Sicurezza Sincronizzata: una rivoluzione nell'ambito della protezione - Sophos
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Sicurezza Sincronizzata: una rivoluzione nell'ambito della protezione
La Sicurezza Sincronizzata: una rivoluzione nell'ambito della protezione
Sezione 1: Vivere nella Danger Zone: l'attuale
mondo del cyber-rischio
Gli attacchi sono sempre più numerosi, complessi e
sofisticati
Oggi come oggi tutte le aziende, che siano di grandi, piccole o medie dimensioni,
devono vivere e imparare a crescere in un mondo in cui il cyber-rischio è una minaccia
sempre più preoccupante. I motivi alla base dell'aumento di questi rischi sono diversi, e
variano dall'incremento della superficie di attacco, alla presenza di attacchi sempre più
complessi e sofisticati.
Dispositivi mobili e servizi cloud sono risorse sempre più comuni per i dipendenti, e le
infrastrutture virtuali e basate sul cloud vengono implementate da aziende di qualsiasi
dimensione. La conseguenza è stata la drastica crescita dell’area definita come
“superficie di attacco”.
Si consideri quanto segue:
• Dispositivi: L'utente medio nel Regno Unito possiede 3,1 dispositivi connessi1.
• App: Le aziende con 250-999 dipendenti utilizzano in media 16 app cloud
approvate, mentre le organizzazioni con 1.000-4.000 dipendenti ne adoperano 14;
per le aziende più grandi, la media scende a 112.
• Cloud: Le stime di settore prevedono che gli utili derivati dalle Infrastructure-as-a-
Service supereranno i $16 miliardi nel 2015. 3
• Internet of Things: Al termine del 2015, le “cose” (“things”) connesse a internet Panorama delle minacce
hanno raggiunto i 4,9 miliardi. Entro il 2020 questa cifra crescerà a 25 miliardi. 4
Il costante incremento dei vettori utilizzati ha causato un aumento della quantità degli
Malvertising
attacchi, del numero di casi di violazione andati a segno, e degli incidenti relativi alla IoT darkweb
perdita dei dati. Angler Trojan
Con la crescita di questi attacchi in termini di sofisticatezza, i toolkit commercializzati RAT Cryptowall
disponibili sul mercato nero e grigio hanno permesso di sferrare tali attacchi anche
contro chi non possegga competenze tecniche elevate. Phishing DDoS
Questi “kit” vengono accuratamente testati e non sono sempre facili da rilevare o da TOR injection
sconfiggere. Ad esempio, il kit Remote Access Tool (RAT) di UnRecom, segnalato per
Fiesta
la prima volta da Threatgeek.com a maggio 2014, è stato soggetto a diverse iterazioni, JSOCKET
inclusi AlienSpy e recentemente JSOCKET. Questo kit ha avuto a che fare con incidenti
Wassenaar PlugX
di vario genere: da casi di violazione dei dati, ad eventi che hanno portato a un
assassinio politico. 5 AlienSpy SSL
Purtroppo la ricerca indica la presenza di una quantità sproporzionata di piccole e
medie imprese che cadono vittima del sempre maggior numero di casi di perdita dei
dati confermati. Secondo il Data Breach Investigation Report di Verizon per il 2016:
Whitepaper Sophos luglio 2016 2La Sicurezza Sincronizzata: una rivoluzione nell'ambito della protezione
• Nel 2015 si sono verificati 100.000 incidenti di sicurezza, 3.141 dei quali sono stati confermati come
casi di perdita di dati.
• Queste cifre rappresentano un incremento del 23% per gli incidenti di sicurezza, e un astronomico
aumento del 48% per i casi di violazione dei dati, rispetto al 2014.
• Le aziende con meno di 1.000 dipendenti costituiscono il 20% dei casi di perdita dei dati confermati e
classificati, nonostante siano coinvolte in meno dell’1% degli incidenti.
• Gli incidenti e i casi di perdita di dati verificatisi nelle aziende di piccole dimensioni hanno colpito
un'ampia varietà di settori, tra cui soprattutto: servizi finanziari, alloggio e strutture di accoglienza,
vendita al dettaglio e sanità.
