Trace Id is missing

CISO Insider: Problema 2

 Una donna che consulta il tablet in un deposito industriale

L'economia del crimine informatico sta alimentando un rapido aumento di attacchi sofisticati. In questo problema, scopriamo cosa stanno riscontrando i CISO in prima linea.

Lettera di Rob

Ti diamo il benvenuto al secondo problema di CISO Insider. Sono Rob Lefferts, responsabile del team di sviluppo di Microsoft 365 Defender e Sentinel. Noi di Microsoft Security dialoghiamo continuamente con i nostri clienti mentre navigano in un contesto di sicurezza sempre più complicato. Abbiamo progettato CISO Insider in modo che sia un mezzo per condividere i consigli che abbiamo raccolto dai tuoi colleghi e dalle nostre ricerche di settore. In questo secondo problema, continuiamo a parlare delle vulnerabilità riscontrate nel primo problema, dando informazioni più approfondite sull'estorsione informatica e sulle pratiche che stanno attuando i leader della sicurezza per contenere questi attacchi laterali con un'interruzione minima delle attività e del lavoro del team addetto alla sicurezza.

Nel Problema 1, abbiamo parlato delle tre preoccupazioni principali dei CISO: adattarsi alle tendenze relative alle minacce emergenti in un ambiente multi-cloud ibrido; gestire le minacce alla catena di approvvigionamento; far fronte alla carenza di talenti nel campo della sicurezza. In questo problema, analizzeremo più da vicino questa tempesta perfetta di fattori di rischio informatico e vedremo come le organizzazioni stanno migliorando le loro tattiche per disinnescare le crescenti minacce. Per prima cosa, esaminiamo il mutevole profilo di rischio dei ransomware e le procedure consigliate che possono aiutare a prevenire queste e altre violazioni che si diffondono lateralmente nella rete. Poi vediamo due risorse chiave che sono fondamentali non solo per prevenire una violazione, ma anche per rispondere rapidamente in quei primi momenti critici: le funzionalità di rilevamento e reazione estese (XDR) e l'automazione. Queste risorse fanno fronte alle vulnerabilità trattate nel Problema 1: i confini di identità e sicurezza estesi delle reti di oggi tra ecosistemi di fornitura e lavoro ibrido, e la carenza di risorse umane per il monitoraggio e la risposta a tali minacce.

L'economia del crimine informatico sta dando agli hacker comuni la possibilità di accedere a strumenti migliori e l'automazione necessaria per rafforzare gli attacchi e ridurre i costi. Se combinati all'economia degli attacchi riusciti, i ransomware crescono rapidamente (Report sulla difesa digitale Microsoft, 2021). Gli utenti malintenzionati hanno alzato l'asticella adottando il modello della doppia estorsione: prima si chiede un riscatto a una vittima, poi potrebbero essere pubblicati i suoi dati rubati. Abbiamo riscontrato anche un aumento di attacchi contro le risorse di tecnologia operativa per interrompere l'infrastruttura critica. A seconda del settore in cui operano e del loro livello di preparazione, i CISO non hanno un'opinione unanime sugli effetti più catastrofici per l'attività, ovvero l'interruzione delle operazioni o l'esposizione dei dati. In entrambi i casi, la chiave è la gestione del rischio su questi due fronti. Oltre alle tattiche di mitigazione, metodi preventivi efficaci come una maggiore sicurezza degli endpoint, protezione delle identità e crittografia sono essenziali data la frequenza e la gravità di questi attacchi.

I CISO stanno pensando in modo più strategico a come far fronte ai rischi di ransomware.

Gli utenti malintenzionati che sfruttano ransomware prendono di mira le risorse più preziose dalle quali pensano di poter estorcere più denaro, essendo le più dannose per le vittime o le più vantaggiose per gli hacker se tenute in ostaggio o le più sensibili se divulgate.

Il settore è un fattore determinante del profilo di rischio di un'organizzazione: mentre i leader della produzione indicano l'interruzione delle attività come preoccupazione principale, i CISO dei servizi di vendita al dettaglio e finanziari danno la priorità alla protezione delle informazioni personali degli utenti; le organizzazioni sanitarie, invece, sono ugualmente vulnerabili su entrambi i fronti. Nella risposta, i leader della sicurezza stanno adottando un approccio più aggressivo per impedire la perdita e l'esposizione dei dati rafforzando il perimetro della rete, effettuando backup dei dati critici, implementando sistemi ridondanti e una crittografia più avanzata.

