Sicurezza Integrata: la rivoluzione della protezione aziendale - Computer Halley
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Sicurezza Integrata: la rivoluzione della protezione aziendale
Sicurezza Integrata: la rivoluzione della protezione aziendale
Sezione 1: Vivere nella Danger Zone:
l'attuale mondo del cyber-rischio
“Highway to the Danger Zone. I'll take you, right into the Danger Zone”
– Kenny Loggins, Danger Zone
Incremento della superficie di attacco, attacchi complessi
e sofisticati
Le aziende del giorno d'oggi, sia che siano di piccole o di grandi dimensioni, devono vivere
e imparare a crescere in un mondo in cui il cyber-rischio è in costante aumento. I motivi
alla base dell'aumento dei rischi sono svariati, e includono l'incremento della superficie di
attacco e la presenza di attacchi sempre più complessi e sofisticati.
In primo luogo, con dipendenti che utilizzano un elevato numero di dispositivi mobili e di
servizi cloud, e con aziende di qualsiasi dimensione che adottano un'infrastruttura virtuale
e cloud, la famigerata “superficie di attacco” ha subito un'espansione drastica. Si consideri
quanto segue:
• L'utente medio nel Regno Unito possiede 3,1 dispositivi connessi (fonte: statista.com)
• Le aziende con 250-999 dipendenti utilizzano 16 app cloud approvate, quelle con 1.000-
4.000 dipendenti ne usano 14, mentre le aziende più grandi ne adoperano solamente 11”.
(Fonte: Okta Business@work, 2015)
• Le stime di settore prevedono che gli utili derivati dalle Infrastructure as-a-Service
supereranno i $16 miliardi nel 2015 Panorama delle minacce
(Fonte: Gartner, http://www.gartner.com/newsroom/id/3055225)
• Entro la fine del 2015 i dispositivi connessi a internet raggiungeranno i 4,9 miliardi. Entro Malvertising
il 2020 questa cifra crescerà a 25 miliardi.
(Fonte: http://www.gartner.com/newsroom/id/2905717, 2014) IoT darkweb
Con questo incremento della superficie di attacco, il mondo ha visto un numero sempre
Angler Trojan
maggiore di attacchi e di violazioni andati a segno, il che di conseguenza ha provocato un RAT Cryptowall
aumento dei casi di perdita dei dati.
In secondo luogo, gli attacchi continuano ad essere sempre più complessi e sofisticati.
Phishing DDoS
Anche i cybercriminali meno esperti hanno accesso a sofisticati toolkit commercializzati, TOR injection
acquistabili nel mercato grigio e nero. Questi “kit” vengono accuratamente testati e persino
Fiesta
commercializzati, e non sono sempre facili da rilevare o da sconfiggere. Ad esempio, il JSOCKET
Remote Access Tool Kit (o RAT) "UnRecom", segnalato per la prima volta su Threatgeek.
Wassenaar PlugX
A maggio del 2014, è stato soggetto a diverse iterazioni, inclusi AlienSpy e JSOCKET, ed è
stato implicato in tutti i casi possibili e immaginabili, da violazione dei dati all'aver svolto un AlienSpy SSL
ruolo in un assassinio politico (Fonte:Threatgeek.com).
Purtroppo le aziende di piccole e medie dimensioni sembrano essere prese di mira in maniera
sproporzionata, e rappresentano le principali vittime del crescente numero di casi confermati
di perdita dei dati. Secondo il Data Breach Investigation Report di Verizon per il 2015:
Whitepaper Sophos novembre 2015 2Sicurezza Integrata: la rivoluzione della protezione aziendale
• Nel 2014 si sono verificati 79.790 incidenti di sicurezza, 2.122 dei quali sono stati confermati come casi di perdita di dati
• Ciò rappresenta un corrispettivo incremento del 26% per gli incidenti di sicurezza, e un astronomico aumento del 55% per
i casi di violazione dei dati, rispetto al 2013.