Inoltre, l’organizzazione Privacy Rights Clearinghouse ritiene che il 51% dei casi di violazione dei dati
avvenuti nel 2014 sia stata causata da hacker o malware, mentre il report compilato da Verizon indica
il lucro come motivo principale alla base degli attacchi. Per le piccole e medie imprese maggiormente a
rischio, l’impatto finanziario può essere catastrofico.
Attacchi in aumento, maggiore complessità degli attacchi, e perdite più elevate come loro conseguenza.
Occorre chiedersi: cosa dobbiamo cambiare nelle nostre strategie?
Poco personale disponibile, risorse sfruttate al limite, difficile
mercato del lavoro
È normale pensare che la reazione più naturale all’aumento degli attacchi debba essere un maggiore
dispiego di personale: più assunzioni e un incremento dei livelli di sicurezza. Tuttavia, molte aziende
hanno a disposizione poco personale da dedicare alla sicurezza IT. Espandere o ridistribuire le risorse non
è un’opzione fattibile per la maggior parte delle piccole e medie imprese.
Come possiamo osservare nella Figura 1, prima di giungere alle aziende di grandi dimensioni, i team
dedicati alla sicurezza informatica sono di dimensioni molto ridotte, e hanno a disposizione risorse
limitate:
PERSONALE DEDICATO ALLA SICUREZZA INFORMATICA
100 - 500 500 - 1.000 1.000 - 5.000 5.000 - 20.000 20.000+
DIPENDENTI DIPENDENTI DIPENDENTI DIPENDENTI DIPENDENTI
Figura 1: L
e strutture di sicurezza informatica delle aziende appartenenti alla fascia media del mercato sono limitate in termini di dimensioni e
risorse (Fonte: U.S. Department of Homeland Security, 2014)
Whitepaper Sophos luglio 2016 3La Sicurezza Sincronizzata: una rivoluzione nell'ambito della protezione Anche nel caso in cui i dirigenti aziendali desiderassero espandere i team dedicati alla sicurezza, si troverebbero pur sempre ad affrontare un altro ostacolo: un mercato del lavoro estremamente competitivo. Secondo il report Cybersecurity Job del 2015, a cura di BurningGlass, le offerte di lavoro nell'ambito della sicurezza informatica sono aumentate del 91% dal 2010 al 2014, con una rapidità del 325% rispetto a quella complessiva del mercato del lavoro dell'IT, e “negli Stati Uniti i datori di lavoro hanno pubblicato 49.493 offerte di lavoro che richiedono la qualificazione CISSP, dovendo assumere da un totale di soli 65.362 individui in possesso della qualificazione CISSP a livello nazionale”. Ci si trova di fronte a una quantità inedita di attacchi sempre più sofisticati (ed efficaci), senza avere abbastanza personale qualificato a disposizione. Le aziende sono esposte a livelli di rischio semplicemente inaccettabili. Sezione 2: Un attimo... E tutti gli investimenti che abbiamo effettuato? A vari livelli, con poca integrazione. Complessi e senza visione. Indipendenti dal proprio contesto. Decisioni isolate. Tutte queste descrizioni sono applicabili agli attuali investimenti effettuati nell'ambito della sicurezza. Continuiamo a vivere in un mondo di prodotti indipendenti e complessi: da antivirus, cifratura dei dati, e gateway per web e-mail e rete, sino a prodotti più moderni quali suite di sicurezza, UTM, sandbox, e soluzioni di protezione endpoint e risposta agli attacchi. Gli autori degli attacchi sferrano attacchi coordinati contro i nostri interi ecosistemi informatici. È normale che si faccia fatica a tenergli testa. Un attacco può avere origine da un endpoint, per poi propagarsi rapidamente sulla rete, e giungere a prelevare illecitamente le informazioni cifrate utilizzando la stessa connessione internet in uscita della vittima. I professionisti della sicurezza informatica hanno cercato di “unire i puntini” tra le varie fonti di dati, utilizzando motori di correlazione, warehouse di big data, Security information and Event Manager (SIEM), programmi di condivisione delle nuove informazioni quali STIX e