FireEye: nella security conta il fattore umano

Mar 30, 2017 Marco Schiaffino Mercato, News, Prodotto, RSS, Scenario, Tecnologia 0

Dall’Intelligence alla gestione delle controffensive: ecco dove serve l’intervento delle persone nella protezione dei sistemi informatici aziendali.

Dal Machine Learning all’automazione dei processi di identificazione e contrasto delle minacce: il fattore umano è davvero stato eliminato nell’equazione della sicurezza informatica?

Secondo Marco Rottigni di FireEye le cose non funzionano così. “Oggi la gestione della sicurezza informatica è qualcosa di estremamente complesso, che richiede impegno su più fronti. Quello che FireEye ritiene indispensabile è l’intelligence, cioè qualcosa che va ben oltre il semplice concetto di rilevazione della minaccia come veniva inteso qualche tempo fa”.

Un’impostazione che fa leva su un fattore che di solito viene associato naturalmente all’automazione: il fattore tempo.

“Oggi noi abbiamo bisogno di riuscire a reagire a un attacco nel giro di minuti e non di giorni” prosegue Rottigni. “Per farlo dobbiamo essere in grado di inquadrare la minaccia con la maggior precisione possibile”.

Un processo che, secondo FireEye, è possibile solo se si sa esattamente con che cosa si ha a che fare. “A questo scopo FireEye sfrutta un sistema di condivisione delle informazioni che fa leva su alcuni dati non sensibili, cioè quegli indicatori di compromissione che ci permettono di classificare ogni attacco in modo che si possa inquadrarlo nella giusta prospettiva” spiega Rottigni.

L’attività di FireEye è strutturata in tre sezioni ideali: una più tecnica, una di “incident response” e una dedicata all’intelligence.

Proprio questa ha una funzione fondamentale. “Quando otteniamo informazioni riguardanti gli indicatori di compromissione, affidiamo la loro analisi a persone in carne e ossa, che possano valutare il rischio anche sotto un profilo strategico”.

Si tratta, in pratica, di un’analisi che valuta il livello dell’impatto di un attacco anche sulla base del concreto livello di rischio, che consente per esempio di individuare un modus operandi che è comune a una campagna di distribuzione di malware che ha come obiettivo soggetti omogenei.

“Nel momento in cui rileviamo un attacco valutiamo anche fattori non squisitamente tecnici, per esempio quelli relativi al settore delle aziende che possono rientrare tra i bersagli”.

Nel corso del 2016 FireEye ha individuato una crescita esponenziale di attacchi che sfruttano tecniche di ingegneria sociale estremamente avanzate, in cui i cyber-criminali contattano telefonicamente le vittime per “persuaderle” ad aprire gli allegati email. L’attività di intelligence permette di intercettare campagne di questo tipo e di predisporre le contromisure necessarie.

In pratica: se l’attacco prende di mira siti Web di un settore specifico (come quello sanitario) l’utilizzo di queste informazioni permette di orientare le difese sulla specifica strategia di attacco e predisporre le necessarie contromisure.

“Il nostro approccio ci permette di sapere quali sono i segnali a cui dobbiamo guardare per individuare gli attacchi che più probabilmente andranno a colpire in nostri clienti” conclude Rottigni.

Tutte le informazioni sono registrate e indicizzate in modo da consentire agli analisti di condurre investigazioni che gli permettano di gestire in maniera più efficace le minacce attive.

Ma qual è l’efficacia di questo approccio? “Il nostro ultimo report ci dice che il tempo necessario per individuare la presenza di una minaccia a livello aziendale è passata da 465 giorni nel 2015 a 106 giorni nel 2016”.

Il motivo di questo drastico abbattimento delle statistiche? Marco Rottigni non ha dubbi: “Un cambiamento del genere si spiega in un solo modo: con la maggiore attenzione al tema dell’intelligence che molte aziende hanno dimostrato negli ultimi anni”.

Condividi l'articolo