Intervista a: Luca Mairani, Senior Sales Engineer di Forcepoint
TIG. Anomaly Detection: in quali casi può essere un contributo essenziale alla strategia di Cybersecurity delle aziende?
Luca Mairani. In un mondo come quello attuale, afflitto da minacce sempre nuove e creative, i sistemi di protezione tradizionali non si dimostrano piu’ sufficienti per garantire un livello di visibilità in grado di garantire la sicurezza.
L’approccio di Forcepoint Insider Threat parte dal concetto che, per quanto difficili da individuare puntualmente, gli attacchi moderni operano sempre attraverso una macchina ponte che, di conseguenza, evidenzia delle anomalie. Un volume anomalo di traffico, la registrazione e attivazione di processi sconosciuti, l’accesso a strumenti aziendali non di competenza dell’utente loggato sulla workstation, possono evidenziare tentativi di compromissione in atto. Attacchi come quelli condotti contro le banche attraverso Carbanak o gli attacchi ai sistemi SWIFT, evidenziano come ci sia sempre bisogno di una macchina ponte all’interno della rete per perpetrare un attacco efficace. Se correttamente configurata, la soluzione Forcepoint Insider Threat è in grado di evidenziare le attività anomale di un insider inconsapevole (un utente compromesso) che consentono al malware di muoversi lateralmente all’interno della rete aziendale.
TIG. Minacce interne: la negligenza da parte dei dipendenti è la prima causa di minacce interne. Che siano malevole, accidentali o veicolate da terzi, le minacce all’interno della rete sono molto più dannose di quelle che provengono da attaccanti esterni. Perchè in generale questa fonte di minacce è sottostimata?
Luca Mairani. Il tema degli insider è sempre stato fortemente sottovalutato da chi si occupa di sicurezza all’interno delle aziende, anche se è sempre stato tra le prime cause di incidenti gravi di sicurezza. I motivi per cui si è deciso spesso di ignorare la causa di oltre il 50% degli eventi critici aziendali sono molteplici. Il primo è senza dubbio quello della fiducia nei propri dipendenti. Molte aziende italiane hanno come pilastro di sicurezza quello di fidarsi del comportamento corretto dei propri dipendenti. Questo modo di procedere, anche se concettualmente desiderabile, è estremamente rischioso perché lascia di fatto libero di agire chiunque decida di ignorare le policy di sicurezza aziendale, per errore o per dolo, mettendo a rischio l’intera società. Il secondo motivo è sicuramente una interpretazione molto cautelativa del concetto di privacy dell’utente. Il timore di ricadere nella fattispecie del controllo remoto del lavoratore, spinge l’ufficio risorse umane a bloccare ogni progetto che monitorizzi i comportamenti anomali o il trasferimento di dati non autorizzati, travisandone di fatto l’obiettivo. Il terzo motivo è dovuto al concetto stesso di insider. Con questo nome si deve intendere chiunque operi al di fuori delle regole stabilite, anche se lo fa in buona fede. Utilizzare gli strumenti in modo non corretto può mettere a rischio l’azienda: disabilitare l’antivirus, utilizzare storage online per archiviare documenti riservati, installare software non consentiti o detenere materiale protetto da copyright sono dei tipici esempi di questo modo di fare. Per i responsabili aziendali, invece, l’insider è unicamente chi per dolo trafuga i dati aziendali con l’obiettivo di rivenderli. Ovviamente i dipendenti che rientrano in quest’ultimo caso sono ritenuti molto pochi e, di conseguenza, tendenzialmente ignorabili.
TIG. Qual è una soluzione ottimale di Threat Intelligence per intercettare e segnalare velocemente comportamenti potenzialmente dannosi?
Luca Mairani. Una soluzione ideale per proteggere gli asset aziendali ed identificare al contempo se ci sono compromissioni in corso è quella di analizzare i comportamenti anomali. Se ben scritte, le policy di sicurezza aziendale identificano le attività lecite che consentono di ridurre il più possibile la superficie di esposizione delle risorse IT ad attacchi esterni. Chiunque violi queste policy rappresenta una potenziale minaccia che richiede di essere indirizzata. L’analisi di quanto succede a livello di accesso alle risorse critiche consente di identificare attività malevole effettuate dall’utente o da una eventuale macchina compromessa. Da ultimo, l’integrazione di strumenti terzi consente al sistema di correlare un maggior numero di dati ed affrontare scenari complessi.
