La strategia corrente per la rilevazione e la risposta agli attacchi cyber è inadeguata. Essa si basa su un sistema di firme, anomalie e regole che dovrebbero prevenire l’infiltrazione dei cybercriminali nelle organizzazioni e il furto di dati sensibili. Tuttavia, la realtà è che questa metodologia fallisce, come evidenziato dal fatto che il 71% degli analisti in tutto il mondo ritiene che la propria organizzazione potrebbe essere violata senza che il team di sicurezza se ne accorga.
Questo non è un fallimento degli analisti. Piuttosto, è il risultato di una superficie di attacco in continua espansione, che cresce più velocemente della capacità dei team di sicurezza e delle tecnologie utilizzate dalle aziende di tenerne il passo. Di recente, il 63% degli analisti SOC ha riconosciuto che la superficie di attacco si è significativamente allargata negli ultimi tre anni. Inoltre, il 97% teme di poter perdere di vista un incidente di sicurezza critico mentre è sommerso nell’analizzare un volume soverchiante di allarmi di sicurezza.
Il panorama aziendale sta cambiando drasticamente con la transizione verso ambienti ibridi e multi-cloud, rendendo le imprese senza eccezioni entità ibride. Questo sviluppo pone diverse sfide agli analisti dei Security Operations Centers (SOC), che ora si trovano a fronteggiare una serie crescente di problematiche. Queste includono una vasta e dilatata superficie di attacco esposta ai malintenzionati, tattiche innovative adottate dai cyber criminali per bypassare i sistemi di sicurezza e muoversi indisturbati all’interno delle reti, e un sovraccarico di segnalazioni di sicurezza che genera confusione e complica il rilevamento di minacce miste e sofisticate. Considerando queste tendenze, si prevede che le strutture aziendali rimarranno ibride anche in futuro.
Gli attacchi cyber di oggi sono di natura complessa e si configurano come attacchi ibridi
I recenti sviluppi nel settore della sicurezza informatica suggeriscono che ogni attacco diretto a un’entità aziendale dovrebbe essere categorizzato come ibrido. Ignorare questa classificazione potrebbe condurre a un aumento di incidenti di sicurezza non identificati e furti di dati.
Confermando questa tendenza, la ricerca di IBM Security ha rivelato che nel 2021, il 45% delle violazioni di sicurezza erano correlate al cloud.
“Vectra AI prevede che nel 2023 la percentuale avrà infine superato di gran lunga il 50%, perché il passaggio all’infrastruttura cloud ibrida non sta rallentando, né la capacità degli attaccanti di approfittarne. Questo lascia i team di sicurezza praticamente all’oscuro quando si tratta di rilevare in che punto l’organizzazione è stata violata. Un’informazione che nessun’azienda può più permettersi di non avere” sottolinea Alessio Mercuri, Senior Security Engineer di Vectra AI.
In sostanza, un attacco ibrido è quello che può originarsi da molteplici fonti, spostarsi liberamente attraverso vari sistemi, interrompendo le operazioni aziendali su larga scala nonostante le precauzioni adottate. Ciò indica che gli attacchi sono sempre più capaci di rimanere occultati, sfuggendo ai migliori tentativi di rilevamento attuati dalle aziende con gli approcci attuali.
Approccio integrato per una migliore difesa
Adottando un metodo olistico e integrato per la resilienza informatica nel contesto del cloud ibrido, si può trasformare radicalmente la postura di sicurezza di un’organizzazione. Vectra AI propone una strategia articolata su tre fondamentali pilastri per l’identificazione e la difesa dagli attacchi ibridi:
- Protezione contro esposizioni occulte – È cruciale conoscere i punti vulnerabili del proprio ambiente cloud ibrido e dove gli attaccanti hanno già dimostrato di poter penetrare. Utilizzare queste informazioni per prevenire attacchi consente di migliorare significativamente la gestione del rischio. Ad esempio, CheckPoint Software ha scoperto che il 75% degli attacchi riusciti nel 2020 sfruttava vulnerabilità non corrette da almeno due anni.
- Identificazione e mitigazione delle infiltrazioni occulte – È essenziale riconoscere tempestivamente quando e dove gli aggressori ibridi penetrano nel tessuto aziendale. La difficoltà in questa identificazione spesso deriva dall’uso eccessivo di strumenti di sicurezza non integrati che sovraccaricano gli analisti SOC con allarmi frammentati. Importante è quindi ridurre la complessità che facilita l’ingresso e il camuffamento degli attaccanti, permettendo loro di avanzare inosservati all’interno delle strutture.
- Rilevamento e neutralizzazione tempestiva degli attacchi ibridi – È vitale comprendere le modalità con cui gli aggressori ibridi si spostano all’interno dell’ecosistema aziendale. Avere la capacità di intercettare e interrompere questi movimenti attraverso i vari domini aziendali è fondamentale per arrestare le minacce prima che possano causare danni maggiori e sottrarre dati sensibili.
La chiarezza del segnale è l’unica soluzione agli attacchi ibridi
“Per affrontare in modo tempestivo ed efficace gli attacchi ibridi, il team SOC ha bisogno dell’unica cosa che continua a mancare: la chiarezza del segnale. La mancanza di un chiaro segnale di attacco ibrido è il motivo per cui le intrusioni di sistema, note anche come Advanced Persistent Threats (APT), sono raddoppiate dal 2020 al 2021, rappresentando il 40% delle violazioni dei dati” conclude Mercuri.