McAfee ha catalogato 176 nuove minacce cyber ogni minuto, quasi tre ogni secondo; nel 2016 Ransomware è cresciuto dell’88%, il malware mobile del 99%
McAfee ha rilasciato il proprio McAfee Labs Report sulle minacce: Aprile 2017, che evidenzia le sfide che incontrano gli sforzi di condivisione delle informazioni sulle minacce, indaga l’architettura e il funzionamento interno della botnet Mirai, valuta gli attacchi riportato nei vari settori e rivela le tendenze di crescita del malware, ransomware, malware mobile e altre minacce nel quarto trimestre 2016.
“L’industria della sicurezza deve affrontare sfide critiche nell’impegno di condivisione delle informazioni sulle minacce, non solo tra i vari prodotti e produttori, anche all’interno dei portafogli degli stessi vendor”, ha commentato Vincent Weafer, vice presidente di McAfee Labs. “La collaborazione è potere. Affrontare queste sfide determinerà l’efficacia dei team di sicurezza informatica per automatizzare il rilevamento e orchestrare le risposte, e, infine, spostare l’ago della bilancia sicurezza informatica a favore dei difensori.”
Il report esamina il background e le motivazioni a proposito della condivisione delle informazioni sulle minacce; le varie componenti dell’intelligence delle minacce, fonti, e modelli di condivisione; quanto sia maturo questo aspetto della sicurezza di potere utilizzare dati condivisi; e le sfide che questo sta incontrando e che devono essere superate. Queste sfide includono, mette in evidenza l’azienda:
- Volume. Un’evidente problematica di ‘rumore di fondo’ continua ad affliggere i difensori che cercano di migliorare il triage, ottimizzare il processo, e agire sugli incidenti di sicurezza massima priorità.
- Convalida. Gli avversari possono inviare dei falsi Report sulle minacce per sviare o inondare i sistemi delle informazioni, e dati provenienti da fonti legittime possono essere manomessi se mal gestiti.
- Qualità. Se i produttori si concentrano solo sulla raccolta e la condivisione di moli maggiori di dati sulle minacce, c’è il rischio che gran parte di essi siano una duplicazione, con spreco di tempo prezioso e fatica. I sensori devono essere riprogettati per acquisire e comunicare dati di tracciamento più ricchi. In tal modo i sistemi di supporto decisionale possono identificare i principali elementi strutturali degli attacchi persistenti.
- Velocità. Informazioni ricevute troppo tardi per la prevenzione di un attacco sono ancora preziose, ma solo per il processo di pulizia. I sensori e i sistemi di sicurezza devono condividere le informazioni sulle minacce in tempo reale per pareggiare la velocità di attacco.
- Correlazione. L’incapacità di identificare i modelli rilevanti e identificare quali siano i dati chiave delle minacce rende impossibile trasformare i dati in informazioni e quindi in conoscenza che possa informare e team operativi di sicurezza e fornire loro indicazioni per le contromisure da intraprendere.
La policy suggerita
Per portare la condivisione delle informazioni sulle minacce a un livello superiore di efficienza e di efficacia, McAfee Labs suggerisce di concentrarsi su tre aree:
- Triage e prioritizzazione. Semplificare il triage degli eventi e fornire agli addetti alla sicurezza un ambiente migliore per indagare le minacce ad alta priorità;
- Comprendere il nesso di correlazione. Migliorare la correlazione degli indicatori di compromissione in modo da comprenderne il nesso con le campagne di attacco
- Migliorare i modelli di condivisione. Trovare un modo migliore per condividere le informazioni sulle minacce fra i nostri prodotti e quelli degli altri fornitori
“Gli attaccanti sono sempre più sofisticati e in grado di eludere le difese, e i sistemi a silos lasciano entrare minacce che sono stati fermati altrove perché non condividono le informazioni”, ha aggiunto Weafer. “La condivisione delle informazioni sulle minacce ci permette di imparare dalle reciproche esperienze, approfondire la conoscenza sulla base di più attributi in modo da tratteggiare un quadro più completo del contesto degli eventi informatici.”