In un incontro svoltosi presso la sede Milanese di Google, Mandiant offre una panoramica delle attuali e nuove minacce attive in rete e dei rimedi che può offrire rapidamente ed efficacemente sul mercato
L’occasione è stata offerta da un incontro presso la sede Milanese di quella che da fine 2022 è la casa madre di Mandiant: Google. Obiettivo dell’incontro: presentare le attività più recenti dell’Azienda a difesa della sicurezza dei dati dei clienti e nell’informare il mercato per ridurre al minimo i rischi legati ad attività illecite quali il phising o il ransomware.
Prendendo la parola per un messaggio di benvenuto e un’introduzione alla giornata, Giancarlo Marengo, country manager Mandiant Italia ha spiegato come Mandiant, con una storia partita dal settore difesa negli Stati Uniti, è cresciuta a livello mondiale e dal novembre 2022 è diventata parte di Google Cloud.
«Il ruolo di Mandiant è quello di essere coinvolta da clienti provenienti un po’ da tutti i settori di mercato quando c’è una situazione di rischio di attacco da un punto di vista cibernetico», ha esordito Marengo. L’obiettivo dell’incontro, ha aggiunto Marengo, «è quello di coinvolgervi in una simulazione di quello che accade quando c’è un attacco cibernetico in un’azienda».
Incident Responder
«Gli Incident Responder sono colleghi specializzati nell’intervento rapido in situazioni di attacco cibernetico di ogni tipo», aggiunge Marengo. «Alle spalle di questi specialisti c’è una cultura di best practice consolidata a livello internazionale, che permette a Mandiant di intervenire in tempi brevissimi su scenari complessi». Il fattore condizionante, come nel caso dei pompieri, è il tempo. «Mandiant eroga più di 200 mila ore/anno di attività di incident response, che si traducono in informazioni di threat intelligence messe a disposizione dei propri clienti e in tempi d’intervento che vanno dalle 2 alle 4 ore».
A seguire, Gabriele Zanoni, responsabile della divisione consulenza di Mandiant Italia, ha spiegato in diretta come viene condotta un’indagine con clienti aziendali. «Lo scopo di questi interventi è quello di aiutare i clienti a gestire gli incidenti di cybersecurity – ha spiegato Zanoni – e oggi in questo test ci basiamo su incidenti reali avvenuti presso clienti». La rapidità è essenziale e richiede che le attività di response e remediation, cioè di ripristino dei sistemi informativi attaccati, avvengano praticamente in contemporanea. «La nostra attività è volta ad aiutare i clienti a creare un track model da seguire in caso di attacco, dove sono descritti quali sono gli attaccanti più rilevanti per il loro settore di attività, quali sono le minacce e le tipologie di attacco più probabili per la loro infrastruttura: su queste basi li aiutiamo». Un esempio di quello che succede nel caso di attacchi ransomware (oggi piuttosto frequenti) è la cancellazione dei backup, in maniera che «l’azienda colpita non abbia possibilità di recuperare i dati rapidamente e sia costretta a pagare il riscatto chiesto».
In Italia le aziende più colpite da attacchi cyber sono quelle di tecnologia, telecomunicazioni e servizi finanziari, come si desume dallo studio effettuato negli ultimi 3 anni da Mandiant e aggiornato ogni trimestre.
Schema di analisi degli attacchi
La simulazione eseguita in diretta con Mandiant riguarda attacchi portati realmente in campo e le modalità per affrontarli in modo efficace. Il test è stato eseguito attraverso risposte date via smartphone su un sito web predisposto. «Il primo scenario – spiega Zanoni – riguarda un’azienda il cui Soc (Security operation center) riceve un allarme critico, che segnala la copia di file contenenti informazioni critiche di business su un sito esterno all’azienda, da un Pc portatile LAPTOP-SofiaM». Tra le domande rivolte ai giornalisti, la più votata (quella corretta) è che occorre fare indagini più approfondite per capire se, per esempio: «Sofia è una persona che ha lasciato l’azienda e sta copiando dei dati oppure è un altro utente che sta usando l’account di Sofia in modo fraudolento». In ogni caso, avere più informazioni possibile su chi attacca e sulla tipologia di attacco consente di implementare attività di remediation più efficaci in tempi più brevi. Uno dei principali obiettivi che un’azienda come Mandiant si pone con successo verso i propri clienti.
