Il gap nelle difese informatiche: perché i metodi tradizionali non bastano più

Security
Image Credit: Shutterstock (Immagine:: Shutterstock)

Esiste un divario crescente tra la sofisticazione degli attacchi informatici e i metodi tradizionali utilizzati da molte organizzazioni per rilevare e neutralizzare queste minacce. Il settore si trova in una fase cruciale, che richiede un passaggio da paradigmi obsoleti a soluzioni innovative capaci di contrastare efficacemente le minacce in continua evoluzione. L'opportunità risiede nel riconoscere e colmare questo gap di approccio.

La lotta del settore con il rilevamento

Attualmente, le organizzazioni si concentrano principalmente su tre strategie per il rilevamento delle minacce: l'implementazione di firewall, l'uso di sistemi EDR (Endpoint Detection and Response) e l'impiego di strumenti decisionali deterministici. I firewall e gli EDR sono progettati per identificare e bloccare il software dannoso sulla base di firme e modelli di attacco noti. Gli strumenti deterministici, invece, si propongono di distinguere le attività dannose da quelle legittime analizzando i dati e prendendo decisioni binarie su ciò che costituisce una minaccia.

Tuttavia, questo approccio tradizionale si sta rivelando sempre più inadeguato di fronte a tattiche sofisticate come gli attacchi "living off the land" (LotL). Gli attacchi LotL sono particolarmente complessi perché utilizzano strumenti e processi legittimi all'interno dell'ambiente dell'obiettivo per condurre attività dannose, eludendo così i meccanismi di rilevamento tradizionali. Non c'è malware da segnalare, né firme da utilizzare per il rilevamento, né indicatori evidenti di compromissione che gli strumenti tradizionali possano rilevare. Qui sta il problema principale: gli strumenti esistenti non sono preparati a gestire minacce così sottili e difficili da individuare.

Il divario nel pensiero del settore

La principale lacuna nell'approccio del settore alla cyber sicurezza è la dipendenza da strumenti deterministici, che sono intrinsecamente limitati nel fronteggiare le minacce persistenti avanzate (APT) e le tecniche LotL. Le aziende spesso ritengono che il loro attuale arsenale di strumenti di cybersecurity sia sufficiente, senza rendersi conto che questi strumenti non sono stati progettati per contrastare i metodi sottili e sofisticati utilizzati dagli aggressori moderni.

Una svista significativa è la mancanza di consapevolezza temporale nel rilevamento delle minacce. Le aziende tendono a concentrarsi sul rilevamento delle minacce in base alle attività correnti (utilizzando strumenti, tecniche e procedure TTP), ma non considerano il contesto storico di un attacco. Questa miopia è problematica perché gli aggressori più sofisticati possono rimanere all'interno di una rete per lunghi periodi, aspettando il momento giusto per agire. Senza la capacità di guardare indietro nel tempo e analizzare le attività passate, le organizzazioni rischiano di non individuare intrusioni a lungo termine che si sono già infiltrate nei loro sistemi.

Abbracciare un nuovo approccio

Per colmare questo divario, è necessario adottare un nuovo approccio che comporta tre cambiamenti di pensiero fondamentali:

  1. Adottare l'analisi retrospettiva: Le organizzazioni devono integrare soluzioni che permettano l'analisi retrospettiva, consentendo loro di esaminare le attività passate alla ricerca di segni di intrusioni non rilevate. Questo approccio richiede la conservazione e l'analisi di grandi quantità di dati storici, che possono rivelare schemi e anomalie non evidenti nell'analisi in tempo reale.
  2. Sfruttare l'analisi comportamentale: Invece di fare affidamento esclusivamente su strumenti deterministici, le aziende dovrebbero adottare un'analisi comportamentale in grado di rilevare deviazioni dal comportamento normale. Ciò implica la creazione di profili di attività tipiche e l'identificazione di anomalie che potrebbero indicare una violazione della sicurezza. Le analisi comportamentali, come ad esempio l'individuazione di una telecamera con un indirizzo IP che sta esfiltrando file, sono particolarmente efficaci nel rilevare gli attacchi LotL, dove il rilevamento tradizionale basato sulle firme fallisce.
  3. Imparare dai difensori d'élite: Le pratiche adottate dai difensori d'élite, come le istituzioni finanziarie di alto livello e le agenzie governative, offrono spunti fondamentali. Queste organizzazioni non si limitano ai metodi tradizionali, ma utilizzano tecniche avanzate di caccia alle minacce e un monitoraggio continuo per anticipare gli aggressori. Le aziende dovrebbero prendere esempio da questi approcci avanzati e integrarli nelle proprie strategie di cybersecurity.

Andare avanti

Nelle conversazioni con i clienti, il momento "aha" spesso arriva quando si rendono conto dei limiti dei loro strumenti attuali e comprendono l'importanza dei dati storici per rilevare minacce sofisticate. Mostrando esempi concreti, come i tempi di permanenza prolungati degli aggressori nelle violazioni di alto profilo, i professionisti della sicurezza informatica possono evidenziare la necessità di adottare un approccio più completo e proattivo.

In definitiva, per colmare il gap nella cybersecurity è fondamentale riconoscere che gli strumenti e i metodi tradizionali non sono più sufficienti. L'adozione di analisi retrospettive, analisi comportamentali e l'apprendimento dai difensori d'élite permetteranno alle organizzazioni di rilevare e neutralizzare anche le minacce più sofisticate. Colmando questa lacuna di pensiero, le aziende possono migliorare la loro sicurezza e proteggere meglio le risorse critiche in un panorama di minacce sempre più complesso.

TOPICS

Nato nel 1995 e cresciuto da due genitori nerd, non poteva che essere orientato fin dalla tenera età verso un mondo fatto di videogiochi e nuove tecnologie. Fin da piccolo ha sempre esplorato computer e gadget di ogni tipo, facendo crescere insieme a lui le sue passioni. Dopo aver completato gli studi, ha lavorato con diverse realtà editoriali, cercando sempre di trasmettere qualcosa in più oltre alla semplice informazione. Amante del cioccolato fondente, continua a esplorare nuove frontiere digitali, mantenendo sempre viva la sua curiosità e la sua dedizione al settore.