OpenIOC, e decine e decine di analisti umani. Tuttavia, anche con gli strumenti più avanzati, comprendere i dati provenienti da un'ampia varietà di prodotti di punta per rilevare ed eliminare rapidamente il rischio e bloccare la perdita dei dati può risultare altrettanto difficile quanto “rimettere in piè” l'Humpty Dumpty della filastrocca. Il processo di correlazione di eventi e log dipende ancora dall'impostare e mantenere complesse regole di correlazione, dal mappare un infinito numero di campi, e dall'impostare altrettante definizioni per i filtri, per non parlare di ore e ore di tempo e lavoro di analisti altamente specializzati ed estremamente difficili da reperire. I SIEM richiedono un considerevole investimento di capitale e continue spese operative. Inoltre la condivisione delle informazioni, sebbene non vi sia alcun dubbio che rappresenti un fattore essenziale per il futuro della sicurezza, non è ancora abbastanza matura per consentirne un'adozione universale e semplice. I risultati, o meglio la mancanza degli stessi, parlano da soli. Come abbiamo visto, i rischi e la perdita dei dati sono in costante aumento, e non mostrano alcun cenno di diminuzione. Il personale non basta. Secondo un recente report del Ponemon Institute, il 74% delle violazioni passa inosservato per più di sei mesi. E il fatto più preoccupante è che, per quanto riguarda la mitigazione dei rischi, le aziende di medie dimensioni sembrano trovarsi in maggiore difficoltà rispetto a quelle più grandi, che dispongono di risorse migliori. Ovviamente la risposta non è l'ennesimo prodotto di punta non integrato, e neppure ulteriori console, più personale o altri SIEM con poca flessibilità. Questi approcci hanno avuto un effetto deludente. Occorre trovare un approccio migliore e più efficace. Whitepaper Sophos luglio 2016 4
La Sicurezza Sincronizzata: una rivoluzione nell'ambito della protezione
Sicurezza Sincronizzata L’alternativa attuale
La sicurezza sincronizzata offre un
Gestione SIEM modello di sicurezza più semplice,
rapido ed efficace. Inoltre, grazie
agli altissimi livelli di automazione,
la sicurezza sincronizzata richiede
meno personale di sicurezza
Cifratura/ Gestione degli Gestione Gestione della
Endpoint/ esperto, per essere gestita e
Protezione Rete endpoint della rete cifratura manutenzionata.
utente finale
dei dati
Cifratura/
Endpoint Rete Protezione
dei dati
Sezione 3: La Sicurezza Sincronizzata, un nuovo
approccio
Una nuova idea rivoluzionaria
Per decine e decine di anni, il settore della sicurezza ha considerato la sicurezza della rete, degli endpoint
e dei dati come entità ben distinte. La situazione è paragonabile all'avere tre guardie di sicurezza in
un edificio (una fuori dalla porta di ingresso, una all’interno dell’edificio, e una davanti alla cassaforte),
senza concedere loro la possibilità di comunicare l’una con l’altra. La Sicurezza Sincronizzata offre uno
smartphone a ciascuna di queste guardie, facendo in modo che possano comunicare in maniera rapida
ed efficiente. È un concetto tanto semplice quanto rivoluzionario.
E se voleste ricominciare da capo, con un approccio fresco e innovativo alla sicurezza informatica? Un
approccio più efficace, che garantisca una protezione migliore e una comunicazione automatizzata e in
tempo reale tra soluzioni per rete, sicurezza endpoint e cifratura? Un approccio che sia sincronizzato per
l'intera superficie esposta alle minacce? Un approccio caratterizzato da alti livelli di automazione, che
non vi costringa ad assumere altro personale o incrementare il carico di lavoro attuale?
Per raggiungere questo obiettivo, occorre un sistema che sia:
Basato sull'ecosistema informatico. Occorre prevenire, individuare e bloccare le violazioni
nell'intero ecosistema informatico, agendo in piena consapevolezza di tutti gli oggetti e gli eventi vicini.
