L’arrivo del nuvo anno è l’occasione per fare un’analisi delle cose da fare. Gli analisti suggeriscono come questo sia il momento di concentrarsi sul personale addetto alla sicurezza, sui processi e loro efficacia ma anche sul badget a disposizione per migliorare il presidio della rete aziendale.
La questione, infatti, non è tanto stare dietro al rinnovarsi delle soluzioni di sicurezza quanto, piuttosto ottimizzare approcci e strategie. Molti CISO, non possono tenere il passo con gli aggiornamenti tecnologici che ogni giorno vengono propinati in ambito sicurezza, tenendo presente che il 50% delle funzionalità messe a disposizione degli strumenti esistenti in azienda, non vengono sfruttate.
Sicurezza: standard e tradizionale o innovativa?
Una nuova tecnologia potrebbe migliorare la sicurezza attuale ma può mettere a disposizione delle funzioni che sono già presenti in altri prodotti già installati e che, per svariati motivi, non vengono utilizzati. La soluzione migliore allora è di trovare, una volta per tutte, quello strumento di sicurezza innovativo che permetta di dormire sonni tranquilli anche quando vengono scovate nuove minacce e nuove tecniche che gli hacker usano per cercare di violare le reti aziendali. Purtroppo, questa soluzione definitiva non è così realistica e molte aziende continuano ad aggiornare gli strumenti di sicurezza esistenti o, al massimo, prendono in considerazione nuove tecnologie offerte dai fornitori che hanno diverse soluzioni di sicurezza nel loro portafoglio prodotti.
Ma come possono i CISO ottenere le informazioni di cui hanno bisogno ed avere i parametri di riferimento per valutare l’efficacia che promette una nuova tecnologia? E come è possibile trovare il migliore strumento per la sicurezza, al di là delle soluzioni già implementate?
Come spiegano gli esperti, questa decisione non è affatto semplice. Il primo passo da fare è concentrarsi sui settori chiave della propria azienda, ovvero quelli che sono più a rischio di attacco. Un’ipotesi suggerita dai consulenti è quella di creare un networking di CISO di altre aziende con il fine di confrontarsi e conoscere i migliori strumenti di sicurezza specifici per i diversi settori. L’obiettivo? Costruire un rete di esperti all’interno delle aziende consente di capire in modo semplice ed efficace le nuove tecnologie che potrebbe essere utilizzate.
Anche per la Security è arrivata l’ora della collaboration
Le aziende, inoltre, devono sfruttare le risorse disponibili e le interazioni tra i vari dipartimenti, condividendo le informazioni e creando centri di analisi per i settori più delicati come i servizi finanziari, la sanità e altri particolari settori industriali. Questi centri hanno il compito di concentrarsi sulle minacce emergenti e trovare delle soluzioni adeguate. Tenendo in considerazione i report di questi centri di analisi, infatti, il CISO può quindi fare un elenco delle tecnologie essenziali che servono nei settori che riguardano direttamente la propria azienda.
Se non viene eseguita un’analisi profonda sui nuovi prodotti e le tecnologie si potrebbe perdere quello strumento di sicurezza informatica che potrebbe contribuire a migliorare la sicurezza della propria azienda. Come ribadiscono gli osservatori, nessuno può permettersi di non aggiornarsi o di non trovare le soluzioni migliori contro un nemico mutevole e sempre pericoloso.
Funzionerà per la mia azienda?
Molto spesso i security officer non sono a conoscenza o intuiscono soltanto gli sviluppi promettenti che la tecnologia applicata alla sicurezza può determinare, ma non hanno il tempo di avere un quadro completo, soprattutto quando si tratta di individuare come un nuovo sistema di sicurezza o una soluzione aggiuntiva potrebbe funzionare con la tecnologia già esistente in azienda.
