Aggiornamenti recenti Novembre 21st, 2024 2:11 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
- Le falle di sicurezza nei toolkit ML più diffusi
F-Secure: ecco come cambia la protezione per le medie imprese
Le aziende di dimensione -medio-piccole sono indifese di fronte alle nuove tipologie di attacchi. Serve un cambio di prospettiva.
Non è una distinzione troppo rigida, ma anche chi si occupa di sicurezza informatica è portato a pensare che le tipologie di attacco cambino radicalmente a seconda delle dimensioni delle aziende prese di mira, per le quali vengono proposte soluzioni diverse.
Si tratta di una forma mentis che possiamo riassumere così: per i piccoli è sufficiente la protezione dell’endpoint e l’individuazione dei malware. Per le organizzazioni più grandi, invece, serve proteggersi anche dagli attacchi mirati, quelli che non sfruttano i “soliti” malware ma puntano a introdursi nei sistemi utilizzando strumenti di hacking che sfruttano le vulnerabilità presenti in software e device.
Secondo Jimmy Ruokolainen, vice presidente di F-Secure, è arrivato il momento di abbandonare questa impostazione mentale. “Una ricerca di Ponemon prevede che nel 2018 il 35% degli attacchi alle aziende sarà portato con strumenti fileless e le statistiche dicono nel 57% dei casi i cyber-criminali utilizzano per le loro azioni normali strumenti di amministrazione come Powershell, difficili da individuare con un semplice software”.
Ma cosa è cambiato rispetto a qualche tempo fa e perché anche aziende medio-piccole rischiano di finire vittima di questi attacchi? Semplice: i pirati informatici hanno cominciato ad automatizzare gli attacchi. In questo contesto non si parla più di “attacchi mirati”, ma di tentativi seriali di intrusioni, che quindi possono colpire anche le piccole e medie imprese che non hanno strumenti specifici per proteggersi.
L’intrusione attraverso strumenti di amministrazione non richiede più la presenza fisica di un pirata informatico in grado di sfruttare le vulnerabilità. Può essere automatizzata.
“La strategia per proteggersi da questo tipo di attacchi è una sola: individuare le operazioni sospette e fermare l’intrusione prima che i criminali arrivino al loro obiettivo” spiega Ruokolainen. “Il tradizionale software installato sull’endpoint non è sufficiente”. Qualcosa che però richiede competenze professionali piuttosto elevate, che le imprese di medie dimensioni di solito non possono permettersi.
Per individuare un’intrusione di questo genere servono infatti sistemi di detect and response con personale dedicato, che di solito vengono implementati solo dalle aziende a livello enterprise quando devono tenere sotto controllo un’ampia infrastruttura informatica.
È questo il ragionamento da cui è partita F-Secure per creare un nuovo servizio che “mixa” le due cose: Endpoint Detect and Response (EDR). L’idea è di aggiungere alla normale protezione da malware un servizio di “rilevamento e risposta” gestito esternamente.
In pratica, i sistemi di F-Secure analizzano tutti gli eventi registrati a livello di infrastruttura informatica usando strumenti di machine learning per individuare quelli potenzialmente pericolosi e affida a un team di analisti il compito di individuare eventuali attacchi in corso.
Una nuova prospettiva
Questo cambio nelle regole del gioco ha delle ripercussioni piuttosto interessanti, che secondo Jimmy Ruokolainen non riguardano solo il tipo di strumenti utilizzati per attacchi e protezione.
“In questo scenario ci troviamo di fronte a un ribaltamento di ruoli che ci offre anche qualche vantaggio” spiega Ruokolainen. “Di solito li definisco come il dilemma dell’attaccante e il dilemma del difensore”.
Riassumendo il ragionamento fatto da Ruokolainen, il dilemma del difensore riguarda la prevenzione e può essere riassunto in questo modo: chi protegge un sistema non può permettersi di sbagliare. Al primo errore (cioè quando non viene rilevato un malware) hai perso.
Nel caso del detect e response, i ruoli sono invertiti. I cyber-criminali, infatti agiscono secondo uno schema che prevede l’intrusione attraverso una vulnerabilità seguita dal cosiddetto “movimento laterale”, attraverso il quale arrivano ai loro obiettivi. In questo caso, quindi, sono loro che non possono permettersi di sbagliare. Al primo errore vengono individuati e bloccati.
Non solo, secondo il vice presidente di F-Secure l’ambito del detect and response offre un altro vantaggio. “Quando un pirata informatico realizza un malware, può comprare l’antivirus di cui vuole aggirare la protezione e fare tutti i test che gli servono per capire se è in grado di individuare il codice malevolo. Di fronte a un sistema di analisi come quello di EDR questo non è possibile”.
La chiave di questo vantaggio è il fattore umano, che rende meno prevedibile il funzionamento degli strumenti di protezione. Mentre gli antivirus utilizzano schemi “fissi” come le signature o i modelli di analisi comportamentale, un gruppo di analisti in carne garantisce quella flessibilità che permette di individuare un attacco anche quando viene portato attraverso strumenti e operazioni che non farebbero scattare un campanello di allarme nei tradizionali software.
Condividi l'articolo
Crescita esponenziale dei malware: più 22,9% in un anno
Pasticcio di Microsoft nella patch per correggere Meltdown
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato... -
Le falle di sicurezza nei toolkit ML più diffusi La sicurezza dei toolkit ML continua a essere minacciata...
Ransomware: la serie
No posts found.
One thought on “F-Secure: ecco come cambia la protezione per le medie imprese”