La sicurezza informatica può sembrare un po' uno zoo di questi tempi. Ci sono una miriade di problemi da risolvere mentre il panorama cambia rapidamente con nuove tecnologie, esigenze aziendali in evoluzione e una superficie di attacco che continua ad espandersi.
A questo mix, possiamo aggiungere fornitori, consulenti ed esperti, ognuno con dichiarazioni forti su come vincere la guerra contro i criminali informatici.
Sfortunatamente, mentre molti di questi tentativi di rendere le aziende più sicure possono essere autentici, ci sono molte dichiarazioni generali là fuori che possono minare gli sforzi di un CISO per proteggere l'azienda. In questo articolo, cercheremo di capire quali sono i falsi miti sulla sicurezza informatica.
1. La Sicurezza di Windows è Sufficiente per Proteggere gli Endpoint Microsoft
Chi è il più grande fornitore di sicurezza? Prima di fare un inventario mentale dei principali attori di terze parti che possono venire in mente, potrebbe essere una sorpresa rendersi conto che sono tutti superati da Microsoft, con la sua posizione unica sia come fornitore di sistemi operativi che come fornitore di software di sicurezza per il proprio sistema operativo, noto in vari modi come "Microsoft Defender", "Windows Defender" e ora "Windows Security".
Il 2021 è stato un altro anno pieno di vulnerabilità, exploit e violazioni Microsoft, con gli hacker che hanno sfruttato rapidamente e senza pietà le vulnerabilità di Microsoft in Exchange Server come ProxyLogon e ProxyShell. Tali vulnerabilità sono state seguite da PrintNightmare, che a sua volta è stato seguito da HiveNightmare.
Microsoft Defender ha potuto far poco per fermare gli attacchi ransomware Hafnium e Conti che hanno sfruttato tali vulnerabilità; inoltre, è stato rivelato che Defender conteneva una vulnerabilità di privilege escalation da oltre 12 anni.
Purtroppo la storia recente conferma che i CISO che si affidano a un fornitore di sistemi operativi per vincere la lotta contro il ransomware saranno molto spesso coloro che perdono la battaglia.
2. I Mac Sono Sicuri “By Design”
A differenza di Microsoft, Apple non è nel business della vendita di software di sicurezza nel tentativo di proteggere i propri prodotti, ma promuove comunque attivamente la sicurezza di macOS come uno dei punti di forza unici dei Mac rispetto ad altri hardware.
Di conseguenza, Apple ha un interesse acquisito nello scoraggiare la percezione che i controlli di sicurezza di terze parti siano necessari per i Mac in azienda tanto quanto lo sono per altri endpoint.
Apple ha ammesso all'inizio di quest'anno che macOS ha riscontrato delle problematiche con i malware e, sebbene poche aziende utilizzino i Mac come server o controller di rete, sono estremamente popolari sia tra i manager C-level che tra gli sviluppatori.
Ciò rende i Mac aziendali bersagli appetibili per i criminali informatici interessati a obiettivi di alto valore e il nuovo malware macOS visto apparire negli ultimi 12 mesi è stato principalmente spionaggio e backdoor diretti a target specifici.
Nel frattempo, gli stessi utenti Mac sono in gran parte ignari dei molti modi in cui il malware può battere le tecnologie di sicurezza integrate utilizzate da Apple. La sicurezza integrata del Mac si basa molto sulla firma del codice, sui controlli di revoca dei certificati e sulle firme dei file legacy.
I criminali informatici hanno pochi problemi ad aggirarli e, come Microsoft Windows, la complessità del software del sistema operativo garantisce che i bug critici vengano corretti con una frequenza sempre maggiore.
Inoltre, i controlli di sicurezza integrati del Mac non offrono visibilità a utenti o amministratori. In qualità di CISO, i tuoi amministratori come fanno a sapere se un qualsiasi Mac all’interno dell’azienda è stato infettato da backdoor, spyware o un altro malware macOS senza software di sicurezza esterno per offrire tale visibilità?
