La sicurezza informatica non è disciplina semplice: il profilo delle aziende da proteggere cambia velocemente, gli attaccanti sono sempre alla ricerca di nuovi approcci per penetrare le difese, i vettori d’attacco sono ormai innumerevoli così come le variabili di un perimetro aziendale che non esiste più nella vecchia accezione. Tenere al sicuro utenti, dati e dispositivi di un’azienda, quindi, è diventata un’opera titanica a cui gli uomini non possono più far fronte se non dispongono di strumenti avanzati.
“L’unico modo per far fronte alle nuove minacce” – ci dice Stefano Lamonato, Solution Architecture Manager di CrowdStrike – “è quello di avere una soluzione difensiva in grado di scovare autonomamente le minacce e agire di conseguenza in maniera davvero veloce. Con il grado di sofisticazione che hanno raggiunto gli attacchi, non c’è più il tempo di fare le cose alla vecchia maniera: serve reattività”.
La soluzione, secondo CrowdStrike, consiste in un modello di sicurezza interamente basato nel cloud. “CrowdStrike” – continua Lamonato- “è stata la prima azienda che è davvero riuscita a creare un sistema di cybersecurity interamente basato sul cloud, con tutti i vantaggi che ne conseguono”.
Il primo di questi vantaggi è quello di avere sui client non più delle suite complete di sicurezza ma solo degli “agenti” leggeri e poco impegnativi che per la maggior parte del tempo si limitano a inviare la telemetria delle macchine al cloud.“I nostri agenti” – conferma Lamonato – “occupano meno di 20 mega in memoria, impegnano meno dell’1% della capacità di calcolo della macchina e sono disponibili per ogni tipo di ‘endpoint’, che per noi significa desktop/notebook, server, macchina virtuale, contenitore Kubernetes/Docker o IoT che sia.”
Tutta la magia, quindi, accade nel cloud grazie all’enorme mole di dati (oltre 5mila miliardi di eventi a settimana) che tutti questi agenti raccolgono e inviano ai server centrali per poter essere analizzati e creare una sorta di “profiler per malware”.
Quando i dati raccolti dall’agente identificano il comportamento tipico di un malware, interviene per segnalare il problema o bloccare direttamente l’azione sospetta a seconda di come è stato impostato dal cloud.
“Un altro elemento che contraddistingue la nostra soluzione” – spiega Lamonato – “è quello di controllare la configurazione di tutta la soluzione direttamente da una console nel cloud. L’agente sugli endpoint è uguale per tutti, ma dalla console si abilitano i moduli di protezione che si vogliono usare.”
L’offerta di CrowdStrike è infatti molto varia e si compone di oltre 20 moduli dedicati ai diversi aspetti della sicurezza informatica, dai più generici ai più specialistici. Addirittura, i dati recuperati dagli agenti possono essere usati da terze parti, quindi altre aziende che sottoscrivono un accordo con CrowdStrike, per fornire dei servizi aggiuntivi che vengono venduti sul marketplace della piattaforma Falcon.
Airlock Digital, per esempio, fornisce una app aggiuntiva che crea una storia di tutte le applicazioni, files e script che hanno girato su di un determinato endpoint (o su tutti quelli che vogliamo), sfruttando proprio la telemetria di CrowdStrike Falcon, mentre Truefort ha sviluppato un modulo per visualizzare il flusso di dati e utilizzo delle app aziendali.
Ma il vero punto di forza di Falcon già con i numerosi moduli nativi è quella di abilitare un modello di sicurezza informatica definito “1, 10,60”. “L’elevata specializzazione e competenza degli attaccanti” – dice Lamonato – “ha come prima conseguenza il fatto che riescono a muoversi e portare a buon fine le compromissioni molto velocemente. La nostra idea, quindi, è quella di riuscire a capire entro un minuto che è avvenuta una compromissione, identificare e bloccare entro 10 minuti la minaccia e rimediare a tutti i problemi creati, tornando allo stato di operatività precedente l’attacco, entro un’ora”.
Un obiettivo ambizioso dal momento che molti report indicano che il tempo che intercorre mediamente tra quando un gruppo di cybercriminali riesce a penetrare le difese di un’azienda e quando l’azienda stessa se ne accorge è al momento misurabile in mesi.
Ma è anche un obiettivo che è alla portata di tutte quelle aziende che sono disposte a far progredire la propria struttura di sicurezza informatica in modo da mantenerla al passo delle minacce. Al giorno d’oggi, infatti, l’approccio analitico e di threat hunting è l’unico in grado di ribaltare il vantaggio che è stato storicamente dalla parte degli attaccanti: se chi ha organizzato la difesa ha commesso anche un solo errore, questo viene sfruttato per compromettere la rete; ma una volta dentro, con le contromisure basate sul machine learning è l’attaccante che viene scoperto appena fa una “mossa sbagliata”, trasformandolo da cacciatore in preda.