Darktrace, una delle aziende più impegnate nell'ambito della Cyber Defense, ha fatto il punto sulle motivazioni per le quali è necessario attuare un cambio di prospettiva per quanto riguarda la cyber secrity.
Il punto di partenza è che è ormai accettato che le violazioni della sicurezza, soprattutto in ambito aziendale, siano da considerare come ‘inevitabili', e che il loro verificarsi sia più un discorso di 'quando' che di 'se'. Alla luce di questo cambiamento, l'approccio tradizionale basato su firme e regole che diventano obsolete dal momento che si riferiscono a minacce già individuate, mostra la sua inadeguatezza.
Le aziende devono quindi essere proattive nei riguardi degli attacchi informatici, così come la 'Cyber Intelligence' deve guidare nel prendere decisioni quando le infiltrazioni sono nella loro fase iniziale e gestibile, in una finestra temporale che consenta di verificarne l'efficacia ed evitare che la situazione diventi critica.
Una considerazione, evidenzia Darktrace, va fatta proprio sul fattore tempo. Il tempo è una risorsa preziosa che manca spesso a chi viene attaccato. Le aziende lottano costantemente per rilevare le fasi iniziali di una infiltrazione, prima che vengano fatti danni quali il furto di dati su grande scala o l'interruzione di un servizio essenziale.
Invece le aziende si trovano coinvolte in una lotta contro il tempo per rimuovere e ridurre velocemente i danni finanziari e d'immagine, al contrario dei mesi di preparazione e ricognizione che l'aggressore ha a disposizione prima di sferrare il suo attacco. Fintanto che il vantaggio rimane in mano all'aggressore le aziende attaccate saranno sempre sulla difensiva.
Ogni attacco inizia con una infiltrazione che a sua volta inizia con un cambiamento impercettibile nel normale ordine delle cose e s'ingrandisce fino a diventare una catena di eventi che messi insieme possono esercitare il controllo di un sistema remoto e metterne in pericolo i contenuti.
Occorre quindi iniziare a considerare il tempo in modo diverso, tentare di cogliere attività sospette nella finestra temporale compresa fra l'infiltrazione iniziale e i primi segnali di anomalia. All'interno dell'IT aziendale ci sono due fattori da tener presente:
Visibilità e comprensione : La visibilità su tutte le interazioni e comunicazioni digital è critica perché consente agli addetti della sicurezza di prendere le decisioni migliori basandosi sulla conoscenza dell'intero sistema. Avendo visibilità totale sull'andamento e il tipo di traffico gestito giornalmente nell'azienda, gli addetti della sicurezza sono in condizione di configurare al meglio la protezione della rete, identificare le vulnerabilità o i dipendenti infedeli e tenere effettivamente a freno in tempo reale le minacce informatiche.
Analisi intelligente e rilevamento anomalie: Avendo la conoscenza delle attività aziendali è possibile usare nuove tecnologie per analizzarle ed avere una chiara visione di quale sia la normalità. I fondamentali progressi nella matematica probabilistica e nell'ambito del 'machine learning' hanno reso possibile questo approccio, usando una tecnologia che impara su base continua ciò che è normale e anomalo nell'ambito aziendale ed evidenzia anomalie su base probabilistica in tempo reale.
Le anomalie o le deviazioni da ciò che è stato identificato come normale sui sistemi, le reti e gli utenti devono essere autentiche e basate sulla comprensione dinamica dell'ambiente circostante. Un comportamento difforme spesso può essere affrontato in modo appropriato, ma solo se rilevato nelle sue fasi iniziali.
‘Cyber Intelligence' contro 'Threat Intelligence'
Una seconda considerazione fatta da Darktrace è terminologica. Il termine 'Threat Intelligence' viene usato per la raccolta e la condivisione di informazioni su minacce note. In altre parole si fa riferimento ad un database o insieme di dati da confrontare con gli allarmi di sicurezza rilevati in un'azienda, i log e altri dati forensici per capire se quanto rilevato è una minaccia oppure no.
Se quanto rilevato è riconducibile alle informazioni contenute nella 'Threat intelligence' ciò può essere usato per proteggere l'azienda da attacchi simili ancora in circolazione.
Il difetto principale nel condividere informazioni riconducibili ad attacchi già avvenuti è che questo approccio 'a posteriori' non aiuta le aziende a difendersi dai nuovi attacchi di domani. Affinché questo funzioni è necessario che almeno un'azienda venga violata da ogni nuovo attacco per poterlo identificare, limitandosi a segnalare gli attacchi già subiti con la speranza che lo stesso si possa ripresentare.
Quindi la vera 'Cyber Intelligence' non è quella che identifica le minacce e i metodi di attacco già noti, ma si concentra sulla corretta comprensione di ciò che sta avvenendo in azienda con un livello di granularità tale da far emergere anche le azioni più subdole.
Per le aziende che vogliono essere proattive nei riguardi degli attacchi informatici queste domande, suggerisce Darktrace, sono critiche e richiedono azioni d'intelligence di elevata qualità e i riscontri di un'analisi avanzata e sensibile al contesto di un ampio spettro di fattori che contribuiscono all'eventuale attacco.
La 'Cyber Intelligence' deve guidare nel prendere decisioni quando le infiltrazioni sono nella loro fase iniziale e gestibile, in una finestra temporale che consenta di verificarne l'efficacia ed evitare che la situazione diventi critica.