Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Mar 28, 2018 Marco Schiaffino Approfondimenti, In evidenza, Prodotto, RSS, Scenario, Tecnologia 1
Non è una distinzione troppo rigida, ma anche chi si occupa di sicurezza informatica è portato a pensare che le tipologie di attacco cambino radicalmente a seconda delle dimensioni delle aziende prese di mira, per le quali vengono proposte soluzioni diverse.
Si tratta di una forma mentis che possiamo riassumere così: per i piccoli è sufficiente la protezione dell’endpoint e l’individuazione dei malware. Per le organizzazioni più grandi, invece, serve proteggersi anche dagli attacchi mirati, quelli che non sfruttano i “soliti” malware ma puntano a introdursi nei sistemi utilizzando strumenti di hacking che sfruttano le vulnerabilità presenti in software e device.
Secondo Jimmy Ruokolainen, vice presidente di F-Secure, è arrivato il momento di abbandonare questa impostazione mentale. “Una ricerca di Ponemon prevede che nel 2018 il 35% degli attacchi alle aziende sarà portato con strumenti fileless e le statistiche dicono nel 57% dei casi i cyber-criminali utilizzano per le loro azioni normali strumenti di amministrazione come Powershell, difficili da individuare con un semplice software”.
Ma cosa è cambiato rispetto a qualche tempo fa e perché anche aziende medio-piccole rischiano di finire vittima di questi attacchi? Semplice: i pirati informatici hanno cominciato ad automatizzare gli attacchi. In questo contesto non si parla più di “attacchi mirati”, ma di tentativi seriali di intrusioni, che quindi possono colpire anche le piccole e medie imprese che non hanno strumenti specifici per proteggersi.
“La strategia per proteggersi da questo tipo di attacchi è una sola: individuare le operazioni sospette e fermare l’intrusione prima che i criminali arrivino al loro obiettivo” spiega Ruokolainen. “Il tradizionale software installato sull’endpoint non è sufficiente”. Qualcosa che però richiede competenze professionali piuttosto elevate, che le imprese di medie dimensioni di solito non possono permettersi.
Per individuare un’intrusione di questo genere servono infatti sistemi di detect and response con personale dedicato, che di solito vengono implementati solo dalle aziende a livello enterprise quando devono tenere sotto controllo un’ampia infrastruttura informatica.
È questo il ragionamento da cui è partita F-Secure per creare un nuovo servizio che “mixa” le due cose: Endpoint Detect and Response (EDR). L’idea è di aggiungere alla normale protezione da malware un servizio di “rilevamento e risposta” gestito esternamente.
In pratica, i sistemi di F-Secure analizzano tutti gli eventi registrati a livello di infrastruttura informatica usando strumenti di machine learning per individuare quelli potenzialmente pericolosi e affida a un team di analisti il compito di individuare eventuali attacchi in corso.
Una nuova prospettiva
Questo cambio nelle regole del gioco ha delle ripercussioni piuttosto interessanti, che secondo Jimmy Ruokolainen non riguardano solo il tipo di strumenti utilizzati per attacchi e protezione.
“In questo scenario ci troviamo di fronte a un ribaltamento di ruoli che ci offre anche qualche vantaggio” spiega Ruokolainen. “Di solito li definisco come il dilemma dell’attaccante e il dilemma del difensore”.
Riassumendo il ragionamento fatto da Ruokolainen, il dilemma del difensore riguarda la prevenzione e può essere riassunto in questo modo: chi protegge un sistema non può permettersi di sbagliare. Al primo errore (cioè quando non viene rilevato un malware) hai perso.
Nel caso del detect e response, i ruoli sono invertiti. I cyber-criminali, infatti agiscono secondo uno schema che prevede l’intrusione attraverso una vulnerabilità seguita dal cosiddetto “movimento laterale”, attraverso il quale arrivano ai loro obiettivi. In questo caso, quindi, sono loro che non possono permettersi di sbagliare. Al primo errore vengono individuati e bloccati.
Non solo, secondo il vice presidente di F-Secure l’ambito del detect and response offre un altro vantaggio. “Quando un pirata informatico realizza un malware, può comprare l’antivirus di cui vuole aggirare la protezione e fare tutti i test che gli servono per capire se è in grado di individuare il codice malevolo. Di fronte a un sistema di analisi come quello di EDR questo non è possibile”.
La chiave di questo vantaggio è il fattore umano, che rende meno prevedibile il funzionamento degli strumenti di protezione. Mentre gli antivirus utilizzano schemi “fissi” come le signature o i modelli di analisi comportamentale, un gruppo di analisti in carne garantisce quella flessibilità che permette di individuare un attacco anche quando viene portato attraverso strumenti e operazioni che non farebbero scattare un campanello di allarme nei tradizionali software.
Nov 09, 2023 0
Apr 05, 2023 0
Ott 27, 2022 0
Mar 23, 2022 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 19, 2024 0
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...
One thought on “F-Secure: ecco come cambia la protezione per le medie imprese”