Completo. La soluzione deve essere completa e deve proteggere l’intero “sistema” IT, ovvero vari tipi di
piattaforme, dispositivi, utenti e dati, al fine di difendervi dagli attacchi coordinati
Efficiente. La soluzione deve alleggerire il carico di lavoro del team, pur incrementando la qualità della
protezione. Non deve aggiungere un ulteriore livello di sicurezza che debba essere gestito da personale
già oberato di lavoro.
Efficace. La soluzione deve essere in grado di prevenire, rilevare, indagare ed eliminare le minacce più
recenti dall'intera superficie esposta alle minacce.
Incentrato sui dati. La soluzione non si deve concentrare solamente su dispositivi e rete: deve anche
proteggere le informazioni importanti, indipendentemente da dove si trovino, e ovunque ne venga
effettuato l’accesso.
Semplice. Semplice da acquistare, semplice da capire, semplice da distribuire e semplice da usare.
Whitepaper Sophos luglio 2016 5La Sicurezza Sincronizzata: una rivoluzione nell'ambito della protezione
In effetti questo elenco sembra essere pieno di obiettivi irraggiungibili. I prodotti di sicurezza informatica
del giorno d'oggi sono esattamente l'opposto: basati sulle minacce, composti da singoli elementi
complicati, incompleti, esigenti in termini di risorse, e nel complesso meno coordinati degli attacchi
stessi contro i quali dovrebbero fornire protezione. Indubbiamente, l'innovazione è la chiave per il
successo. Questa sfida è riassunta nella Figura 2.
Attuali soluzioni di sicurezza a livelli Sicurezza Sincronizzata
multipli
Basate sulle minacce, agiscono Basata sull'ecosistema, agisce in piena
indipendentemente da oggetti ed eventi consapevolezza degli oggetti e degli
vicini eventi vicini
Prodotti di punta specializzati e isolati Prodotti coordinati
Efficacia tramite l'aggiunta di personale Efficacia tramite automatizzazione e
innovazione, non richiede personale
aggiuntivo
Gestione indipendente della cifratura Protezione con cifratura integrata, in
grado di rispondere automaticamente
alle minacce
Complesso Semplice
Figura 2: Le soluzioni attualmente disponibili richiedono un cambiamento radicale
Garantire questa semplicità ed efficacia negli ambienti del giorno d'oggi richiede una significativa
innovazione delle tecnologie, un'innovazione che si chiama Sophos Security Heartbeat.
Sophos Security Heartbeat
La sicurezza sincronizzata permette alle soluzioni next-gen per endpoint, cifratura e Sophos Synchronized Security
sfrutta la funzionalità Security
protezione della rete di condividere in maniera continua tutte le informazioni rilevanti e Heartbeat, i SophosLabs e Sophos
relative a comportamenti sospetti e confermati come malevoli nell'intero ecosistema Central per garantire una sicurezza
semplice ed estremamente efficace
informatico esteso dell'azienda. Sfruttando una connessione diretta e sicura per endpoint e reti.
denominata Sophos Security Heartbeat, la protezione endpoint, la cifratura e la
protezione della rete agiscono come un unico sistema integrato, permettendo alle Sophos Central
organizzazioni di prevenire, rilevare, investigare e rimuovere le minacce in tempo
reale, senza bisogno di altro personale.
Per fare un esempio, quando il Sophos Next-Gen Firewall rileva una minaccia
SECURITY
avanzata o un tentativo di causare una fuga di dati riservati, può utilizzare HEARTBEAT ™
automaticamente Sophos Security Heartbeat per intraprendere una serie di azioni SophosLabs
sia a livello di rete che di endpoint, mitigando il rischio e bloccando istantaneamente
la perdita dei dati. Analogamente, se un endpoint protetto si rivela compromesso,
la sicurezza sincronizzata consente il confinamento automatico e pressoché immediato dell'endpoint in
questione, inclusa la temporanea revoca delle chiavi di cifratura, impedendo che possa essere utilizzato
per prelevare informazioni riservate o per inviare dati di natura sensibile a un server di comando e
controllo. Il tempo richiesto da questo processo di individuazione, protezione e risposta agli incidenti,
che di solito può richiedere settimane o mesi, è stato ridotto a pochi secondi grazie alla sicurezza
sincronizzata.
