La sola prevenzione non è più sufficiente
Oggi le aziende devono presumere la riuscita degli attacchi. Per questo le misure preventive non bastano più. I responsabili della sicurezza dovrebbero elaborare una strategia di Incident Detection & Response, nonostante le difficoltà di attuazione.
Testo: Andreas Heer, Immagine: Unsplash, 18. Settembre 2020 4 min
Neutralizzazione di attacchi informatici
«Assume the breach». Questo è il paradigma per la strategia di sicurezza IT che gli addetti ai lavori dovrebbero oggi seguire. Di fronte agli attacchi sempre più numerosi e sofisticati, anche le aziende devono migliorare le proprie misure di sicurezza. Perché: quanto passerà prima che «Drovorub», il presunto rootkit per Linux russo, scoperto di recente dalla National Security Agency statunitense, attacchi anche server (cloud) locali?
Drovorub viene ascritto al gruppo russo APT28, noto anche come «Fancy Bear» o «Strontium», e sospettato di sostenere con il proprio operato gli interessi del governo. APT28 e molti altri cybercriminali, come gli autori di Emotet, dimostrano che la criminalità informatica è ormai da tempo un’attività professionale. Considerando le risorse umane ed economiche alla base di queste attività, oggi non occorre chiedersi se un’azienda sarà colpita, ma piuttosto quando un simile attacco avrà successo. Pertanto, i responsabili della sicurezza devono presupporre che l’hacker si trovi già nella rete.
Detection & Response: il passaggio successivo più logico
Con queste premesse, le sole misure preventive non bastano più, anche se rimangono fondamentali per scongiurare buona parte degli attacchi. Tuttavia, nel clima odierno, l’Incident Detection & Response sta acquistando un’importanza sempre maggiore nel contrastare gli attacchi riusciti. In altre parole: quanto più sofisticata è l’azione degli hacker, tanto più alto deve essere il grado di maturità della sicurezza informatica nelle aziende.
Il Cybersecurity Framework del NIST descrive metodi e best practice per la difesa informatica, suddividendo la sicurezza IT in cinque passaggi: identificazione (Identify), protezione (Protect), rilevazione (Detect), risposta (Respond) e ripristino (Recover). Il terzo e quarto passaggio, Detection & Response, riguardano quindi l’Incident Handling in caso di attacchi riusciti.
Tecnologia e specialisti della sicurezza in sinergia
La détection englobe des mesures automatisées, notamment pour déceler et bloquer le trafic réseau malveillant, ainsi que de nombreuses méthodes manuelles. Ces dernières doivent permettre de débusquer les modèles d’attaques trop complexes pour les dispositifs de défense automatisés. Dans ce cadre, les spécialistes de la sécurité informatique exploitent différents outils. Le recueil d’informations est crucial compte tenu de la dynamique à l’œuvre. Les blogs de sécurité, les bases de connaissances comme le framework Mitre ATT&CK(apre una nuova finestra) et les forums de discussion sur le Darknet comptent parmi les sources d’information, de même que les échanges réguliers avec d’autres spécialistes. C’est la seule façon pour les entreprises de connaître à coup sûr les signes d’attaque et d’arriver ensuite à les dépister dans leur propre infrastructure réseau.
Cette approche qui vise à reconnaître les signes d’attaque relève du threat hunting. Il s’agit pour les spécialistes de la sécurité informatique d’examiner le réseau d’entreprise à la recherche de modèles de cyberattaques actuelles. La tâche nécessite une expertise approfondie. Cependant, elle permet de déceler des anomalies qui n’ont pas été repérées par les systèmes de sécurité.
Lorsque ces mesures de détection révèlent une attaque réussie, une réponse adéquate est requise. Celle-ci doit être rapide et agile, c’est-à-dire adaptée à la situation concrète. Toutefois, elle doit aussi respecter un certain mode opératoire idéalement inspiré des meilleures pratiques. Comme la détection d’incidents, la réponse repose sur différentes mesures impliquant à la fois la technique et la communication. La mise en place d’une équipe CSIRT (Computer Security Incident Response Team) composée de spécialistes de la sécurité informatique extrêmement compétents représente une approche éprouvée.
Outsourcing come soluzione alla carenza di personale
Se il responsabile della security di un’azienda non si preoccupa del reclutamento di questi specialisti della sicurezza, ne pagherà le conseguenze più tardi in fase di discussione del budget. Infatti, le misure di sicurezza IT sono come un’assicurazione: quando tutto fila liscio, la ragione può essere ricondotta al buon lavoro degli specialisti e delle misure tecniche, oppure alla semplice mancanza di attacchi. Ma è proprio l’imprevedibilità degli attacchi informatici a complicare la vita del CISO nel pianificare le risorse e nel discutere con il CFO.
Una misura elegante perché economicamente trasparente è l’outsourcing del Detection & Response a un Managed Security Service Provider (MSSP). Questa soluzione migliora inoltre la scalabilità, perché le risorse possono essere impiegate secondo necessità, rendendo i costi calcolabili. Infatti, non occorre la sfera di cristallo per prevedere che l’importanza del rilevamento e della risoluzione degli attacchi informatici aumenta di pari passo con la loro complessità. Grazie all’outsourcing parziale, un outtasking, il responsabile della security trova una soluzione.