La business continuity inizia da una solida sicurezza

Un’analisi di Fortinet evidenzia come la security automation costituisca una strategia efficace per garantirsi la business continuity

 

L’emergenza sanitaria legata al COVID-19 non sta rallentando l’operato dei cybercriminali, che continuano a intensificare gli sforzi per trarre vantaggio da questa situazione.

Fortinet ha condotto un’analisi approfondita della tematica da cui si possono trarre  spunti utili a garantire un alto livello di operatività anche lavorando da remoto.

La realtà è che quasi due terzi delle aziende mancavano di personale qualificato per mantenere efficaci le security operations già prima dei recenti avvenimenti. Ora, a causa delle disposizioni in merito al distanziamento sociale, il numero di dipendenti che si occupano di sicurezza risulta ulteriormente ridotto.

In ogni caso i team, già sovraccarichi, sono impegnati nel risolvere una serie di nuove criticità, pur mantenendo costanti i controlli relativi alla sicurezza, anche da remoto.

Anche se in questo momento molte realtà si stanno focalizzando, comprensibilmente, sui problemi di continuità aziendale, come la creazione di soluzioni ad hoc di smart working per i dipendenti, è bene non distogliere lo sguardo dalla sicurezza. Questo aspetto, in particolare, è molto importante per quelle realtà che hanno un ruolo cruciale come gli ospedali e altri fornitori di infrastrutture critiche di primo e secondo livello, che non possono permettersi di sospendere le attività per un periodo di tempo prolungato”, commenta Spiega Antonio Madoglio, Director Systems Engineering Italy di Fortinet.

Per far fronte alle sfide che nascono dall’incremento del rischio e dal personale addetto alla sicurezza ridotto all’osso, suggerisce Fortinet, le aziende possono adottare una strategia di protezione, detection e response automatizzate.

Anche quando si ha a disposizione uno staff completo di professionisti della sicurezza informatica preparati, le minacce sono diventate così sofisticate e il tempo di esecuzione di un attacco è diventato così breve, che l’intervento umano non è più una strategia di sicurezza praticabile.

Automatizzare per proteggere

Automatizzando la protezione le aziende possono disporre  di informazioni in tempo reale relative allo stato della sicurezza che possono aiutare a identificare le minacce e a bloccarle tempestivamente.

La ricerca proattiva delle minacce e la correlazione automatizzata degli eventi possono impedire ai cybercriminali di sfruttare nuove vie di attacco.

Combinando il machine learning con le funzionalità di IA, è possibile esaminare continuamente nuovi file, siti web e infrastrutture di rete.

E’ così possibile identificare i componenti malevoli, oltre a generare in maniera dinamica una nuova threat intelligence che possa consentire alle aziende di prevedere e prevenire anche le future minacce informatiche.

Rilevare e correlare gli eventi

Un altro aspetto da considerare, osserva Fortinet, è che a causa dell’aumento degli attacchi avanzati, le minacce possono diffondersi rapidamente e quindi le reti necessitano di capacità di rilevamento avanzate.

Ciò richiede un’architettura di sicurezza che consenta l’analisi unificata dei dati raccolti da diverse fonti d’informazione, compresi i log, le metriche riguardo alle performance, gli avvisi relativi alla sicurezza e le modifiche di configurazione.

Per la maggior parte delle aziende, tutto questo richiede capacità SIEM (acronimo di Security Information and Event Management), combinate con un motore di correlazione degli eventi distribuito per consentire il rilevamento di schemi di eventi complessi, in modo tale da abilitare una risposta in tempo reale.

I sistemi automatizzati consentono anche di dare priorità ad asset ed eventi, permettendo ai team di identificare rapidamente i problemi più critici che necessitano di un’analisi immediata.

Sfruttare il machine learning dà ai team che si occupano di sicurezza la possibilità di rilevare comportamenti inusuali degli utenti senza richiedere agli amministratori di sistema di scrivere regole complesse.

Le funzionalità EDR (Endpoint Detection and Respopnse) aggiunte ai dispositivi remoti consentono ai sistemi di sicurezza di rilevare e disinnescare le minacce in tempo reale, proteggendo l’endpoint stesso e prevenendo una potenziale violazione.

Un aiuto viene anche dalle nuove tecnologie di security orchestration, automation e response (SOAR), che permettono ai componenti separati tra loro di comunicare e lavorare insieme attuando un coordinamento difensivo per incrementare la visibilità.

Prevenire comporta vantaggi

Quello che si sta affrontando,  osserva Fortinet, può essere un buon momento per una verifica delle pratiche di sicurezza. Possono essere inoltre messi in atto sistemi a prova di guasto, come ad esempio quelli che prevedono di operare in una modalità iniziale di solo monitoraggio per convalidare le risposte, prima di passare a un sistema completamente automatizzato.

I benefici, nota l’azienda, superano di gran lunga i potenziali rischi. L’aggiunta dell’automazione alla strategia di sicurezza aumenta significativamente le possibilità di individuare una violazione o attività dannose, assicura risposte efficaci e tempestive e riduce al minimo i potenziali tempi di inattività dovuti alle violazioni.

Inoltre, consente alle risorse umane di lavorare su attività più impegnative mentre l’automazione delle attività manuali riduce le possibilità di un errore umano.

Aiuta anche a garantire che si continuino a soddisfare i requisiti di conformità durante i periodi in cui avvengono cambiamenti insoliti.