività insolite la prossima volta che gli daremo un’occhiata.
Possiamo anche utilizzare l’intelligence per aiutarci a focalizzare meglio le nostre attività. Se disponiamo di intelligence su un particolare vettore di attacco o possiamo usare precedenti incidenti come riferimento, allora possiamo esplorare i dati a nostra disposizione per accertare che non stia accadendo nulla di sospetto.
Quanto visto sinora fa affidamento su una cosa: la capacità di visualizzare le attività relative alla rete e alle minacce. La tradizionale vista ‘a righe e colonne’ offerta dalle soluzioni per la sicurezza non ci aiuta, né ci aiutano le soluzioni che richiedono molto tempo prima di rispondere alle nostre query. La capacità di investigare ed esplorare i dati visualmente alla velocità del pensiero è essenziale se vogliamo permettere ai nostri team responsabili della sicurezza di diventare maggiormente proattivi.
Le aziende devono ribaltare i ruoli e trasformarsi in cacciatori anziché in prede. Per fare questo devono dipendere meno dalla tecnologia per potersi difendere; inoltre devono sfruttare meglio le loro risorse dedicate più importanti, le persone. È essenziale usare la rete come punto panoramico per raccogliere informazioni sul traffico e sulle attività sospette per poi visualizzarle. Il processo di esplorazione di queste informazioni, se implementato correttamente, risulta molto coinvolgente per gli esperti di sicurezza e può permetterci di scoprire minacce che altrimenti riuscirebbero a filtrare, ridurre il rischio di business e consentire un atteggiamento maggiormente proattivo.