L'interruzione delle attività ora è una priorità per molti leader. Le aziende sostengono dei costi anche se l'interruzione è breve. Un CISO del settore sanitario di recente mi ha detto che, a livello operativo, il ransomware non è stato diverso da un grande blackout. Un adeguato sistema di backup può aiutare a ripristinare l'alimentazione rapidamente, ma ci sarà comunque del tempo di inattività. Un altro CISO ha dichiarato di pensare a come l'interruzione può andare oltre la rete aziendale principale causando preoccupazioni di carattere operativo, come problemi di pipeline o l'effetto secondario dell'arresto dei fornitori chiave dovuto ai ransomware.

Le tattiche di gestione dell'interruzione includono sistemi ridondanti e segmentazione per ridurre al minimo il tempo di inattività, consentendo all'organizzazione di veicolare il traffico in una parte diversa della rete mentre si contiene e si ripristina un segmento infettato. Tuttavia, nemmeno i processi di backup e ripristino di emergenza più avanzati riescono a risolvere del tutto la minaccia dell'interruzione delle attività o dell'esposizione dei dati. Il rovescio della medaglia della mitigazione è la prevenzione.

Ecco alcuni consigli per proteggere la tua organizzazione dal ransomware:

  • Prepara tutto il necessario per la protezione e il recupero dei dati. Adotta una cultura interna di Zero Trust con ipotesi di violazione, distribuendo al contempo un sistema di recupero dei dati, backup e accesso sicuro. Molti leader della sicurezza hanno già integrato la fase cruciale della mitigazione dell'impatto di un attacco tramite backup e crittografia, che possono aiutare a proteggere dalla perdita e dall'esposizione dei dati. È importante schermare questi backup dalla cancellazione consapevole o dalla crittografia di un utente malintenzionato designando cartelle protette. Con un piano di continuità aziendale/ripristino di emergenza (BC/DR) in atto, il team può rendere rapidamente offline i sistemi colpiti e interrompere l'avanzamento dell'attacco, ripristinando le operazioni con tempi di inattività minimi. Zero Trust e accesso sicuro aiutano un'organizzazione nella protezione e nel recupero dei dati isolando l'attacco e rendendo molto più difficili gli spostamenti laterali nella rete per gli utenti malintenzionati.
  •  Proteggi l'identità dalla compromissione. Riduci al minimo il potenziale furto di credenziali e spostamento laterale con l'implementazione di una strategia di accesso privilegiato. Un passaggio importante nella difesa dai ransomware consiste in un controllo completo delle credenziali di rete dell'organizzazione. Le credenziali privilegiate sono alla base di tutte le garanzie di sicurezza; un utente malintenzionato che controlla i tuoi account privilegiati può compromettere tutte le altre garanzie di sicurezza. La strategia consigliata di Microsoft prevede la creazione progressiva di un sistema "a ciclo chiuso" per l'accesso privilegiato, che garantisce che solo i dispositivi, gli account e i sistemi intermediari "puliti" affidabili possano essere usati per l'accesso privilegiato ai sistemi sensibili aziendali. La strategia consigliata di Microsoft prevede la creazione progressiva di un sistema "a ciclo chiuso" per l'accesso privilegiato, che garantisce che solo i dispositivi, gli account e i sistemi intermediari "puliti" affidabili possano essere usati per l'accesso privilegiato ai sistemi sensibili aziendali.
  •  Previeni, rileva e rispondi alle minacce. Proteggi il sistema dalle minacce in tutti i carichi di lavoro sfruttando funzionalità di rilevamento e risposta alle minacce integrato e completo. Le singole soluzioni separate spesso implicano lacune preventive e rallentano il rilevamento e la risposta alle attività precedenti al riscatto. Microsoft offre un insieme di funzionalità SIEM e XDR per fornire una soluzione di protezione dalle minacce completa che garantisca il massimo livello di prevenzione, rilevamento e risposta nel tuo intero patrimonio digitale multipiattaforma multi-cloud.

Queste tre procedure consigliate si intrecciano formando una strategia di sicurezza completa, con una gestione integrata di dati, identità e reti basata su un approccio Zero Trust. Per molte organizzazioni, l'implementazione di Zero Trust comporta una più ampia trasformazione della sicurezza. Mentre la maggior parte dei leader della sicurezza sta passando a Zero Trust, alcuni hanno espresso delle preoccupazioni sull'attuazione della segmentazione del sistema: temono infatti che la rapida adozione di un ambiente segmentato possa interrompere eccessivamente la produttività del team di sicurezza o dei dipendenti.