La valutazione della soluzione che può servire è il punto nevralgico di questa decisione e questa non può essere fatta in un laboratorio vuoto o in qualche modo strutturato. Se si sta pensando a come difendersi da certe minacce, è possibile ricreare un ambiente controllato, e poi valutare, con un’analisi comparativa, l’efficacia dei controlli e delle procedure. Qualche provider ha provato addirittura a creare un cyber-range, ovvero un ambiente dove si poteva testare una intera serie di difese contro una moltitudine di probabili attacchi. Quando si simula un attacco al vostro ambiente di test, si ha la possibilità di capire come gli strumenti di sicurezza preposti si comportano a livello individuale, e verificare i vari fattori che contribuiscono a determinare se questi sono efficaci o no.
L’importanza dei test ma anche del benchmarking
C’è anche un valore aggiunto nell’utilizzare questo metodo di test per scegliere lo strumento di sicurezza migliore, ovvero la creazione di criteri di valutazione ben definiti, oltre alla possibilità di introdurre a piacimento altri controlli. Nonostante esistano società di ricerca indipendenti che mettono a confronto le varie soluzioni di sicurezza, i dati in arrivo da questi test potrebbero non bastare per determinare quale sia il prodotto giusto per la propria sicurezza aziendale. Nell’IT tradizionale, i servizi di benchmarking indipendenti sono molto apprezzati, ma penso che nel settore della sicurezza c’è un divario troppo ampio tra la misurazione di un prodotto con test globali e la valutazione eseguita in sede con tutte le problematiche specifiche solo un’azienda, a livello di produttività, prestazioni e risultati, sa di avere.
I migliori strumenti di sicurezza sono i più difficili da valutare in quanto le prestazioni sono condizionate dai tipi di minacce a cui sono sottoposti e dall’ambiente in cui stanno lavorando. Il consiglio degli esperti? Che bisogna capire l’avversario. Spesso non è un solo pacchetto di virus a cui bisogna far fronte, ma una serie di eventi che si verificano in successione, conosciuti anche come kill chain che tradotti in italiano si può definire come la catena di uccisioni. La kill chain per sua natura, è dinamica. Pertanto diventa molto difficile per gli strumenti di sicurezza informatica di riferimento essere valutati per affrontare una kill chain, in quanto gli scenari creati sono specifici per l’azienda dove è installato tale tools di sicurezza. Ecco perché una buona ipotesi di lavoro è quella di creare laboratori per valutare la tecnologia e i sistemi di sicurezza internamente senza affidarsi a organizzazioni indipendenti.
Strumenti open source: rischio od opportunità?
In considerazione ad alcune difficoltà che si verificano con approcci standard per la sicurezza, alcuni CISO stanno considerando l’adozione e quindi la personalizzazione di strumenti di sicurezza informatica open source, pensando di mettere ancora più in difficoltà gli hacker che vogliono colpire la loro azienda.
Tuttavia, la personalizzazione degli strumenti di sicurezza open source può diventare una lama a doppio taglio. Se è possibile ottenere personalizzazioni che difficilmente si possono avere dai vendor di software di sicurezza, e quindi creare qualche problema agli hacker che non si troverebbero a fare i conti con prodotto standard e conosciuto, allo stesso tempo potrebbero insorgere problemi riguardanti la manutenzione e il supporto associato a tale personalizzazione. Infatti, i team di sicurezza, molto spesso hanno poco budget e soffrono di carenza di personale adibito a queste operazioni.
Allo stesso modo ci sono diverse sfide da affrontare con lo sviluppo e la personalizzazione di tools di sicurezza open source, soprattutto se utilizzati su larga scala. In primis, affidarsi a fornitori di soluzioni tecnologiche off-the-shelf, garantisce di utilizzare i migliori strumenti per la sicurezza informatica, e di avere sempre il supporto e la formazione del personale deputato all’utilizzo di tali strumenti. Quando si assume un nuovo dipendente per il team di sicurezza, ad esempio, diventa molto costosa la formazione sul sistema di sicurezza costruito su misura. In un settore dove il talento è la più grande lacuna è necessario essere in grado di formare rapidamente il personale della sicurezza IT e far di tutto per trattenerlo in azienda. Un’ultima nota di metodo per i sistemi personalizzati che possono rivelarsi un ostacolo per la sicurezza della rete aziendale. La partnership con i vendor sono strategiche perché essi si concentrano ogni giorno per far sì che i sistemi siano protetti e al sicuro.
