Tra gli elementi necessari a combattere con successo il cybercrime, uno dei principali è senz’altro una condivisione puntuale ed efficace delle informazioni. Le aziende che collaborano per raccogliere e condividere intelligence avranno infatti una maggiore visibilità sul panorama delle minacce rispetto a chi agisce in modo individuale. Individuare le nuove minacce nel momento in cui nascono migliora la capacità di reazione ed eleva la protezione degli asset aziendali.
Tipicamente, le aziende dispongono di grandi quantità di dati grezzi, a livello globale o nelle proprie reti. Ma questo non basta. Sfortunatamente, infatti, la maggior parte delle infrastrutture di sicurezza non è stata progettata per utilizzare, correlare e distribuire efficacemente il crescente volume di informazioni disponibili.
Affinché la threat intelligence abbia un impatto reale ed efficace sul cybercrime, riteniamo necessario considerare tre aspetti:
Il punto di partenza è una threat intelligence di qualità
Sono numerosi i threat feed disponibili per le aziende. Ma gran parte dei dati che essi forniscono sono ridondanti, decontestualizzati e spesso richiedono lunghi processi di elaborazione. A tal fine è necessaria una stretta collaborazione tra le organizzazioni per scongiurare i rischi ai quali l’intera digital economy è esposta a causa del crescente aumento delle minacce IT. Solo in questo modo è infatti possibile condividere le informazioni affidabili e azionabili alla base di una threat intelligence di qualità che consente di creare un quadro più completo delle minacce, da cui poi poter ricavare contromisure sotto forma di aggiornamenti e nuove strategie.L’intelligence ha valore solo per chi sa usarla
La threat intelligence da sola non è sufficiente. Occorre integrarla con i dati che vengono raccolti e messi in correlazione all’interno dell’azienda. È necessario affidarsi a tool di sicurezza efficaci in grado di interagire tra loro per raccogliere, correlare e fornire il massimo della visibilità sulle minacce presenti nel proprio ambiente. Queste informazioni azionabili devono poi essere convertite in policy attuabili e distribuite nel proprio ecosistema di reti tradizionale, inclusi gli ambienti cloud pubblici e privati, nonché nei sempre più numerosi dispositivi endpoint e IoT. Sfortunatamente, molti team IT devono già monitorare e gestire una vasta serie di console di sicurezza differenti, collegate a dozzine di dispositivi isolati. Questi strumenti non sono mai stati progettati per condividere informazioni, per cui sebbene la velocità operativa della rete continui ad aumentare i team di sicurezza si trovano ancora a correlare manualmente volumi sempre maggiori di informazioni sulle minacce. E per molte aziende l’aggiunta di reti cloud, dispositivi IoT e ulteriori threat feed non fa altro che creare più complessità.La security deve tenere il passo della velocità della rete aziendale
Oggi le aziende digitali necessitano di strumenti di sicurezza pensati per operare alla velocità del business. Non possono permettersi di scendere a compromessi tra protezione e prestazioni in nessun segmento della rete. Ma dato che il volume di dispositivi e dati continua a crescere, diventa sempre più complesso ispezionare ed elaborare il traffico in entrata e nella rete. Circa il 75 percento di tutto il traffico si muove lateralmente o trasversalmente tra dispositivi fisici e virtuali, a velocità che vanno oltre le capacità di molti device di sicurezza. La velocità richiesta per decisioni business critical fa sì che molti tool tradizionali siano diventati veri e propri ostacoli. Per non dover mai scegliere tra prestazioni e protezione, le aziende necessitano quindi di strumenti progettati per le odierne esigenze di rete.
Serve una nuova strategia
La sicurezza IT oggi richiede tool capaci di spaziare su tutto l’ambiente di rete, offrendo una visibilità unificata su dispositivi IoT e endpoint, access point, rete, data center, cloud e persino dati e applicazioni. Devono offrire la potenza necessaria per soddisfare le esigenze delle aziende digitali di oggi. E considerate le velocità alle quali si verificano gli attacchi, devono collaborare per rispondere automaticamente alle minacce senza attendere l’intervento umano.
Tutto questo non può verificarsi nel modello tradizionale basato sulla semplice implementazione di dispositivi e piattaforme di sicurezza aggiuntivi ogni volta che la rete subisce delle modifiche. Ciò che serve è un approccio architetturale integrato in grado di assecondare i cambiamenti del network. È fondamentale affidarsi a una strategia che unifichi i vari tool di sicurezza in un unico sistema, veda ogni device connesso alla rete, lo assegni in modo dinamico al segmento di rete appropriato, sincronizzi la threat intelligence tra tecnologie di sicurezza differenti per rispondere al meglio alle minacce e adattarsi automaticamente ai cambiamenti della rete.
*Filippo Monticelli è Country Manager di Fortinet Italia |