3. La Prevenzione Non è Possibile ed il Rilevamento è Sufficiente
Nel tentativo di giustificare i fallimenti di antivirus e piattaforme EPP, i fornitori hanno spesso dichiarato che la prevenzione delle minacce è impossibile e il rilevamento post-infezione e la quarantena sono l’unico obiettivo realistico.
Ma siamo nel 2022, disponiamo di machine learning e intelligenza artificiale da anni ormai e non c'è motivo per cui qualsiasi CISO dovrebbe accettare che un fornitore non sia in grado di offrire una soluzione che prevenga la pre-esecuzione o l’esecuzione di malware file-based.
I fornitori che si affidano interamente al rilevamento basato sulle firme dovrebbero integrare o sostituire i propri motori di rilevamento con motori di intelligenza artificiale statici in grado di prevenire la maggior parte dei file PE dannosi. Ancora più importante, i CISO dovrebbero rifiutare i fornitori che dicono loro che la prevenzione non è possibile.
4. L’Approccio Zero Trust è Realizzabile per la Maggior Parte delle Organizzazioni
Il famoso detto secondo cui "sei forte solo quanto il tuo anello più debole" acquista nuova importanza con il passaggio agli ambienti Zero Trust. Sebbene l'adozione dell’approccio Zero Trust sia la soluzione migliore per ridurre la superficie di attacco, la realtà è che la maggior parte delle organizzazioni non è in grado di implementare efficacemente un'architettura Zero Trust (ZTA) completa su più risorse e sistemi di sicurezza.
Le organizzazioni dovrebbero prestare attenzione quando i fornitori offrono uno "SKU Zero Trust". Al di là del discorso di marketing, il raggiungimento di un modello di sicurezza ZTA richiede l'integrazione in tutte le tecnologie.
Non esiste una modalità "plug-and-play" per trasformare la tua organizzazione dall'oggi al domani. In effetti, il passaggio da un modello di sicurezza basato sul perimetro legacy a un modello di sicurezza ZTA è un percorso pluriennale, mentre gli attacchi alle aziende si verificano quotidianamente.
Come molti sviluppi nella sicurezza aziendale, ZTA offre promesse ma non è la panacea di tutti i mali. I CISO dovrebbero fare attenzione ai fornitori che dicono che ZTA è come una bacchetta magica in grado di risolvere tutti i loro problemi di sicurezza.
5. La Sicurezza Mobile Non è un Must
Incredibilmente, ci sono fornitori (e professionisti della sicurezza) che non si sono ancora resi conto della realtà dei dispositivi mobile nell'azienda. A volte, gli esseri umani si comportano come se qualcosa non esistesse se si rifiutano semplicemente di vederlo, ma sono anni che controlliamo le nostre e-mail aziendali e accediamo ai dati di lavoro dai nostri dispositivi mobile.
La maggior parte delle organizzazioni riconosce che i tentativi di impedire agli utenti di svolgere attività di lavoro sui propri dispositivi mobile hanno un impatto inaccettabile sulla produttività.
Lo spazio mobile è dominato da due principali fornitori di sistemi operativi, Google e Apple, ed entrambi comprendono la necessità della sicurezza, sebbene adottino approcci molto diversi ad essa.
Di recente, Google ha spiegato come una vulnerabilità zero-day e zero-click di iOS abbia compromesso gli utenti Apple. Il livello tecnico va al di là della maggior parte dei programmatori esperti e dei professionisti della sicurezza, per non parlare degli utenti ordinari.
Nonostante la sofisticatezza dell’attacco, tale exploit non è stato sviluppato da un attore di uno stato-nazione ma dal Gruppo NSO, un'impresa privata.