Come usare al meglio i budget a disposizione?
Le minacce a cui fronte e i bilanci aziendali sono in continua evoluzione. E questo spesso crea problemi si dove fare il miglior investimento per la sicurezza aziendale.
Molte azienda stanno investendo in strumenti di sicurezza informatica che sono proattivi, piuttosto che reattivi. Molti strumenti di sicurezza informatica si occupano di monitorare il comportamento su dispositivi e reti per capire se l’azienda sta per subire un attacco, o peggio, se questo attacco è andato a buon fine, invece di affidarsi (per fortuna) esclusivamente sulle firme dei virus conosciuti. Queste soluzioni si dividono in diverse categorie. Alcune utilizzano strumenti venduti da software house, altri invece si affidano a professionisti della sicurezza che utilizzano l’analisi delle minacce e si basano sull’esperienza acquisita nel rispondere in caso di attacco. La le aziende stanno mostrando maggiore interesse, per contrastare gli attacchi, verso strumenti di intelligence e sicurezza informatica che si basano sullo lo scambio e la condivisione di informazioni sulle minacce.
Cloud, sicurezza della applicazioni e protezione degli endpoint da malware e affini sono altre aree di investimento molto calde per le azienda. La maggior parte di esse sta adottando soluzioni cloud-based e di riflesso la sicurezza della applicazioni sta diventando una delle principali priorità, anche perché molti attacchi recenti sono iniziati grazie a una protezione debole degli endpoint, cosa che ha portato le azienda a un enorme investimento per renderli più sicuri.
I CISO più fortunati
I CISO che lavorano con società di sicurezza piuttosto che con produttori di tools hanno un vantaggio enorme per quanto riguarda il problema di tenere il passo. La maggior parte delle aziende di sicurezza informatica installa i prodotti d’avanguardia per la protezioni di endpoint, firewall o SIEM (Security Information and Event Management). Ma è sapere come integrare e gestire in modo efficace queste soluzioni che da un valore aggiunto all’acquisto, piuttosto che comprare a scatola chiusa un software di sicurezza di uno dei cinque principali produttori.
Oltre ai report che vendono Gartner Forrester Research o altre società di analisi, i fornitori di soluzioni di sicurezza spesso pubblicano i dati sulla conformità ed efficacia dei loro prodotti su sistemi enterprise. Queste informazioni non sono sufficiente di per se per scegliere il miglior prodotto di sicurezza per la propria azienda, ma possono essere un buon inizio. Il miglior approccio è quello di parlare con altri CISO del proprio settore industriale per capire come e perché hanno scelto quel determinato prodotto. Lo scambio di informazioni, in pratica è molto importante quando bisogna scegliere il prodotto che fa al caso vostro. Infine, le relazioni all’interno dell’azienda sono molto importanti, in quanto ogni sezione dell’azienda interessata all’implementazione di un tool di sicurezza potrebbe avere determinate esigenze che devono essere affrontate in fase di valutazione.
L’importanza della tecnologia presente
Per rendere perfetta la scelta del prodotto di sicurezza da installare sulla propria rete aziendale, è imperativo capire il proprio stack tecnologico e l’architettura informatica complessiva della propria azienda. Capire la tecnologia di cui si dispone può anche essere la chiave per individuare le esigenze reali e per sviluppare un quadro di riferimento reale utile per scegliere i migliori strumenti di sicurezza. Console di sicurezza o report creati da singoli strumenti di sicurezza, o un console personalizza già testata e consolidata, rappresentano le migliori fonti per individuare le lacune e i potenziali bisogni a livello di sicurezza. In molti casi, una tecnologia complementare può contribuire a giustificare un investimento. Ad esempio, l’installazione di un firewall per le applicazioni Web, di cui sia possibile testarne l’efficacia in abbinamento a uno strumento di scansione, possono quantificare il valore dell’investimento.
E se dopo tutto questo si effettua un investimento che si rivela una cattiva scelta? Come qualsiasi altra soluzione tecnica è importante capire l’impatto che ha sul business, analizzare la cause di questa cattiva scelta per farne uso nelle decisioni future.