Post di Fabio Fratucello, Field CTO, International, CrowdStrike –

Non sorprende che si senta sempre più parlare di attacchi informatici. Infatti, con l’avvento del Ransomware-as-a-Service e degli Access Broker la barriera protettiva contro i criminali informatici è diventata meno efficace e ha reso gli elementi della cyber kill-chain veri e propri servizi commodity. La superficie di attacco che i criminali informatici possono colpire oggi è diventata sempre più ampia, con l’aumento dell’adozione del cloud nelle aziende. Inoltre, gli avversari sono sempre più rapidi nel muoversi lateralmente all’interno degli ambienti compromessi e il tempo medio di evasione è sceso a soli 79 minuti, rispetto agli 84 minuti registrati nel 2022[1]. Tutto ciò rappresenta una sfida significativa per i leader della sicurezza informatica, soprattutto nel momento in cui si trovino a prendere le giuste scelte strategiche di investimento.

Le aziende e la complessità dei sistemi di sicurezza informatica

In passato, era la norma pensare che un numero maggiore di soluzioni di sicurezza potesse garantire un livello più alto di protezione a un’azienda, anche qualora si trattasse di installare più strumenti a copertura di uno stesso dominio. Tuttavia, oggi, molte aziende si stanno confrontando con diverse sfide legate alla complessità dei propri sistemi di sicurezza. Infatti, le aziende che si affidano a strumenti di sicurezza eccessivamente complessi e disarticolati incorrono nel pericolo di essere esposte a maggiori rischi informatici, a causa della natura frammentaria di questo approccio e dei maggiori costi operativi.

(Reuters)

Avere piena visibilità sugli ambienti è fondamentale. Ciò che all’inizio può sembrare un’anomalia isolata può rivelarsi invece un attacco sofisticato che sta provando a sfruttare più vettori dislocati in diversi domini. Quello che spesso capita è che un numero eccessivo di soluzioni può ridurre la visibilità, soprattutto se si tratta di soluzioni disgiunte e non in grado di condividere i dati centralmente, in modo tempestivo e davvero efficace. Tale situazione rende difficile per le aziende osservare e monitorare ciò che sta avvenendo, tracciare il percorso dell’avversario e accertarsi della natura dell’anomalia, che può essere un falso positivo o anche parte di un attacco legittimo.

Gli esperti di sicurezza devono quindi unificare il proprio stack di sicurezza per evitare che le violazioni possano celarsi dietro le lacune di visibilità, implementando programmi di integrazione complessi e dispendiosi, oppure adottando una soluzione unificata, come una piattaforma di sicurezza.

L’approccio di sicurezza moderno al rilevamento e alla risposta

Individuare eventuali sovrapposizioni nelle soluzioni di sicurezza è il primo passo che un’azienda può compiere per iniziare il proprio percorso di unificazione. Spesso gli endpoint rappresentano il punto di partenza.

Nel corso del tempo, gli strumenti di protezione degli endpoint si sono evoluti per offrire una gamma più ampia di funzionalità di sicurezza, al di là di antivirus e antimalware. Questi strumenti includono funzionalità come firewall basati su host, protezione dei dati e gestione dei dispositivi. Con un’ampia gamma di servizi, gli strumenti di protezione degli endpoint spesso si sovrappongono ad altri strumenti di sicurezza specifici.

Le aziende dovrebbero valutare quali strumenti sono potenzialmente più un peso che un vantaggio per la loro postura di sicurezza complessiva. Prendendo come esempio la protezione degli endpoint, si può notare come la sostituzione di una serie di strumenti specializzati con un’unica soluzione completa possa fornire visibilità immediata su diversi domini, eliminando gli attriti operativi e aumentando l’efficienza. Ad esempio, implementare una singola soluzione nei domini di protezione degli endpoint e delle identità può fornire alle aziende il vantaggio di disporre di un’unica interfaccia per comprendere la correlazione degli attacchi in due dei domini più critici da proteggere. Questo è un vantaggio della singola piattaforma, un risultato immediato che non richiede alle aziende di impiegare ulteriormente il proprio budget per le attività di integrazione dei dati.

L’importanza di un’unica piattaforma

È inoltre necessario avere conoscenza delle varie fasi che intercorrono tra il rilevamento della minaccia e la risposta. Tra queste: monitoraggio dell’ambiente di runtime (dove operano applicazioni e servizi), protezione degli endpoint (negli ambienti on-premise e cloud), protezione delle identità, threat intelligence, threat hunting, rilevamento e risposta gestiti (MDR). Se tutte queste funzionalità sono architettonicamente disgiunte, è probabile che i costi di integrazione siano molto elevati.

Può risultare molto complicato tracciare il percorso di un avversario nei vari ambienti e tra i diversi domini, e analizzare centinaia, se non migliaia, di singoli segnali e avvisi. Se gli strumenti di sicurezza non sono in grado di dialogare efficacemente tra loro in ogni fase del percorso l’azienda ne risente venendo esposta a rischi di sicurezza. È fondamentale garantire quindi l’interoperabilità tra tutte le soluzioni tramite un’unica piattaforma. Un approccio unificato risulta più economico e affidabile nel raggiungimento degli obiettivi di sicurezza dell’azienda.

Considerazioni finali per una vincente integrazione degli strumenti

La mancanza di unificazione degli strumenti di sicurezza in un’azienda può introdurre diversi problemi operativi e finanziari che è necessario soppesare. Valutare il costo totale delle soluzioni di sicurezza significa prendere in considerazione non solo il costo iniziale di acquisizione di uno strumento di controllo o di una funzionalità, ma anche l’impatto più ampio che può avere su vari aspetti dell’ecosistema IT dell’azienda. Mentre è più semplice quantificare il costo di acquisizione, non sempre è immediata la stima di altri fattori.

Ad esempio, l’implementazione di più strumenti di controllo non in grado di interagire tra loro non solo introduce una probabile lacuna di visibilità, ma anche costi inutili, determinando una perdita di produttività. In questo contesto i dipendenti si trovano a dover navigare e gestire più sistemi, con conseguenti flussi di lavoro inefficienti o impiegando molto tempo nel tentativo di farli funzionare insieme. Inoltre, la presenza di più console e soluzioni disgiunte può richiedere personale aggiuntivo per il monitoraggio e la gestione. Ciò significa assumere più personale o riallocare le risorse, con un aggravio dei costi operativi complessivi.

Soluzioni per la sicurezza, il limite di valutare soltanto i costi

Pertanto, valutare solamente i costi delle singole transazioni finanziarie al momento dell’acquisto di una soluzione di sicurezza è limitativo. Stimare l’impatto generale sulle operazioni, sulla produttività, sulle attività di ingegneria e trasformazione dei dati e sulle risorse umane è fondamentale nell’adozione di una determinata soluzione di sicurezza.

La complessità è nemica della sicurezza informatica. Solo adottando un approccio olistico e ponderando le implicazioni e i costi più ampi associati alle diverse soluzioni di sicurezza le aziende possono prendere decisioni più informate e redditizie, in linea con i propri obiettivi di sicurezza e ottimizzazione delle risorse.

Leggi il 2023 Threat Hunting Report di CrowdStrike

[1] Dati Threat Hunting Report 2023