Intervista a Fabrizio Mancini, Sales Team Lead, RSA Italia
Quali sono le principali problematiche che le aziende devono affrontare oggi in tema di cyber security? Quali le priorità sul fronte della reazione?
Oggi le organizzazioni devono imparare a far fronte a costanti infiltrazioni. Tenere fuori i Cyber Attackers dagli ambienti IT aziendali è diventato molto difficile e, in alcuni casi, impossibile perché gli attacchi sono ad hoc/personalizzati, possono facilmente aggirare gli strumenti di rilevamento delle minacce tradizionali sfruttando le debolezze insite nelle reti moderne. Le infiltrazioni, tuttavia, non portano necessariamente al furto di dati o ad altre forme di danno al business, soprattutto se le organizzazioni diventano abili ed efficaci nel rilevare e rispondere agli attacchi.
Rilevare gli attacchi, prima che si traducano in danni, richiede ai team di sicurezza di ridurre il ricorso a forme passive di rilevamento delle minacce, come ad es. strumenti di scansione basati su signature. I Security Team devono invece costantemente e attivamente dare la caccia agli intrusi ricercando nell’ambiente IT i deboli segnali di attività pericolose o sospette. Ma per riuscire ad identificare questi primi segnali alle organizzazioni viene richiesto di adottare una nuova modalità di analisi dei dati e di risposta agli incidenti.
Quali difficoltà incontrano le aziende?
Adottare nuove capacità può essere proibitivo e difficile per le squadre di sicurezza in affanno per la mancanza di personale e sopraffatte dalla mole sempre in espansione di applicazioni, infrastrutture e minacce. La sfida che devono affrontare è quella relativa alla prioritizzazione dei problemi, tenuto conto dei vincoli esistenti e dovendo distinguere le minacce più rilevanti dalla miriade di minacce presenti oggi.
Quale approccio consigliate?
Le sfide attuali vengono ben indirizzate dall’approccio Intelligence Driven Security, la strategia di sicurezza che offre visibilità su quanto accade nell’infrastruttura IT, con approfondimenti analitici e azioni correttive necessarie a supportare le organizzazioni nella mitigazione del rischio nel mondo digitale. L’Intelligence Driven Security migliora la velocità e l’efficacia nel rilevamento delle minacce/cyber attacchi, e la capacità di risposta tramite:
- possibilità di avere visibilità sulle attività digitali: Log, rete ed End-Point
- analisi avanzate su diverse fonti di dati per scoprire le minacce nascoste e per adottare le risposte più efficaci
- detection di malware signature less sia sulla rete che sugli endpoint
- responsabilizzazione dei team di sicurezza per potenziarne l’efficacia: definizione di processi efficienti, workflow automatici, Threat Intelligence e formazione.
L’approccio Intelligence Driven Security prevede l’evoluzione delle organizzazioni in quattro aree:
- Monitoraggio della rete e degli endpoint costante e globale: acquisizione in modalità full-packet e rilevamento delle minacce basato sul comportamento dei sistemi.
- Tecniche di analisi avanzate in grado di vagliare grandi quantità d’informazioni, come ad es. il traffico di rete, in tempo quasi reale per individuare comportamenti sospetti e accelerare le investigazioni.
- Analisi dei malware utilizzando metodi non basati su firma ma sul comportamento effettivo di eseguibili, per rilevare attività ostili e malevoli.
- Procedure di Rilevamento e Risposta ad incidenti che allineano persone, processi e tecnologie per semplificare e accelerare i flussi di lavoro. Così i team di sicurezza possono dedicare più tempo alla difesa degli asset ad alta priorità e contro le minacce più rischiose.
Come vedete la situazione attuale in Italia sul fronte delle capacità di risposta delle aziende?
Negli ultimi tre anni, in tema di “Threat Detection” e “Incident Response” , RSA ha investito molto tempo e risorse nell’educare e comunicare a tutte le organizzazioni quanto fosse importante adottare una strategia di tipo Intelligence Driven Security. Molte aziende, in diversi settori di mercato, hanno già avviato un processo di cambiamento che le ha portate all’introduzione di capacità competitive e organizzative che le renderanno meno attrattive per gli attaccanti. Sono diventate altresì punti di riferimento in ambito Cyber Security per l’innovazione e la capacità di mitigazione dei rischi. Parlando di grandi aziende e pubbliche amministrazioni, la complessità organizzativa è l’ostacolo principale nell’adozione di modelli innovativi le cui tempistiche di realizzazione diventano molto lunghe. Alcune di queste grandi organizzazioni sono riuscite a superare l’ostacolo gestendo la minaccia Cyber al pari degli altri rischi aziendali (Enterprise Risk Management).
La media azienda, essendo meno complessa, ha maggiore flessibilità in termini temporali ma, di contro, le limitate risorse economiche ne pregiudicano lo sviluppo. In questo caso i Security Provider possono sicuramente supportare le organizzazioni sui temi più tecnologici, consentendo alle limitate risorse aziendali di concentrarsi sul miglioramento dei processi e sulle attività di formazione in ambito Cyber. Molte organizzazioni hanno già intrapreso un percorso misto, affiancando al modello “tradizionale” di gestione della Security alcuni elementi del modello Intelligence Driven come ad esempio il monitoraggio della rete e degli endpoint, le procedure di rilevamento e risposta agli incidenti e le tecniche di analisi avanzate per poi far migrare le capacità e le risorse dal vecchio al nuovo modello.