Con i modelli di business che cambiano, gli ambienti IT complessi e frammentati, e uno scenario delle minacce informatiche in dinamica evoluzione, la cybersecurity sta oggi trasformandosi in qualcosa di più di quello che viene considerato, in modo talvolta troppo limitativo, solo un fattore di rischio strategico aziendale.
Per i CSO (Chief Security Officer) oggi diventa davvero vitale comprendere come le funzioni, le tecnologie e i prodotti di security, nel loro complesso, devono evolversi per tenere il passo con il cambiamento, e saper rispondere in maniera efficace ad attacchi che diventano sempre più sofisticati.
Il rischio del malvertising
Un esempio recente è la potente rete di ‘malvertising’ (malicious advertising) scoperta dal Talos Security Intelligence and Research Group di Cisco, e soprannominata ‘Kyle and Stan’.
Tale rete ha diffuso malware per Mac e Windows sfruttando gli annunci pubblicitari online su grandi domini come amazon.com, ads.yahoo.com o youtube.com.
Questi sono però solo la punta di un iceberg di un’infezione che ha già contagiato (dati di settembre) oltre 700 domini. Le ultime analisi fotografano un attacco nove volte più grande di quanto inizialmente creduto, quando cominciò circa due anni fa.
“La capacità di espansione e l’esteso lasso di tempo dell’attacco – ha spiegato Martin Roesch, vice president e chief architect di Cisco Security Business Group – riflette la sua abilità di trasformarsi di continuo, muoversi rapidamente, e cancellare le proprie tracce”.
Contro minacce come questa, i meccanismi di difesa fondati esclusivamente su controlli di tipo statico e su interventi manuali di operatori umani risultano insufficienti, e pongono i sistemi di protezione aziendali in condizioni di significativo svantaggio, accrescendo l’aggressività degli attacchi.
Ciò che serve per una difesa efficace sono invece meccanismi dinamici di controllo, in grado di analizzare i dati, apprendere e adattarsi di continuo agli eventi. Questo, aggiunge Roesch, è il motivo per cui Cisco ha sviluppato il Security Operations Maturity Model, che delinea una strada percorribile dalle diverse organizzazioni per migrare verso controlli in grado di fornire maggior visibilità, intelligenza, automazione, e di conseguenza una protezione più solida.
In primo luogo, l’approccio alla sicurezza deve porre al centro il concetto di continuità delle minacce, attuando sistemi di difesa in grado di agire prima, durante, e anche dopo gli attacchi, e monitorando tutti i livelli dell’infrastruttura IT (rete, endpoint, mobile, risorse virtuali, cloud).
Ciascuna organizzazione può poi utilizzare il modello di Cisco per comprendere come far evolvere i propri sistemi di difesa verso un livello sempre più elevato ed efficace.
Si parte dagli ambienti IT dove i controlli critici esistono, ma mancano visibilità e intelligence per aggiornarli: molte tecnologie tradizionali funzionano così, ma non hanno l’agilità di consentire aggiustamenti in real-time.
Il secondo livello si riscontra dove visibilità e intelligence esistono, ma le modifiche dei controlli vanno ancora applicate manualmente.
Al terzo stadio si posizionano le organizzazioni dove, in specifici casi, i meccanismi di protezione applicano alcuni controlli automaticamente. Peccato che ciò non avvenga sui dati più sensibili, che l’ironia vuole, nota Cisco, sono proprio quelli presi di mira dai cybercriminali.
Si arriva poi al quarto livello, quello in cui i sistemi utilizzano la visibiltà e l’intelligence per adattare in modo tempestivo le policy di sicurezza, applicandole in tempo reale sulla base di ciò che è in grado di ridurre l’esposizione all’attacco. Qui i controlli sono dinamici, esiste un elevato livello di automazione nella risposta alle minacce, e la flessibilità per rispondere ai requisiti di mobility, cloud e IoT (Internet of Things).
Per ottenere i maggiori benefici di protezione bisogna però arrivare al quinto livello, quello predittivo, attualmente ancora agli albori, dove evoluti meccanismi analitici permettono di apprendere anche il contesto in cui stanno avvenendo determinati eventi, e quindi di migliorare di continuo l’intelligence, ottimizzando i controlli e le tecniche di difesa.