MILANO – Secondo l’ultimo M-Trends 2017 di FireEye (global report sulla Sicurezza IT), commentato per ZeroUno da Marco Rottigni, Consulting SE dell’azienda, la sofisticatezza degli attacchi sta aumentando ma, segnale positivo, si abbassa il tempo medio di rilevazione delle minacce: “Se qualche anno fa gli attacchi alle aziende con motivazione finanziaria risultavano molto visibili e venivano sferrati con strumenti rudimentali, dal 2013 abbiamo osservato una progressiva e inesorabile crescita degli skill tecnologici e strategici di questi cybercriminali; la linea di demarcazione tra gli attacchi finanziari [volti a generare guadagni-ndr] e quelli ‘state-sponsored’ [di cyberspionaggio, da sempre molto sofisticati – ndr] si è fatta sempre più inconsistente fino, quest’anno, a sparire del tutto; i primi hanno raggiunto un livello degno delle migliori missioni militari”, dice Rottigni, che quindi commenta altri dati che evidenziano il ridursi del tempo di permanenza medio in cui un attaccante rimane nell’ambiente dell’azienda prima della rilevazione: “L’anno scorso si parlava di 146 giorni, quest’anno
Marco Rottigni, Consulting SE di FireEye
di 99 giorni: è chiaro che si tratta di un delta ancora elevato – dice Rottigni ricordando che, come insegnano le simulazioni d’attacco fatte da Mandiant (FireEye Company), a un attacco mirato spesso bastano pochi giorni per raggiungere i sistemi strategici dell’azienda – ma, leggendo con ottimismo il dato, significa che le imprese hanno realizzato di avere un problema e si stanno attrezzando”.
Consigli per le aziende
La rilevazione degli attacchi è solo il primo degli elementi critici da affrontare per impostare un sistema di sicurezza efficace. Oltre al tema fondamentale della formazione degli utenti, ecco alcune aree di miglioramento individuate da Rottigni:
- “Spesso – dice il manager – le aziende sono molto ricche di soluzioni in grado di generare allarmi di sicurezza, ma povere di risorse per gestirli: diventa quindi utile migliorare, attraverso tecnologie adeguate, la capacità di prioritizzare gli allarmi per distinguere dagli altri i segnali deboli che poi portano a un attacco più strutturato”.
- fondamentale è l’adozione di intelligence, non solo tecnica (l’intelligence “di segnale”, direttamente derivata dai dati raccolti dai sensori che FireEye ha ‘sparsi nel mondo’, innestati nella tecnologia dei clienti), ma anche investigativa, legata allo studio del deep web, delle strategie usate dai cybercriminali e dei modi in cui le vittime hanno reagito: “Solo così – dice Rottigni – si possono avere le informazioni di contesto necessarie a riconoscere le minacce più pericolose, identificare la strategia d’attacco usata e neutralizzarla nel modo più efficace”.
- Dal momento che nessuno può considerarsi invulnerabile (“Segno della maturità di una impresa – dice il manager – sta proprio nel riconoscerlo e dunque lavorare sulla propria capacità di resilienza”) è infine importante essere pronti nella fase di risposta agli attacchi, dove, spiega Rottigni, “Serve capacità di orchestrazione: poiché non tutte le operazioni sono automatizzabili: per essere efficaci si deve delegare il più possibile alla tecnologia ma mantenere il presidio umano dove necessario”.