In un tale clima, in cui gli hacker orientati al profitto possono investire il proprio livello di esperienza nel compromettere i dispositivi mobile, quali attività con proprietà intellettuale da difendere, dati dei clienti da proteggere (e sanzioni normative da evitare) possono permettersi di fingere che la sicurezza mobile sia facoltativa?
Gli attacchi ai dispositivi mobile sono reali e i CISO dovrebbero applicare misure di difesa da tali minacce per tenere traccia del comportamento e delle azioni di utenti e dispositivi.
6. I Backup ti Proteggeranno dal Ransomware
Il mondo della sicurezza informatica si muove velocemente e ciò che era vero ieri (o, qualche anno fa) non è necessariamente vero oggi. Proviamo a pensare a NotPetya e WannaCry nel 2017 e alla lezione appresa duramente che le aziende senza backup stavano rischiando di essere colpite da un attacco ransomware.
La lezione non è rimasta inascoltata né dalle aziende né dagli aggressori e nel 2019 abbiamo visto i primi ransomware gestiti da persone, Maze e DoppelPaymer, passare al metodo della doppia estorsione: negazione dell'accesso ai file tramite crittografia con la minaccia di fughe di dati pubblici in cima.
La doppia estorsione è presto diventata il modus operandi standard, e alcune sono arrivate persino a minacciare di far trapelare i dati dei clienti o di riscattare i clienti delle organizzazioni vittime dell’attacco.
Anche così, alcune organizzazioni erano pronte a stringere i denti, rischiare la fuga di dati, recuperare dai backup e negare il riscatto ai criminali. Sfortunatamente, questo ha portato i criminali solo ad alzare la posta in gioco per triplicare l'estorsione: oltre alla minaccia di dati trapelati e crittografia dei file, hanno iniziato a inondare le aziende di attacchi DDoS per costringerle a tornare al tavolo delle trattative.
La lezione per i CISO è questa: gli operatori di ransomware hanno guadagnato molti soldi dalle vittime precedenti. Possono permettersi di acquistare botnet su larga scala e colpire la tua rete con DDoS fino a quando non paghi; possono permettersi di acquistare l'accesso iniziale da altri criminali e possono permettersi di pagare altri operatori (alias "affiliati") per effettuare attacchi.
I backup non significano nulla nel panorama delle minacce ransomware di doppia e tripla estorsione di oggi. Ciò che conta è prevenire il compromesso in primo luogo.
7. La Minaccia del Ransomware può Essere Risolta dal Governo
Abbiamo assistito a numerosi tentativi degni e valorosi di combattere la crescente ondata di ransomware proveniente dalla nuova attenzione del governo degli Stati Uniti sulla criminalità informatica.
L'attacco alla Colonial Pipeline, l'attacco all’azienda JBS e altri hanno creato una crescente preoccupazione per le imprese, poiché si sentono lasciate sole nella battaglia per mantenere il nostro modo di vivere al sicuro. Per quanto lodevoli siano gli sforzi del governo per agire, i criminali informatici non sono, per loro stessa natura, spaventati dalle forze dell'ordine.
Non appena Biden e Putin hanno discusso di una repressione dei criminali che hanno attaccato l'assistenza sanitaria e altre organizzazioni con infrastrutture critiche, sono emersi nuovi gruppi specificamente per fare proprio questo.
Laddove alcuni criminali hanno paura, altri prenderanno felicemente il loro posto se annuseranno un'opportunità per fare soldi. Le leggi federali non ci esentano dal “chiudere a chiave le nostre porte”.
Sì, l'aiuto del governo è molto importante. No, l'aiuto del governo non allevierà la necessità per le imprese di proteggere le proprie attività dalla criminalità.
8. Non hai Bisogno di Persone se Implementi Soluzioni Automatizzate
La carenza di competenze in sicurezza informatica è reale, ma mentre l'automazione può dare un contributo prezioso alla produttività e all'efficacia, l'automazione non sostituirà mai l'elemento umano nell'equazione della sicurezza informatica.
