Aggiornamenti recenti Aprile 4th, 2025 12:39 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- L’Italia è tra gli obiettivi principali del cybercrime
- Colt ha completato il trial di crittografia quantistica sulla propria rete ottica
- Corea del Nord: la minaccia cyber si espande in Europa grazie ai professionisti IT
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- L’Italia è tra gli obiettivi principali del cybercrime
F-Secure: ecco come cambia la protezione per le medie imprese
Le aziende di dimensione -medio-piccole sono indifese di fronte alle nuove tipologie di attacchi. Serve un cambio di prospettiva.
Non è una distinzione troppo rigida, ma anche chi si occupa di sicurezza informatica è portato a pensare che le tipologie di attacco cambino radicalmente a seconda delle dimensioni delle aziende prese di mira, per le quali vengono proposte soluzioni diverse.
Si tratta di una forma mentis che possiamo riassumere così: per i piccoli è sufficiente la protezione dell’endpoint e l’individuazione dei malware. Per le organizzazioni più grandi, invece, serve proteggersi anche dagli attacchi mirati, quelli che non sfruttano i “soliti” malware ma puntano a introdursi nei sistemi utilizzando strumenti di hacking che sfruttano le vulnerabilità presenti in software e device.
Secondo Jimmy Ruokolainen, vice presidente di F-Secure, è arrivato il momento di abbandonare questa impostazione mentale. “Una ricerca di Ponemon prevede che nel 2018 il 35% degli attacchi alle aziende sarà portato con strumenti fileless e le statistiche dicono nel 57% dei casi i cyber-criminali utilizzano per le loro azioni normali strumenti di amministrazione come Powershell, difficili da individuare con un semplice software”.
Ma cosa è cambiato rispetto a qualche tempo fa e perché anche aziende medio-piccole rischiano di finire vittima di questi attacchi? Semplice: i pirati informatici hanno cominciato ad automatizzare gli attacchi. In questo contesto non si parla più di “attacchi mirati”, ma di tentativi seriali di intrusioni, che quindi possono colpire anche le piccole e medie imprese che non hanno strumenti specifici per proteggersi.
L’intrusione attraverso strumenti di amministrazione non richiede più la presenza fisica di un pirata informatico in grado di sfruttare le vulnerabilità. Può essere automatizzata.
“La strategia per proteggersi da questo tipo di attacchi è una sola: individuare le operazioni sospette e fermare l’intrusione prima che i criminali arrivino al loro obiettivo” spiega Ruokolainen. “Il tradizionale software installato sull’endpoint non è sufficiente”. Qualcosa che però richiede competenze professionali piuttosto elevate, che le imprese di medie dimensioni di solito non possono permettersi.
Per individuare un’intrusione di questo genere servono infatti sistemi di detect and response con personale dedicato, che di solito vengono implementati solo dalle aziende a livello enterprise quando devono tenere sotto controllo un’ampia infrastruttura informatica.
È questo il ragionamento da cui è partita F-Secure per creare un nuovo servizio che “mixa” le due cose: Endpoint Detect and Response (EDR). L’idea è di aggiungere alla normale protezione da malware un servizio di “rilevamento e risposta” gestito esternamente.
In pratica, i sistemi di F-Secure analizzano tutti gli eventi registrati a livello di infrastruttura informatica usando strumenti di machine learning per individuare quelli potenzialmente pericolosi e affida a un team di analisti il compito di individuare eventuali attacchi in corso.
Una nuova prospettiva
Questo cambio nelle regole del gioco ha delle ripercussioni piuttosto interessanti, che secondo Jimmy Ruokolainen non riguardano solo il tipo di strumenti utilizzati per attacchi e protezione.
“In questo scenario ci troviamo di fronte a un ribaltamento di ruoli che ci offre anche qualche vantaggio” spiega Ruokolainen. “Di solito li definisco come il dilemma dell’attaccante e il dilemma del difensore”.
Riassumendo il ragionamento fatto da Ruokolainen, il dilemma del difensore riguarda la prevenzione e può essere riassunto in questo modo: chi protegge un sistema non può permettersi di sbagliare. Al primo errore (cioè quando non viene rilevato un malware) hai perso.
Nel caso del detect e response, i ruoli sono invertiti. I cyber-criminali, infatti agiscono secondo uno schema che prevede l’intrusione attraverso una vulnerabilità seguita dal cosiddetto “movimento laterale”, attraverso il quale arrivano ai loro obiettivi. In questo caso, quindi, sono loro che non possono permettersi di sbagliare. Al primo errore vengono individuati e bloccati.
Non solo, secondo il vice presidente di F-Secure l’ambito del detect and response offre un altro vantaggio. “Quando un pirata informatico realizza un malware, può comprare l’antivirus di cui vuole aggirare la protezione e fare tutti i test che gli servono per capire se è in grado di individuare il codice malevolo. Di fronte a un sistema di analisi come quello di EDR questo non è possibile”.
La chiave di questo vantaggio è il fattore umano, che rende meno prevedibile il funzionamento degli strumenti di protezione. Mentre gli antivirus utilizzano schemi “fissi” come le signature o i modelli di analisi comportamentale, un gruppo di analisti in carne garantisce quella flessibilità che permette di individuare un attacco anche quando viene portato attraverso strumenti e operazioni che non farebbero scattare un campanello di allarme nei tradizionali software.
Condividi l'articolo
Crescita esponenziale dei malware: più 22,9% in un anno
Pasticcio di Microsoft nella patch per correggere Meltdown
Articoli correlati
Altro in questa categoria
Ransomware: la serie
No posts found.
One thought on “F-Secure: ecco come cambia la protezione per le medie imprese”