Whitepaper Sophos luglio 2016 6La Sicurezza Sincronizzata: una rivoluzione nell'ambito della protezione
Per la prima volta si nota che la cifratura svolge un ruolo importantissimo nella strategia di protezione
contro le minacce. Cifratura, chiavi di cifratura e facoltà di condividere e decifrare i file sono tutti fattori
direttamente connessi allo stato di sicurezza, all’attendibilità e all’integrità dell’utente, nonché anche
dei sistemi e delle applicazioni. Di conseguenza, è possibile valutare il rischio e intraprendere azioni
che implementino i criteri di cifratura specificati, impedendo a personale non autorizzato di ottenere
le informazioni protette. E anche se dovessero essere esfiltrati, i file cifrati rimarrebbero sempre e
comunque illeggibili agli occhi degli autori dell’attacco. Inoltre, è possibile impedire ai dispositivi che non
rispettano la conformità di accedere ad applicazioni e dati protetti. Questa combinazione di sicurezza per
utenti, reti, dispositivi e dati in maniera integrata e sincronizzata è esclusiva, potente e semplice.
Riepilogo
Siamo circondati da rischi informatici. La quantità sempre più elevata di attacchi e la maggiore
complessità di tali attacchi, unite alla mancanza di risorse umane per contrastarli, creano la tempesta
perfetta dei problemi di sicurezza IT, in particolar modo per le aziende di piccole e medie dimensioni.
Gli attuali approcci alla sicurezza informatica basati su livelli multipli sono tutt'altro che efficaci, e
qualsiasi sforzo impiegato per risolverne le lacune con ulteriori analisi si sta rivelando inutile.
Non saranno i metodi attuali, che prevedono l’uso di soluzioni complesse, basate sulle minacce,
dipendenti dal numero di utenti e dalla visione limitata, a soddisfare le esigenze dei team di IT security,
con le loro scarse risorse. Per invertire la tendenza all’aumento di incidenti e violazioni, occorre un
approccio ben diverso da quelli adottati in passato.
È necessario implementare nuove soluzioni che siano semplici ma efficaci, e che agiscano sia in maniera
automatizzata che coordinata. In pratica, occorre sincronizzare la sicurezza con tecnologie innovative,
quali Sophos Security Heartbeat. Sincronizzando la protezione di dati, endpoint e reti, i team e le
infrastrutture di sicurezza dispongono ora di tutto l’occorrente per reagire e rispondere nel modo migliore
alle minacce attualmente in circolazione. Per saperne di più su Sophos Security Heartbeat, e per scoprire
come la sicurezza sincronizzata by Sophos possa aiutarvi a proteggere con maggiore efficacia la vostra
organizzazione nel moderno ambiente ad alto rischio, visitare: Sophos.it/heartbeat.
1
Statistica.com
2
Okta Business@work, 2015 Sicurezza Sincronizzata
Gartner, http://www.gartner.com/newsroom/id/3055225
Per ulteriori informazioni, visitate:
3
Gartner, http://www.gartner.com/newsroom/id/2905717, 2014
sophos.it/heartbeat.
4
5
Threatgeek.com
Vendite per Italia:
Tel: (+39) 02 94 75 98 00
E-mail: sales@sophos.it
Oxford, Regno Unito
© Copyright 2016. Sophos Ltd. Tutti i diritti riservati.
Registrato in Inghilterra e Galles, n. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, UK
Sophos è un marchio registrato da Sophos Ltd. Tutti i prodotti e nomi di aziende menzionati sono marchi, registrati e non, dai loro rispettivi proprietari.
05/09/2016 WP-IT (NP)Puoi anche leggere
