La nuova frontiera nella sicurezza dei servizi gestiti

Uomo e macchina assieme in servizi gestiti garantiscono la sicurezza informatica. Lo spiega F-Secure

 

La diffusione della digitalizzazione e delle smart technology stanno cambiando profondamente la natura stessa delle aziende, indipendentemente dal settore di appartenenza e prodotto fornito al mercato. E’ una trasformazione in chiave digitale che ha in sostanza mutato ogni azienda in una software company, e questo vale ancora di più per le aziende che vendono online.

In quanto tali, tutte indistintamente dovrebbero preoccuparsi di proteggere al meglio i propri asset e le risorse digitali accedute da locale, remoto, via dispositivi mobili o nel cloud.

La realtà di cui va preso atto è che Il panorama delle minacce a cui un ambiente IT o produttivo è sottoposto è profondamente mutato. Attacchi avanzati, spear phishing e violazioni di dati sono all’ordine del giorno, e non più l’eccezione. Serve quindi affrontare queste minacce con nuove tecnologie e crescenti investimenti in risorse di talento. Ma non sempre i budget lo consentono.

E il problema non è solo di budget ma anche di competenze atte a contrastare le minacce. Le previsioni parlano di 3.5 milioni di posizioni nella sicurezza informatica che resteranno vacanti entro il 2021. Nel frattempo, oltre il 67% delle Enterprise globali ha subito una violazione di dati (Fonte: 2018 Thales Data Threat Report).

E, cosa ancor più allarmante, è che molti di questi attacchi si basano su tattiche di attacco avanzato che sono impossibili da rilevare con soluzioni standard anti-malware o di protezione degli endpoint.

Ne consegue che questo panorama minaccioso non può più essere ignorato, soprattutto se si pensa che il costo medio di un data breach si aggira sui 3.62 milioni di dollari, senza considerare i possibili aspetti ed impatti legali dovuti a cause da parte di utenti.

In sostanza, il problema più grande da risolvere riguarda le risorse: non semplicemente i soldi, bensì il tempo e l’esperienza accumulata.

Ed è qui che interviene in aiuto il paradigma dei servizi, come quello sviluppato da F-Secure, L’idea che sta alla base dei servizi di sicurezza gestiti è semplice. La parola “gestiti” significa proprio questo: il servizio è completamente gestito da un partner esterno, che richiede pochissimo input dal team IT interno di un’organizzazione.

“Rilevazione e risposta” (detection and response) si riferisce in un tale contesto innovativo come approccio al modo in cui funziona il servizio.

Inserendo sensori sofisticati su endpoint e reti di un’azienda, una soluzione basata su un servizio abilita rapidamente una visibilità completa in un ambiente IT anche molto ampio e dai confine estesi al mobile e al multicloud.

Quello che ne risulta è una architettura, una soluzione che può rilevare le violazioni analizzando il comportamento, e non gli ovvi segnali di un’attività malevola.

E questo è quello che abbiamo fatto in F-Secure con lo sviluppo dei servizi di sicurezza gestiti MDR, che hanno l’obiettivo precipuo di consentire anche azioni di risposta rapide ed efficaci, supportate dall’automazione o dalle decisioni umane, o da un loro intimo e sinergico connubio

Il fattore uomo – macchina

Una cosa appare evidente: nessun essere umano sarebbe in grado di rilevare da solo le minacce avanzate così come sono andate delineandosi. Queste minacce non danno chiari segnali che qualcosa non va. Gli allarmi del software di endpoint non li rilevano e, ad esempio, la protezione della posta elettronica non cattura le e-mail di phishing sul gateway che le inoltra all’ignaro utente.

L’unico modo per rilevare attacchi come questi è mediante una combinazione di uomo e macchina tramite l’unione di sensori che raccolgono dati rilevanti, l’intelligenza artificiale che processa questi dati e la competenza di risorse esperte che analizzano rilevazioni sospette di violazioni.

In presenza di hacker sempre più agguerriti e che ricorrono a tecniche sofisticate una cosa si può affermare senza timore di smentita: se non stai rilevando incidenti alla tua sicurezza, probabilmente è perché ti stai perdendo qualcosa.