• Più del 53% dei casi di perdita dei dati confermati e classificati si è verificato nelle aziende di medie dimensioni, sebbene
queste ultime siano state coinvolte in solamente l'1,4% degli incidenti.
• Gli incidenti e i casi di perdita di dati verificatisi nelle aziende di piccole dimensioni hanno colpito un'ampia varietà di
settori, tra cui soprattutto: servizi finanziari, alloggio e strutture di accoglienza, vendita al dettaglio e sanità.
La combinazione tra l'incremento della superficie di attacco e la maggiore complessità degli attacchi stessi, con
conseguente aumento dei casi di perdita dei dati, deve essere un segnale di allarme e far sorgere una domanda: cos'è
possibile fare diversamente?
Poco personale disponibile, risorse sfruttate al limite, difficile mercato del
lavoro
Mentre attacchi e violazioni sono in aumento, la reazione più naturale dovrebbe essere quella di “spingere più gente” a
occuparsi del problema. Tuttavia le aziende di piccole e medie dimensioni hanno team di sicurezza informatica composti da
poco personale, ed espandere o ridistribuire le risorse, anche in presenza di una strategia efficace, non è un'opzione fattibile
per le aziende più piccole. Come potete vedere dalla Figura, i team appositamente dedicati alla sicurezza informatica nelle
aziende di piccole e medie dimensioni sono molto limitati in termini di dimensioni e larghezza di banda:
PERSONALE DEDICATO ALLA SICUREZZA INFORMATICA
100 - 500 500 - 1.000 1.000 - 5.000 5.000 - 20.000 20.000+
DIPENDENTI DIPENDENTI DIPENDENTI DIPENDENTI DIPENDENTI
Figura 1: Le strutture di sicurezza informatica delle aziende appartenenti alla fascia media del mercato sono limitate in termini di dimensioni e risorse (Fonte: U.S.
Department of Homeland Security, 2014)
E, anche nel caso in cui i dirigenti aziendali desiderino espandere i team dedicati alla sicurezza, si trovano pur sempre ad
affrontare un mercato del lavoro difficile ed estremamente competitivo. Secondo il report del 2015 Cybersecurity Job a
cura di BurningGlass, le offerte di lavoro nell'ambito della sicurezza informatica sono aumentate del 91% dal 2010 al 2014,
con una rapidità pari al 325% rispetto a quella complessiva del mercato del lavoro dell'IT, e “negli Stati Uniti i datori di
lavoro hanno pubblicato 49.493 offerte di lavoro che richiedono la qualificazione CISSP, dovendo assumere da un totale di
soli 65.362 individui in possesso della qualificazione CISSP a livello nazionale”.
In sintesi, la combinazione tra aumento del rischio e incremento del volume, della sofisticatezza e del successo degli
attacchi, sommato a team di sicurezza IT aventi a disposizione poco personale e risorse limitate, ha esposto le aziende a
livelli di rischio inaccettabili.
Whitepaper Sophos novembre 2015 3Sicurezza Integrata: la rivoluzione della protezione aziendale
Sezione 2: Un attimo... E tutti gli investimenti che abbiamo
effettuato?
“All the king's horses and all the king's men, Couldn't put Humpty together again” – Mother Goose.
A vari livelli, con poca integrazione. Complessi e senza visione. Indipendenti dal proprio contesto. Decisioni isolate. Tutte
queste descrizioni sono applicabili agli attuali investimenti effettuati nell'ambito della sicurezza. Dagli antivirus, IPS e
gateway web, di posta e di rete del passato, sino alle moderne suite, UTM, sandbox e soluzioni di rilevamento e analisi
di Endpoint, viviamo tutt'oggi in un mondo caratterizzato da prodotti complessi e indipendenti l'uno dall'altro. Quando ci
troviamo ad affrontare criminali informatici che lanciano attacchi coordinati al nostro intero ecosistema informatico, c'è ben
poco da stupirsi se non riusciamo a tener testa. Un attacco può avere origine da un endpoint, per poi propagarsi sulla rete
e giungere, come obiettivo finale, a prelevare illecitamente le nostre informazioni utilizzando la nostra stessa connessione
internet in uscita.