Il rischio non è statico e la superficie del rischio cresce e cambia costantemente man mano che le organizzazioni maturano ed espandono le loro attività. Più servizi, più server di produzione, più flusso e più dati dei clienti rendono la sfida di ridurre il rischio un percorso in continua evoluzione piuttosto che una singola attività che può essere completata con uno sforzo consolidato.
Poiché non esiste un proiettile d'argento per comprendere il rischio aziendale o quantificare i mezzi per proteggere un'azienda, ci sarà sempre bisogno di talenti della sicurezza informatica in grado di innovare, valutare e colmare queste lacune.
Anche i vettori di attacco sono in continua evoluzione. Tre anni fa, le organizzazioni si affidavano all'analisi statica di PE e altri file eseguibili per rilevare e prevenire il malware. Subito dopo, abbiamo iniziato a vedere attacchi fileless, basati su script e tentativi di movimento laterale che penetravano con successo le reti aziendali.
Una massiccia tempesta di attacchi alle supply chain, come SolarWinds, Kaseya e altri, ha aggiunto un'altra dimensione alla gestione del rischio. Nel frattempo, l'economia del ransomware ha creato una massiccia rete di affiliati che ha utilizzato nuove tecniche di spam per aggirare le soluzioni tradizionali.
Sì, le persone hanno bisogno della tecnologia per scalare, massimizzare la produttività, eliminare le attività banali e concentrarsi sugli elementi critici che richiedono attenzione, ma lo scenario migliore è che l'automazione della sicurezza informatica ridurrà la crescita della superficie di attacco.
I CISO avranno ancora bisogno di persone in grado di connettersi, operare e valutare qualsiasi tipo di attacco da parte degli aggressori (con i propri strumenti di automazione a portata di mano).
9. Managed Detection and Responde (MDR) è Tutto ciò di cui Hai Bisogno per Stare al Sicuro
Sebbene l'automazione non sostituirà mai la necessità di analisti “umani”, c'è anche il contrario: gli esseri umani non saranno mai in grado di rilevare, rispondere e rimediare ad attacchi identificabili alla velocità dei computer.
Abbiamo bisogno di utilizzare le nostre risorse umane e informatiche in modi adeguati ai compiti a cui ciascuno è più adatto.
Il personale è molto più abile nel triage dei casi limite, sconosciuti e falsi positivi, ma l'IA sul dispositivo che non dorme mai e funziona alla velocità della tua CPU batterà gli aggressori molto più velocemente di un analista MDR remoto nel cloud ottenendo un ritardo e parziale feed della tua telemetria di rete.
Sì, l'MDR offre un valore aggiunto a un buon agent di protezione degli endpoint IA di nuova generazione. No, MDR non sostituisce la protezione autonoma sul dispositivo, come hanno dimostrato in modo convincente i risultati di MITRE 2020.
In Conclusione
Non si può sfuggire al fatto che la sicurezza informatica sia un'attività complessa, ma ottenere le basi giuste è il primo passo. Riduci le tue dipendenze dai fornitori di sistemi operativi, implementa una soluzione per la protezione degli endpoint sul dispositivo che offra visibilità sull'intero ambiente e tieniti stretto i talenti della cyber security: questi sono tutti validi punti di partenza per ogni CISO.
Nel frattempo, prova a mettere in dubbio le idee errate che vengono trasmesse regolarmente. Abbiamo elencato nove dei punti più comuni, ma ci sono senza dubbio molti punti da approfondire e mettere in discussione.
Difatti l’obiettivo di SentinelOne e Florence Consulting è quello di fornire alle aziende il 100% degli strumenti più adeguati in modo da assicurare una protezione totale di tutti i dispositivi all'interno dell’azienda, sia lato risorse umane sia tecnologico.
Per avere maggiori informazioni su SentinelOne invia una mail a cio@florence-consulting.it chiama lo (055) 538-3250 oppure compila il form sottostante con la tua domanda.