Ogni organizzazione ha le proprie esigenze, ma vorrei precisare che è possibile ottenere il meglio sia a livello di accesso che a livello di sicurezza. La segmentazione non deve compromettere la produttività. Questo è evidente soprattutto quando le organizzazioni combinano la gestione delle identità con operazioni di trasformazione della sicurezza, come l'implementazione dell'autenticazione senza password, in modo che gli utenti non debbano interrompere le loro attività a causa di numerosi passaggi di accesso. Bret Arsenault, CISO di Microsoft, spiega come l'autenticazione senza password facilita la sicurezza: "Proteggere i dispositivi è importante, ma non è sufficiente. Dovremmo concentrarci anche sulla protezione degli utenti. Possiamo migliorare l'esperienza e la sicurezza trasformando l'utente in una password." Le credenziali rubate sono il punto di ingresso per la maggior parte degli attacchi (ad esempio, più dell'80% delle violazioni delle applicazioni Web sono state causate da credenziali rubate secondo il Data Breach Investigation Report (DBIR) di Verizon del 2022) quindi l'autenticazione senza password aiuta a colmare anche questa lacuna della sicurezza critica.

"Proteggere i dispositivi è importante, ma non è sufficiente. Dovremmo concentrarci anche sulla protezione degli utenti. Possiamo migliorare l'esperienza e la sicurezza trasformando l'utente in una password."
– Bret Arsenault, CISO di Microsoft

Un approccio completo ai ransomware richiede strumenti straordinari

Molti dei CISO con cui ho parlato stanno attuando un approccio a 360 gradi per la prevenzione e il rilevamento degli attacchi, utilizzando livelli di soluzioni di fornitori che includono test della vulnerabilità, test del perimetro, monitoraggio automatizzato, sicurezza degli endpoint, protezione delle identità e così via. Per alcuni, si tratta di ridondanza intenzionale, sperando che un approccio su più livelli possa colmare qualsiasi lacuna, come nel modello di linearità complessa (o Swiss Cheese model).

La nostra esperienza ha mostrato che questa diversità può complicare i metodi di risoluzione, con una conseguente esposizione ai rischi potenzialmente maggiore. Come sottolinea un CISO, il lato negativo dell'assemblare più soluzioni è una mancanza di visibilità dovuta alla frammentazione: "Utilizzo un approccio all'avanguardia, che presenta alcune difficoltà perché si ottengono pochi dati analitici sui rischi aggregati visto che sono presenti queste console indipendenti per gestire le minacce e non si ha una panoramica di tutto ciò che succede nel sistema" (settore sanitario, 1100 dipendenti). Con utenti malintenzionati che creano una complessa rete che si estende in più soluzioni disparate, può essere difficile ottenere un quadro completo della kill chain, valutare l'impatto della compromissione ed estirpare completamente eventuali payload di malware. Bloccare un attacco in corso richiede la capacità di considerare più vettori per rilevare, impedire e contenere/trovare una soluzione per gli attacchi in tempo reale.

I risultati

Una soluzione completa integrata ti consente di gestire le vulnerabilità in modo da poter ridurre la superficie di attacco e distinguere i segnali critici dal rumore. Questa semplicità è cruciale per le organizzazioni che hanno difficoltà a distinguere una minaccia reale dal flusso continuo di avvisi e falsi positivi.

Proteggere il sistema da ransomware e altri attacchi sofisticati con le funzionalità XDR

Molti leader della sicurezza stanno passando alle funzionalità di rilevamento e reazione estese (XDR) per i loro vantaggi multipiattaforma. Le funzionalità XDR aiutano a coordinare i segnali nell'intero ecosistema, non nei singoli endpoint, per facilitare un rilevamento e una risposta più rapidi per le minacce sofisticate.

Le funzionalità XDR sono simili a quelle di rilevamento e reazione dagli endpoint (EDR) ma hanno una portata più ampia, estendendo il rilevamento delle minacce alla sicurezza e la risposta agli incidenti nell'intero ambiente digitale (identità, infrastruttura, app, dati, reti, cloud e così via). Questo ampio ambito è fondamentale visto che gli attacchi moderni sono sempre più sofisticati e sfruttano l'ambiente distribuito e complesso di oggi per spostarsi lateralmente tra i vari domini. Gli attacchi prediligono sempre di più un approccio non lineare, muovendosi lateralmente tra diversi cloud, email, applicazioni SaaS e così via.