In risposta a questa cruda realtà, i professionisti e i vendor di sicurezza informatica hanno cercato di “unire i puntini” tra le
varie fonti di dati, utilizzando motori di correlazione, warehouse di big data, Security information and Event Manager (SIEM),
programmi di condivisione delle nuove informazioni quali STIX e OpenIOC, e decine e decine di analisti umani. Tuttavia,
anche con gli strumenti più avanzati, comprendere i dati provenienti da un'ampia varietà di prodotti di punta per rilevare ed
eliminare rapidamente il rischio e bloccare la perdita dei dati si sta mostrando difficile quanto "rimettere in piè" l'Humpty
Dumpty della filastrocca. Il processo di correlazione di eventi e log dipende ancora dall'impostare e mantenere complesse
regole di correlazione, dal mappare un infinito numero di campi, e dall'impostare altrettante definizioni per il filtro, per
non parlare di ore e ore di tempo e lavoro di analisti altamente specializzati ed estremamente difficili da reperire. I SIEM
richiedono un considerevole investimento di capitale e continue spese operative. Inoltre la condivisione delle informazioni,
sebbene non vi sia alcun dubbio che rappresenti un fattore essenziale per il futuro della sicurezza, non è ancora abbastanza
matura per consentirne un'adozione universale e semplice.
I risultati, o meglio la mancanza degli stessi, parlano da soli. Come abbiamo visto, i rischi e la perdita dei dati sono in
costante aumento, e non mostrano alcun cenno di diminuzione. Il personale non basta. Secondo un recente report del
Ponemon Institute, il 74% delle violazioni passa inosservato per più di 6 mesi. E l'elemento più negativo è che, per quanto
riguarda la mitigazione dei rischi, le aziende di medie dimensioni sembrano trovarsi in maggiore difficoltà rispetto a quelle
più grandi, che dispongono di risorse migliori. Ovviamente la risposta non è l'ennesimo prodotto di punta non integrato, e
neppure ulteriori console, più personale o altri SIEM con poca flessibilità. Nel complesso, questi approcci hanno avuto un
effetto deludente. Dobbiamo trovare un approccio migliore e più efficace.
Sicurezza integrata L'alternativa
Gestione SIEM
Gestione Gestione
Enduser Rete
Endpoint Network
Enduser Rete
Whitepaper Sophos novembre 2015 4Sicurezza Integrata: la rivoluzione della protezione aziendale Sezione 3: la Sicurezza Integrata, un nuovo approccio Una nuova idea rivoluzionaria “You say you want a revolution, well, you know we all want to change the world” - The Beatles, Revolution Per decine e decine di anni, il settore della sicurezza ha considerato la sicurezza della rete e la sicurezza degli endpoint come due entità ben distinte. Ciò è paragonabile al collocare una guardia di sicurezza all'esterno di un edificio e un'altra al suo interno, senza permettere che possano parlarsi. La sicurezza integrata è rivoluzionaria eppur semplicissima: abbiamo dotato ciascuna guardia di sicurezza di una ricetrasmittente, in modo che quando una guardia noti un problema, l'altra possa esserne subito messa al corrente. E se si ricominciasse tutto da capo, con un approccio innovativo e radicale, basato su un concetto diverso, per consentire ai team di sicurezza informatica di implementare una difesa efficace contro l'attuale realtà caratterizzata dal cyber-rischio? Un approccio che garantisca una protezione migliore e che preveda l'abilitazione della comunicazione automatica e in tempo reale tra soluzioni di protezione della rete e degli endpoint. Un approccio integrato, sincronizzato per l'intera superficie esposta alle minacce? E che preveda alti livelli di automatizzazione, in modo che possa fare tutto questo senza dover implicare un maggior carico di lavoro, né richiedere l'aggiunta di altro personale. Per raggiungere questo obiettivo, occorre un sistema che sia: Basato sull'ecosistema: