Aggiornamenti recenti Settembre 13th, 2024 3:41 PM
Mar 28, 2018 Marco Schiaffino Approfondimenti, In evidenza, Prodotto, RSS, Scenario, Tecnologia 1
Non è una distinzione troppo rigida, ma anche chi si occupa di sicurezza informatica è portato a pensare che le tipologie di attacco cambino radicalmente a seconda delle dimensioni delle aziende prese di mira, per le quali vengono proposte soluzioni diverse.
Si tratta di una forma mentis che possiamo riassumere così: per i piccoli è sufficiente la protezione dell’endpoint e l’individuazione dei malware. Per le organizzazioni più grandi, invece, serve proteggersi anche dagli attacchi mirati, quelli che non sfruttano i “soliti” malware ma puntano a introdursi nei sistemi utilizzando strumenti di hacking che sfruttano le vulnerabilità presenti in software e device.
Secondo Jimmy Ruokolainen, vice presidente di F-Secure, è arrivato il momento di abbandonare questa impostazione mentale. “Una ricerca di Ponemon prevede che nel 2018 il 35% degli attacchi alle aziende sarà portato con strumenti fileless e le statistiche dicono nel 57% dei casi i cyber-criminali utilizzano per le loro azioni normali strumenti di amministrazione come Powershell, difficili da individuare con un semplice software”.
Ma cosa è cambiato rispetto a qualche tempo fa e perché anche aziende medio-piccole rischiano di finire vittima di questi attacchi? Semplice: i pirati informatici hanno cominciato ad automatizzare gli attacchi. In questo contesto non si parla più di “attacchi mirati”, ma di tentativi seriali di intrusioni, che quindi possono colpire anche le piccole e medie imprese che non hanno strumenti specifici per proteggersi.
“La strategia per proteggersi da questo tipo di attacchi è una sola: individuare le operazioni sospette e fermare l’intrusione prima che i criminali arrivino al loro obiettivo” spiega Ruokolainen. “Il tradizionale software installato sull’endpoint non è sufficiente”. Qualcosa che però richiede competenze professionali piuttosto elevate, che le imprese di medie dimensioni di solito non possono permettersi.
Per individuare un’intrusione di questo genere servono infatti sistemi di detect and response con personale dedicato, che di solito vengono implementati solo dalle aziende a livello enterprise quando devono tenere sotto controllo un’ampia infrastruttura informatica.
È questo il ragionamento da cui è partita F-Secure per creare un nuovo servizio che “mixa” le due cose: Endpoint Detect and Response (EDR). L’idea è di aggiungere alla normale protezione da malware un servizio di “rilevamento e risposta” gestito esternamente.
In pratica, i sistemi di F-Secure analizzano tutti gli eventi registrati a livello di infrastruttura informatica usando strumenti di machine learning per individuare quelli potenzialmente pericolosi e affida a un team di analisti il compito di individuare eventuali attacchi in corso.
Una nuova prospettiva
Questo cambio nelle regole del gioco ha delle ripercussioni piuttosto interessanti, che secondo Jimmy Ruokolainen non riguardano solo il tipo di strumenti utilizzati per attacchi e protezione.
“In questo scenario ci troviamo di fronte a un ribaltamento di ruoli che ci offre anche qualche vantaggio” spiega Ruokolainen. “Di solito li definisco come il dilemma dell’attaccante e il dilemma del difensore”.
Riassumendo il ragionamento fatto da Ruokolainen, il dilemma del difensore riguarda la prevenzione e può essere riassunto in questo modo: chi protegge un sistema non può permettersi di sbagliare. Al primo errore (cioè quando non viene rilevato un malware) hai perso.
Nel caso del detect e response, i ruoli sono invertiti. I cyber-criminali, infatti agiscono secondo uno schema che prevede l’intrusione attraverso una vulnerabilità seguita dal cosiddetto “movimento laterale”, attraverso il quale arrivano ai loro obiettivi. In questo caso, quindi, sono loro che non possono permettersi di sbagliare. Al primo errore vengono individuati e bloccati.
Non solo, secondo il vice presidente di F-Secure l’ambito del detect and response offre un altro vantaggio. “Quando un pirata informatico realizza un malware, può comprare l’antivirus di cui vuole aggirare la protezione e fare tutti i test che gli servono per capire se è in grado di individuare il codice malevolo. Di fronte a un sistema di analisi come quello di EDR questo non è possibile”.
La chiave di questo vantaggio è il fattore umano, che rende meno prevedibile il funzionamento degli strumenti di protezione. Mentre gli antivirus utilizzano schemi “fissi” come le signature o i modelli di analisi comportamentale, un gruppo di analisti in carne garantisce quella flessibilità che permette di individuare un attacco anche quando viene portato attraverso strumenti e operazioni che non farebbero scattare un campanello di allarme nei tradizionali software.
Nov 09, 2023 0
Apr 05, 2023 0
Ott 27, 2022 0
Mar 23, 2022 0
Set 13, 2024 0
Set 13, 2024 0
Set 12, 2024 0
Set 11, 2024 0
Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Set 05, 2024 0
Gli attacchi di furto di account (account takeover) sono...Set 03, 2024 0
Le identità digitali si moltiplicano e con esse anche le...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 12, 2024 0
I ricercatori di ReversingLabs hanno identificato alcune...Set 11, 2024 0
I ricercatori di Trend Micro hanno individuato una serie...Set 10, 2024 0
I ricercatori di ESET hanno individuato una campagna ai...
One thought on “F-Secure: ecco come cambia la protezione per le medie imprese”