Le funzionalità XDR ti consentono di raccogliere i dati di tutti i tuoi sistemi disparati per mostrarti l'intero incidente. Le soluzioni singole possono rendere difficile questa visibilità completa perché mostrano solo una parte dell'attacco e si basano su un team di sicurezza spesso oberato per correlare manualmente più segnali di minaccia da diversi portali. Infine, trovare una soluzione definitiva per una minaccia può richiedere tempo e, in alcuni casi, potrebbe perfino essere impossibile

Fare il salto da EDR a XDR

Nella maggior parte dei casi, la promessa delle funzionalità XDR non si realizza. Molti dei CISO intervistati hanno implementato un punto iniziale efficace in EDR. EDR è una risorsa comprovata: abbiamo visto che gli utenti che si avvalgono di rilevamento e reazione dagli endpoint hanno una lunga esperienza nel rilevare e arrestare i ransomware più velocemente.

Tuttavia, dal momento che XDR è un'evoluzione di EDR, alcuni CISO sono scettici riguardo l'utilità di XDR. XDR non è altro che EDR con qualche soluzione singola in più? Devo davvero usare una soluzione completamente separata? O EDR può offrirmi le stesse funzionalità? Il mercato attuale delle soluzioni XDR genera ulteriore confusione man mano che i fornitori fanno a gara per aggiungere offerte di XDR ai loro portafogli di prodotti. Alcuni fornitori stanno ampliando il proprio strumento EDR in modo da incorporare dati aggiuntivi sulle minacce, mentre altri sono più concentrati sulla creazione di piattaforme XDR dedicate. Queste sono progettate per garantire un'integrazione predefinita e funzionalità basate sulle esigenze dell'analista della sicurezza, riducendo al minimo le lacune di cui deve occuparsi manualmente il team.

I risultati

XDR è così efficace nell'ambiente di sicurezza odierno grazie alla sua copertura e velocità nel rilevare e contenere le minacce. Man mano che ransomware e altri attacchi diventano sempre più comuni (uno degli intervistati ha dichiarato che la propria organizzazione subisce attacchi in media *ogni giorno*), i leader della sicurezza considerano l'automazione uno strumento critico, offrendo un monitoraggio 24/7 e una risposta quasi in tempo reale.

Usare l'automazione per aumentare l'impatto del team

Dovendo far fronte a una carenza di talenti nel campo della sicurezza e alla necessità di rispondere rapidamente per contenere le minacce, abbiamo incoraggiato i leader a impiegare l'automazione per permettere ai dipendenti di concentrarsi sulla difesa dalle minacce più pericolose, anziché occuparsi di attività di routine come la reimpostazione delle password. Curiosamente, molti dei leader della sicurezza con cui ho parlato affermano di non sfruttare ancora appieno le funzionalità automatizzate. In alcuni casi, i leader della sicurezza non conoscono tutte le opportunità a loro disposizione; alcuni esitano a introdurre l'automazione per paura di perdere il controllo, ottenere dati imprecisi o sacrificare la visibilità sulle minacce. Quest'ultima è una preoccupazione più che legittima. Tuttavia, stiamo osservando che chi adotta un'automazione efficace ottiene l'esatto opposto (più controllo, meno falsi positivi, meno rumore e più dati analitici), aggiungendo l'automazione al lavoro del team addetto alla sicurezza per guidare e concentrare gli sforzi del team.

L'automazione copre una serie di funzionalità, dalle attività amministrative automatizzate di base alla valutazione dei rischi basata sull'apprendimento automatico intelligente. La maggior parte dei CISO afferma di adottare l'automazione basata su eventi o regole, ma alcuni si avvalgono delle funzionalità di apprendimento automatico e intelligenza artificiale integrate che aiutano a prendere decisioni relative all'accesso basate sul rischio in tempo reale. Sicuramente, l'automazione delle attività di routine lascia al team della sicurezza il tempo di concentrarsi su aspetti più strategici che gli esseri umani svolgono al meglio. Ma è proprio in questo ambito strategico (nella valutazione della risposta agli incidenti, per fare solo un esempio) che l'automazione ha il massimo potenziale per supportare il team della sicurezza come partner intelligente per data crunching e criteri di ricerca. Ad esempio, l'IA e l'automazione sono eccezionali nel correlare i segnali di sicurezza per supportare il rilevamento e la risposta completi in caso di violazione. Circa la metà dei professionisti della sicurezza intervistati di recente dice di dover correlare manualmente i segnali.1   Questa attività richiede tantissimo tempo e rende quasi impossibile rispondere rapidamente per contenere un attacco. Con la giusta applicazione di automazione (come la correlazione dei segnali di sicurezza), gli attacchi spesso possono essere rilevati quasi in tempo reale.

