Indispensabile individuare, ma poi serve reagire

Ott 07, 2019 F-Secure F-Secure Partner Space, RSS 0

Gli strumenti per la detection sono indispensabili. Una volta rilevato l’attacco, però, è necessario avere a disposizione ciò che serve per bloccare i pirati.

La logica di focalizzare le risorse sulla detection comporta il rischio di arrivare a un paradosso. Troppo spesso, infatti, l’individuazione di un attacco porta a trattare la situazione secondo la logica del “post mortem”. In altri termini, al rilevamento dell’attacco in corso non corrispondono strumenti per contrastare l’azione dei pirati.

Il vero salto di qualità nell’adozione di una logica “detect and response” sta proprio qui: nella previsione di policy e strategie che consentano di reagire immediatamente alla minaccia individuata.

Il concetto, che F-Secure identifica con la logica del “continuose response”, è simile a quello che si può applicare nel caso di una invasione “fisica”. Prendere tempo, rallentare l’azione del nemico e nel frattempo mettere in atto tutte quelle contromosse che permettono di bloccarne l’azione.

Un’impostazione che, come viene spiegato in un white paper dedicato, richiede prima di tutto un livello di organizzazione adeguato il cui primo passaggio riguarda il lavoro i Intelligence che permette di mettere a fuoco le caratteristiche delle possibili minacce.

In altre parole, dobbiamo porci delle domande del tipo: chi potrebbe attaccare la nostra azienda? Con quale obiettivo? Quali sono le aree “sensibili” su cui dobbiamo concentrare la nostra attenzione?

Tutto questo tenendo conto che l’efficacia di un sistema di protezione del genere fa leva su cinque fattori fondamentali: le risorse umane dedicate, la disponibilità di dati, la capacità decisionale, quella di azione e il fattore tempo.

L’idea di base è quella di avere tutto ciò che serve per affrontare uno a che fare con uno scenario che, mutuando un concetto sviluppato in ambito di analisi geopolitica, viene descritto con l’acronimo VUCA (volatility, uncertainty, complexity and ambiguity) coniato negli USA per descrivere il panorama post guerra fredda.

Uno degli aspetti più rilevanti tra quelli citati, però, è la complessità. Nello scenario attuale, infatti, le stesse infrastrutture IT dell’azienda sono estremamente fluide. Una condizione che ha, come immediata conseguenza, l’aumento della superficie d’attacco.

I sistemi di virtualizzazione e l’uso intensivo della cloud, infatti, permettono di mantenere un livello di flessibilità che offre innumerevoli vantaggi dal punto di vista dell’efficienza e della versatilità degli strumenti informatici. Allo stesso tempo, modificano continuamente i confini dell’area che dobbiamo proteggere.

Per garantire la capacità di rispondere a un attacco in simili condizioni è necessario fare leva su tre aspetti: cooperazione, contesto e controllo. In altre parole, è indispensabile essere in grado di avere le persone giuste nel posto giusto, fornire loro le informazioni necessarie per prendere le giuste decisioni e la capacità di mettere in atto le azioni necessarie per fermare un attacco.

Condividi l'articolo