Questo è il messaggio di allarme che come F-Secure lanciamo e che sta alla base della nostra vision di servizio e di connubio uomo-macchina, e come il modo più efficace e rapido per contrastare le minacce tramite un nuovo servizio di rilevazione delle intrusioni e di risposta agli incidenti che permette di scoprire e bloccare al loro insorgere e in tempi utili le minacce presenti sulla rete aziendale.

Un servizio di allarme entro 30 minuti

Il fattore “Tempo” è un punto chiave nella sicurezza. In media le violazioni di dati possono durare settimane, mesi o persino anni prima di essere rilevate. Secondo Gartner, la più grande area di bisogni insoddisfatti è rappresentata proprio da un’efficace rilevazione di attacchi mirati e di violazioni.

Le organizzazioni non riescono ad effettuare diagnosi precoci di una violazione, con oltre il 92% di violazioni che restano nascoste all’organizzazione che è stata colpita.

Inoltre, numerose sono ancora le aziende che si basano solamente sulla difesa perimetrale per proteggere sé stesse, che è sì importante ma solo come parte di una strategia di sicurezza informatica globale. Con attori di minacce avanzate che colpiscono le organizzazioni con attacchi altamente mirati, un tentativo di attacco finirà quasi certamente col superare i controlli di sicurezza e penetrare nella rete.

La capacità nel riuscire a rilevare velocemente le intrusioni e a rispondere in modo immediato è fondamentale, ma però non è semplice da mettere in atto.

E’ a questo vulnus temporale che pone rimedio un servizio gestito come quello sviluppato da F-Secure, che combina il meglio dell’uomo con l’intelligenza delle macchine con la promessa di informare le aziende in soli 30 minuti della rilevazione di una minaccia.

Le aziende che si stanno rendendo conto che da sole fanno realmente fatica a rilevare intrusioni e a rispondere agli incidenti hanno con F-Secure la possibilità di affidarsi a un team di esperti di sicurezza informatica, costruire un’infrastruttura di monitoraggio, e ottenere validi dati per un’efficace intelligence delle minacce.

Creare al proprio interno un sistema appropriato di questo tipo è estremamente difficile e costoso e richiede anni per poterlo fare. Ecco perché ha senso affidarsi a un servizio gestito, che fornisce un immediato e tangibile ritorno sull’investimento.

Il servizio gestito di Rapid Detection & Response

Per scenari del tipo analizzati, in F-Secure abbiamo sviluppato “F-Secure Rapid Detection & Response Service” (RDS), un servizio gestito di rilevamento e risposta ai cyber attacchi mirati.

RDS include sensori leggeri per il rilevamento delle intrusioni per endpoint, reti e server esca distribuiti nell’intera infrastruttura IT. I sensori monitorano le attività avviate dagli attaccanti e trasmettono tutte le informazioni al cloud di F-Secure in tempo reale.

Il servizio basato su cloud ricerca eventuali anomalie nei dati utilizzando una combinazione di tecnologie avanzate, come l’analisi del comportamento in tempo reale, l’analisi dei Big Data e l’analisi della reputazione.

La ricerca delle anomalie procede in due direzioni: comportamenti malevoli noti e sconosciuti. Questo perché l’adozione di tipologie di analisi differenti garantisce il rilevamento degli attaccanti, anche se usano tattiche di evasione progettate per eludere metodi di rilevamento specifici.

Una volta rilevate, le anomalie riscontrate vengono segnalate al team di esperti di sicurezza del Rapid Detection & Response Center di F-Secure che ricercano minacce operando h24 per verificarle e filtrare i falsi positivi.

Il processo di alert è peraltro molto rapido. Quando viene confermato che un’anomalia costituisce una minaccia effettiva, il cliente riceve un avviso entro 30 minuti. Ma non è tutto. Gli esperti di F-Secure propongono contestualmente i passaggi necessari per contrastare e correggere la minaccia. E non ultimo, vengono anche fornite informazioni dettagliate sull’attacco, che possono essere anche utilizzate come prova nell’ambito di procedimenti forensi.

Nei casi più difficili o laddove le risorse IT del cliente non siano disponibili, è poi sempre possibile contare sull’assistenza del servizio di risposta agli incidenti on-site di F-Secure.

Detto semplicemente, RDS incarna una vision di F-Secure orientata al servizio che consente ad una azienda cliente, e ai suoi manager, di dormire sonni tranquilli, potendo contare su un team di altissimo livello per l’identificazione delle minacce al proprio servizio.