"Abbiamo bisogno dell'IA perché abbiamo margini di profitto limitati e non possiamo assumere troppe persone." 
– Ristorante/ospitalità, 6.ooo dipendenti

Abbiamo scoperto che molti team della sicurezza non si avvalgono completamente dell'automazione integrata nelle soluzioni che già usano. In molti casi, l'applicazione dell'automazione è facile (ed efficace!) come la configurazione delle funzionalità disponibili come la sostituzione di criteri di accesso basati su regole fisse con criteri di accesso condizionale basati sul rischio, la creazione di playbook di risposta e così via.

I CISO che scelgono di rinunciare alle opportunità dell'automazione spesso lo fanno per mancanza di fiducia, temendo che il sistema possa commettere errori irrecuperabili senza supervisione umana. Alcuni dei potenziali scenari includono un sistema che elimina erroneamente i dati degli utenti, infastidisce un dirigente che deve accedere al sistema, o peggio, causa una perdita di controllo o visibilità riguardo una vulnerabilità che è stata sfruttata.

"Quando cerchiamo di attuare operazioni automatiche, a volte ho paura di sovrascrivere qualcosa, non so bene cosa sarà recuperato, cosa ha causato questa operazione..." 
– Servizi finanziari, 1125 dipendenti

La sicurezza tende ad essere un equilibrio tra piccoli inconvenienti quotidiani e la costante minaccia di un attacco catastrofico. L'automazione ha il potenziale di fungere da sistema di avvisi tempestivi per un attacco di questo tipo e i suoi inconvenienti possono essere ridotti o eliminati. Inoltre, l'automazione viene affiancata da operatori umani, l'intelligenza artificiale può essere informata e controllata dall'intelligenza umana.

Per garantire una distribuzione senza problemi, abbiamo aggiunto modalità di solo report alle nostre soluzioni per offrire una versione di valutazione prima dell'implementazione. In questo modo, il team della sicurezza può implementare l'automazione con i propri tempi, perfezionando le regole di automazione e monitorando le prestazioni degli strumenti automatizzati.

I leader della sicurezza che usano l'automazione più efficacemente la forniscono al team per colmare le lacune e fungere da prima linea di difesa. Come un CISO mi ha detto di recente, è quasi impossibile ed eccessivamente costoso avere un team della sicurezza concentrato sempre su tutto, e anche se fosse possibile, i team della sicurezza sono caratterizzati da frequenti turnover. L'automazione fornisce un livello di continuità e coerenza sempre disponibile per supportare il team della sicurezza in aree che richiedono tale coerenza, ad esempio il monitoraggio del traffico e i sistemi di avvisi tempestivi. Utilizzata per fornire supporto in questo senso, l'automazione consente di liberare il team dal controllo manuale di registri e sistemi permettendogli di essere più proattivo. L'automazione non sostituisce le persone: si tratta di strumenti che aiutano le persone a classificare in ordine di priorità gli avvisi e a concentrare i propri sforzi nelle attività più importanti.

I risultati
La strategia di difesa più efficace combina l'IA e gli strumenti automatizzati con la vigilanza e la risposta tattica più articolate di un team addetto alla sicurezza. Oltre ai vantaggi immediati del portare a termine le attività e dell'agire rapidamente per contenere un attacco, l'automazione consente al team di gestire il tempo e coordinare le risorse con maggiore efficacia, in modo da dedicarsi alle attività di analisi e correzione di ordine superiore.

Tutte le ricerche Microsoft citate si avvalgono di società di ricerca indipendenti per contattare professionisti della sicurezza per studi quantitativi e qualitativi, garantendo rispetto della privacy e rigore analitico. Le citazioni e i risultati inclusi in questo documento, se non diversamente specificato, sono tratti da studi di ricerca Microsoft.

  1. [1]

    Studio di ricerca Microsoft del 2021 su CISO e professionisti della sicurezza

Articoli correlati

Problema 1 di CISO Insider

Esplora l'attuale panorama delle minacce con un'analisi esclusiva e consigli da parte di leader della sicurezza.

Cyber Signals: Problema 1

L'identità è il nuovo campo di battaglia. Ottieni informazioni dettagliate sulle minacce informatiche in continua evoluzione e su quali passaggi compiere per proteggere meglio la tua organizzazione.

Problema 2 Cyber Signals: Economia basata sull'estorsione

Ascolta gli esperti sul campo sullo sviluppo di ransomware come servizio. Dai programmi e i payload ai broker di accesso e affiliati, scopri gli strumenti, le tattiche e i target preferiti dai criminali informatici e ottieni indicazioni su come proteggere la tua organizzazione.