top of page
Cerca

The perimeter is dead. Assolda un cecchino!

Negli ultimi due decenni, la superficie di attacco si è evoluta notevolmente e lo stack di CyberSecurity non è riuscito a tenerne il passo. Gli attaccanti sfruttano le vulnerabilità note prima ancora che i team di CyberSecurity si rendano conto che sono a rischio. Senza una visibilità continua ed immediata delle minacce guidata dall’intelligence sulle minacce, questo diventa un punto di piaga per le organizzazioni : diventa così imprescindibile una continua verifica della Attack Surface e della CyberSecurity Hygiene.

Gli avversari si evolvono nel cyberspazio. Ogni secondo, una moltitudine di attacchi diventano un’arma contro reti e applicazioni in tutto il mondo. Gli avversari sono alla ricerca di una porta aperta, tentano di accedere a risorse aziendali preziose e rubano dati da reti compromesse. È l’equivalente Cyber del campo di battaglia.

Oggi, le organizzazioni devono affrontare gli effetti della digitalizzazione, delle esigenze aziendali e delle superfici di attacco (#attacksurface) in continua evoluzione. Questa digitalizzazione è stata forzata ed accelerata dalle recenti vicissitudini provocate dal Covid-19. Questa digitalizzazione forzata ha portato gli effetti che erano stati indicati all’inizio dell’anno. Un esponenziale aumento degli attacchi informatici alle aziende. Ma i Data Breach noti rappresentano solo la punta di un iceberg. La gran parte di quelli sommersi rappresentano attacchi alla reputazione aziendale che ha costretto le vittime ad un silente pagamento del ransomware al fine di non avere danni peggiori a seguito di esposizione dei dati. Oggi le aziende adottano per la loro sicurezza prodotti incentranti sul riconoscimento di vulnerabilità note o di loro possibili mutazioni, ma non riescono a far fronte all’evoluzione ed alla creazione di continui zero day che causano danni incalcolabili. Questa metodologia crea molti errori che produce risultati indesiderati o che provoca il comportamento involontario dell’infrastruttura di sicurezza, come interruzione di servizi. Tali difetti di sicurezza sorgono perché gli attuali strumenti sono progettati e implementati con presupposti umani. Trovare e analizzare le lacune è estremamente difficile. Anche i migliori team di sicurezza che utilizzano gli strumenti più sofisticati non sono in grado di trovare tutti i possibili difetti o contestualizzare le azioni degli avversari.

Come in guerra, non hai la possibilità di scegliere il tuo nemico e le condizioni di combattimento, ma puoi scegliere bene la tua arma. Nell’ultimo decennio, gli approcci tradizionali hanno richiesto molto tempo e presupposti e non sono stati allineati nel giusto contesto di sicurezza. È essenziale sviluppare tecniche e tattiche difensive che consentano misure difensive autentiche, con la capacità di reagire in modo efficace e autonomo anche quando si verificano attacchi informatici totalmente sconosciuti.

Non ci sono minacce inattive: mutano in continuazione

Mentre la moderna kill-chain si evolve, è ovvio che le organizzazioni devono essere in grado di collegare il nuovo contesto utilizzato dalle minacce, prestando attenzione ai rischi aziendali e all’impatto in tempo reale mentre le minacce si verificano. Gli attacchi sono spesso orchestrati attraverso Comand & Control Cloud dotate di IA al fine di modificare il loro comportamento eludendo tutti gli strumenti fino ad oggi adottati. Possono anche colpire simultaneamente un numero crescente di applicazioni critiche.

Negli attacchi mirati effettuati dai criminali informatici vengono utilizzate misure precauzionali a proprio vantaggio. Queste tecniche sono progettate per nascondere i loro obiettivi e per rimanere inosservati nella rete fino a quando non raggiungono il loro scopo. Quest’ultimo è quello di esfiltrare dati che verranno usati come leva per la richiesta di riscatto.

Anche se in qualche modo vengono rilevati in alcuni dei loro passaggi durante le loro attività, è stato osservato che questi attacchi mirati si diffondono lateralmente pulendo le loro tracce e rendendo difficoltoso se non addirittura vano l’attività dei team di thread intelligence o CyberSecurity. Questi team infatti lavorano sulla kill-chain dell’attacco identificando il playbook dell’attaccante, che non è esclusivo nel singolo attacco. Ciò significa che l’avversario spesso riutilizza gli stessi payload con piccole modifiche che prendono di mira un’altra vittima con un’altra campagna oppure rimangono persistenti all’interno della stessa azienda totalmente nascosti continuando la loro fase di attacco iniziale.

Ecco il limite che i modelli di CyberSecurity basati su IA o CyberSecurity Team non riescono a risolvere.