è necessario prevenire, individuare e bloccare le violazioni nell'intero ecosistema informatico, agendo in piena consapevolezza di tutti gli oggetti e gli eventi vicini. Completo: la soluzione deve essere completa e in grado di difendere l'intero “sistema” informatico, con piattaforme e dispositivi multipli, per un'adeguata protezione contro cybercriminali che attaccano il sistema nel suo insieme, e non solo un componente a parte Efficiente: la soluzione deve alleggerire il carico di lavoro del team, pur incrementando la qualità della protezione. Non può aggiungere un livello di tecnologia aggiuntivo, né altro carico di lavoro. Efficace: la soluzione deve essere in grado di prevenire, rilevare, indagare ed eliminare le minacce più recenti sull'intera superficie esposta alle minacce. Semplice: semplice da acquistare, semplice da capire, semplice da distribuire e semplice da usare In effetti questo elenco sembra essere pieno di obiettivi irraggiungibili. I prodotti di sicurezza informatica del giorno d'oggi sono esattamente l'opposto: basati sulle minacce, complicati, incompleti, esigenti in termini di risorse, e nel complesso meno coordinati degli attacchi stessi contro i quali dovrebbero fornire protezione. Indubbiamente, l'innovazione è la chiave per il successo. Questa sfida è riassunta nella Figura 2. Whitepaper Sophos novembre 2015 5
Sicurezza Integrata: la rivoluzione della protezione aziendale
Attuali soluzioni di sicurezza a livelli Soluzione ideale
multipli
Basate sulle minacce, agiscono Basata sull'ecosistema, agisce in piena
indipendentemente da oggetti ed eventi consapevolezza degli oggetti e degli eventi
vicini vicini
Mancata centralizzazione dei prodotti di Prodotti coordinati
punta specializzati
Efficacia tramite l'aggiunta di personale Efficacia tramite automatizzazione e
innovazione, non richiede personale
aggiuntivo
Complesso Semplice
Figura 2: Le soluzioni attualmente disponibili richiedono un cambiamento radicale
Garantire questa semplicità ed efficacia negli ambienti del giorno d'oggi richiede una
significativa innovazione delle tecnologie, un'innovazione che si chiama Sophos Security
Heartbeat.
Sophos Security Heartbeat
“Like the Beat Beat Beat of a Drum Drum Drum”
– Cole Porter, Night and Day
La sicurezza integrata permette alle soluzioni di sicurezza endpoint di ultima
Sophos Cloud
generazione e di protezione della rete di condividere in maniera ininterrotta tutte le
informazioni rilevanti e relative a comportamenti sospetti e confermati come malevoli
nell'intero ecosistema informatico esteso dell'azienda. Sfruttando una connessione
diretta e sicura che si chiama Sophos Security Heartbeat, la protezione endpoint e
la protezione della rete agiscono come un unico sistema integrato, permettendo alle SECURITY
HEARTBEAT ™
organizzazioni di prevenire, rilevare, investigare e rimuovere le minacce in tempo reale,
SophosLabs
senza bisogno di personale aggiuntivo.
Per fare un esempio, quando il Sophos Next-Gen Firewall rileva una minaccia avanzata o
un tentativo di causare una fuga di dati riservati, può utilizzare automaticamente Sophos
Security Heartbeat per intraprendere una serie di azioni sia a livello di rete che di endpoint,
mitigando il rischio e bloccando istantaneamente la perdita dei dati. Analogamente, se un
endpoint protetto si rivela compromesso, la sicurezza integrata consente il confinamento
automatico e pressoché immediato dell'endpoint in questione, impedendo che possa essere
utilizzato per prelevare informazioni riservate o per inviare dati a un server di comando e
controllo. Il tempo richiesto da questo processo di individuazione e risposta agli incidenti,
che in altre situazioni potrebbe richiedere mesi, è stato ridotto a pochi secondi grazie alla
sicurezza integrata.
Whitepaper Sophos novembre 2015 6Puoi anche leggere
