Potenziate le capacità di monitoraggio, detection e scalabilità della piattaforma di sicurezza
Al centro del mirino. Di un attacco targetizzato. Una sensazione tutt’altro che piacevole per talune categorie di business. Come banche o utilities. Ma non solo. Anche partiti politici e governi – vedi le blindatissime campagne elettorali in UK e Francia – iniziano a temerne l’impatto. Una caccia all’uomo dalla quale non sono esclusi neppure i vendor di sicurezza. Il cui scalpo rimane tra i più ambiti nella galassia dei delinquenti che popola la rete. Qui da noi forse si sottovaluta ancora l’impatto di un attacco mirato. Narcisi in tutto ma non nel sentirci addosso il fiato grosso degli intrusori. Che a giudicare dai nomi che circolano nell’ambiente sono tutt’altro che schizzinosi nei riguardi di industrie e istituzioni nostrane. Eppure basterebbe chiedere agli estoni che cosa significa essere sotto attacco cyber per avere tutti i ragguagli del caso.
Ma tant’è. Accontentiamoci di sapere che dentro a Kaspersky Lab opera GReAT, un team formato da una trentina di superesperti che lavora su questo genere di minacce: infrastrutture critiche, targeted attacks, APT (Advanced Persistent Threat). A loro si deve la scoperta di alcuni dei peggiori malware in circolazione come Flame, Gauss, Miniduke, RedOctober, Turla e altri. Secondo i loro dati, gli attacchi mirati rappresentano circa il 10% del totale. Di questi l’1% può essere ricondotto a un attacco ATP. I target? Un po’ tutti i settori. Inutile fare esempi. Ognuno ha i suoi gusti e le notizie al riguardo non mancano. Quel che è meno noto invece è che spesso si tratta di attacchi costosi che richiedono persone e risorse importanti. Secondo un documento pubblicato da The Intercept sottratto all’NSA, lo spionaggio americano, l’attacco ai server di posta dello staff Clinton durante l’ultima campagna elettorale ha violato i computer di almeno 122 persone in 39 stati. Non stupisce perciò l’entità dei danni che possono provocare. «Dati dalla somma di quelli diretti – come le perdite derivanti da downtime – con quelli reactive. Vale a dire tutte quelle voci di spesa – bonifica, forensic, legal – spiega Gianfranco Vinucci, Head of Pre-Sales Italy Kaspersky Lab – che è necessario sostenere per la remediation dell’attacco»
Come ci si difende?
Una risposta efficace dovrebbe essere articolata su tre piani: cyberintelligence, tecnologie avanzate, capacità di reazione. Su quest’ ultimo punto il problema delle piattaforme esistenti è quello di generare un numero impressionante di segnalazioni. Alle quali occorre attribuire significato per agire. «Uno dei problemi dei CISO è la mancanza di visibilità nel momento cruciale in cui devono decidere in merito all’incident response. Uno degli obiettivi di KATA (Kaspersky Anti Targeted Attack) è proprio quello di unire tutti gli elementi per fornire una risposta il quanto più possibile efficace di fronte a un potenziale pericolo» afferma Vinucci. KATA inoltre è in grado di sfruttare tutta l’intelligence distillata da fonti aperte e soprattutto dalla piattaforma in cloud di rilevazione Kaspersky basata su una sterminata batteria di sensori in rete e sull’endpoint degli oltre 400 milioni di utilizzatori worldwide. Oltre a monitorare i vettori d’attacco e correlare eventi grazie all’impiego di tecnologie di machine learning, in questa che è la seconda release di KATA, è possibile altresì automatizzare alcune funzionalità. «Attenzione però ai pericoli delle risposte automatizzate» mette in guardia Vinucci. «Un approccio ibrido rimane a tutt’oggi il più praticabile. Lo dimostrano gli errori che hanno compiuto quelle aziende che hanno riposto eccessiva fiducia nel machine learning. E che oggi vedono con il fumo negli occhi quei prodotti che possono bloccare un intero ciclo di produzione o un ciclo di query sui db aziendali senza l’intervento di un tecnico. Il nostro consiglio perciò è di utilizzare soluzioni che siano in grado di sfruttare il meglio di entrambi gli approcci».