I soliti sospetti

Negli ultimi due decenni, la superficie di attacco si è evoluta notevolmente e lo stack di CyberSecurity non è riuscito a tenerne il passo.

Nuove risorse si aggiungono regolarmente all’interno di una azienda e cambiano lo stato di Cyber Hygiene. Inoltre, le vulnerabilità sono aumentate nel 2019, da 9.837 a 16.500, dimostrando che esiste anche un’ulteriore sfida per una maggiore diversità degli attacchi. Con l’ascesa di strumenti di attacco nuovi e sofisticati, le organizzazioni devono ora far fronte a più profili di minaccia che possono influire rapidamente sulla loro reputazione e sui risultati economici. Per aggiungere la beffa al danno, gli attuali metodi di CyberSecurity non sono consapevoli del rischio e questo significa fondamentalmente che gli attuali strumenti sprecano la maggior parte del loro tempo a riparare problemi di sicurezza irrilevanti che non rappresentano alcun rischio per l’azienda.

Secondo molti team di analisti forensi l’attacco medio ha un vantaggio di 7 giorni rispetto ai team di CyberSecurity. Gli attaccanti sfruttano le vulnerabilità note prima ancora che i team di CyberSecurity si rendano conto che sono a rischio.

Senza una visibilità continua ed immediata delle minacce guidata dall’intelligence sulle minacce, questo diventa un punto di piaga per le organizzazioni. Se non sai dove i tuoi controlli sono vulnerabili o configurati in modo errato, stai essenzialmente dando agli attaccanti l’opportunità di fare la prima mossa a loro vantaggio.

Approccio integrato guidato dalle minacce

A nessuno si può garantire che la sicurezza al 100% esista in modo inequivocabile contro le minacce dovute alle mutevoli dinamiche del campo di gioco, ma un approccio alla sicurezza incentrato sulle minacce è la cosa migliore. Diminuire la superficie di attacco vuole dire aumentare il costo ed il tempo di un possibile attaccante portandolo a desistere.

Un altro punto da considerare è che il panorama delle minacce e la deriva ambientale sono in uno stato di flusso costante. Gli approcci di sicurezza stratificati e singolari non aiutano a identificare il comportamento dell’aggressore.

Priorità ai rischi imminenti

È difficile isolare il segnale dal rumore. Le organizzazioni hanno lottato con molti avvisi, strumenti sottoutilizzati, falsi positivi e strumenti che creano problemi di blocchi operativi.

La verifica continua della Attack Surface e della tua CyberSecurity Hygiene è il modo più efficace per valutare l’efficienza dei tuoi controlli simulando che il tuo stack di sicurezza è attivo e funzionante contro i campioni di minacce più rilevanti in circolazione.

Questo approccio rivelerà quando nuovi vettori di attacco e nuovi metodi minacciano l’intero patrimonio aziendale. Con questi mezzi, un CISO può comunicare una situazione coerente sullo stato di rischio alla C-Suite e con la certezza di delineare in modo chiaro i passi successivi. In questo modo strumenti di simulazione di attacchi e violazioni forniscono una piattaforma di analisi incentrata sulle minacce per aiutare a valutare più rapidamente gli strumenti di sicurezza esistenti per generare report accurati su minacce e comportamenti avversi (TTP – Tactics, Techniques and Procedures) attraverso ambienti cloud e on-premise, utilizzando approccio agnostico che funziona ovunque, sempre.

Possiamo determinare la CYBER SECURITY concentrandoci sull’efficacia?

TAG company si avvale di partner con una lunga esperienza nel campo della CyberSecurity ed Intelligence. Attraverso questi partner siamo in grado di fornire servizio di tipo “Bodyguard” alle aziende dove andiamo ad unire due domini estremamente importanti: Cyber Intelligence e Cyber Defence.

Con la Cyber Intelligence siamo in grado di verificare tutti gli asset del cliente con un monitoraggio continuo. Per asset intendiamo non solo Server, client o apparecchiature di rete, ma tutta l’intera superficie di attacco (#attacksurface) comprendendo applicazioni (review codice statico e dinamico), IoT (geolocalizzazione etc.), dipendenti, documenti, social, DeepWeb, DarkWeb, Forum Hacker privati, Telegram, Tor etc.

Tutta questa parte permette al cliente di avere un suo preciso posizionamento del Cyber rischio e della sua reputazione.

Il secondo dominio è la Cyber Defence. Team diversi, multilingue di Hacking offensivo che sfrutteranno qualsiasi leva per entrare nel perimetro, esfiltrare dati ed utilizzare ogni possibile vulnerabilità al fine di documentare come è stato possibile e come porvi rimedio.

Un test continuo in modalità black box che non farà altro che dare continua verifica dello stato dell’arte (SOW).


Comments


bottom of page