CISO Insider: Problema 2

Gli utenti malintenzionati che sfruttano ransomware prendono di mira le risorse più preziose dalle quali pensano di poter estorcere più denaro, essendo le più dannose per le vittime o le più vantaggiose per gli hacker se tenute in ostaggio o le più sensibili se divulgate.

Il settore è un fattore determinante del profilo di rischio di un'organizzazione: mentre i leader della produzione indicano l'interruzione delle attività come preoccupazione principale, i CISO dei servizi di vendita al dettaglio e finanziari danno la priorità alla protezione delle informazioni personali degli utenti; le organizzazioni sanitarie, invece, sono ugualmente vulnerabili su entrambi i fronti. Nella risposta, i leader della sicurezza stanno adottando un approccio più aggressivo per impedire la perdita e l'esposizione dei dati rafforzando il perimetro della rete, effettuando backup dei dati critici, implementando sistemi ridondanti e una crittografia più avanzata.

L'interruzione delle attività ora è una priorità per molti leader. Le aziende sostengono dei costi anche se l'interruzione è breve. Un CISO del settore sanitario di recente mi ha detto che, a livello operativo, il ransomware non è stato diverso da un grande blackout. Un adeguato sistema di backup può aiutare a ripristinare l'alimentazione rapidamente, ma ci sarà comunque del tempo di inattività. Un altro CISO ha dichiarato di pensare a come l'interruzione può andare oltre la rete aziendale principale causando preoccupazioni di carattere operativo, come problemi di pipeline o l'effetto secondario dell'arresto dei fornitori chiave dovuto ai ransomware.

Le tattiche di gestione dell'interruzione includono sistemi ridondanti e segmentazione per ridurre al minimo il tempo di inattività, consentendo all'organizzazione di veicolare il traffico in una parte diversa della rete mentre si contiene e si ripristina un segmento infettato. Tuttavia, nemmeno i processi di backup e ripristino di emergenza più avanzati riescono a risolvere del tutto la minaccia dell'interruzione delle attività o dell'esposizione dei dati. Il rovescio della medaglia della mitigazione è la prevenzione.

Molti dei CISO con cui ho parlato stanno attuando un approccio a 360 gradi per la prevenzione e il rilevamento degli attacchi, utilizzando livelli di soluzioni di fornitori che includono test della vulnerabilità, test del perimetro, monitoraggio automatizzato, sicurezza degli endpoint, protezione delle identità e così via. Per alcuni, si tratta di ridondanza intenzionale, sperando che un approccio su più livelli possa colmare qualsiasi lacuna, come nel modello di linearità complessa (o Swiss Cheese model).

La nostra esperienza ha mostrato che questa diversità può complicare i metodi di risoluzione, con una conseguente esposizione ai rischi potenzialmente maggiore. Come sottolinea un CISO, il lato negativo dell'assemblare più soluzioni è una mancanza di visibilità dovuta alla frammentazione: "Utilizzo un approccio all'avanguardia, che presenta alcune difficoltà perché si ottengono pochi dati analitici sui rischi aggregati visto che sono presenti queste console indipendenti per gestire le minacce e non si ha una panoramica di tutto ciò che succede nel sistema" (settore sanitario, 1100 dipendenti). Con utenti malintenzionati che creano una complessa rete che si estende in più soluzioni disparate, può essere difficile ottenere un quadro completo della kill chain, valutare l'impatto della compromissione ed estirpare completamente eventuali payload di malware. Bloccare un attacco in corso richiede la capacità di considerare più vettori per rilevare, impedire e contenere/trovare una soluzione per gli attacchi in tempo reale.

Nella maggior parte dei casi, la promessa delle funzionalità XDR non si realizza. Molti dei CISO intervistati hanno implementato un punto iniziale efficace in EDR. EDR è una risorsa comprovata: abbiamo visto che gli utenti che si avvalgono di rilevamento e reazione dagli endpoint hanno una lunga esperienza nel rilevare e arrestare i ransomware più velocemente.

Tuttavia, dal momento che XDR è un'evoluzione di EDR, alcuni CISO sono scettici riguardo l'utilità di XDR. XDR non è altro che EDR con qualche soluzione singola in più? Devo davvero usare una soluzione completamente separata? O EDR può offrirmi le stesse funzionalità? Il mercato attuale delle soluzioni XDR genera ulteriore confusione man mano che i fornitori fanno a gara per aggiungere offerte di XDR ai loro portafogli di prodotti. Alcuni fornitori stanno ampliando il proprio strumento EDR in modo da incorporare dati aggiuntivi sulle minacce, mentre altri sono più concentrati sulla creazione di piattaforme XDR dedicate. Queste sono progettate per garantire un'integrazione predefinita e funzionalità basate sulle esigenze dell'analista della sicurezza, riducendo al minimo le lacune di cui deve occuparsi manualmente il team.

Dovendo far fronte a una carenza di talenti nel campo della sicurezza e alla necessità di rispondere rapidamente per contenere le minacce, abbiamo incoraggiato i leader a impiegare l'automazione per permettere ai dipendenti di concentrarsi sulla difesa dalle minacce più pericolose, anziché occuparsi di attività di routine come la reimpostazione delle password. Curiosamente, molti dei leader della sicurezza con cui ho parlato affermano di non sfruttare ancora appieno le funzionalità automatizzate. In alcuni casi, i leader della sicurezza non conoscono tutte le opportunità a loro disposizione; alcuni esitano a introdurre l'automazione per paura di perdere il controllo, ottenere dati imprecisi o sacrificare la visibilità sulle minacce. Quest'ultima è una preoccupazione più che legittima. Tuttavia, stiamo osservando che chi adotta un'automazione efficace ottiene l'esatto opposto (più controllo, meno falsi positivi, meno rumore e più dati analitici), aggiungendo l'automazione al lavoro del team addetto alla sicurezza per guidare e concentrare gli sforzi del team.

L'automazione copre una serie di funzionalità, dalle attività amministrative automatizzate di base alla valutazione dei rischi basata sull'apprendimento automatico intelligente. La maggior parte dei CISO afferma di adottare l'automazione basata su eventi o regole, ma alcuni si avvalgono delle funzionalità di apprendimento automatico e intelligenza artificiale integrate che aiutano a prendere decisioni relative all'accesso basate sul rischio in tempo reale. Sicuramente, l'automazione delle attività di routine lascia al team della sicurezza il tempo di concentrarsi su aspetti più strategici che gli esseri umani svolgono al meglio. Ma è proprio in questo ambito strategico (nella valutazione della risposta agli incidenti, per fare solo un esempio) che l'automazione ha il massimo potenziale per supportare il team della sicurezza come partner intelligente per data crunching e criteri di ricerca. Ad esempio, l'IA e l'automazione sono eccezionali nel correlare i segnali di sicurezza per supportare il rilevamento e la risposta completi in caso di violazione. Circa la metà dei professionisti della sicurezza intervistati di recente dice di dover correlare manualmente i segnali.1   Questa attività richiede tantissimo tempo e rende quasi impossibile rispondere rapidamente per contenere un attacco. Con la giusta applicazione di automazione (come la correlazione dei segnali di sicurezza), gli attacchi spesso possono essere rilevati quasi in tempo reale.

Abbiamo scoperto che molti team della sicurezza non si avvalgono completamente dell'automazione integrata nelle soluzioni che già usano. In molti casi, l'applicazione dell'automazione è facile (ed efficace!) come la configurazione delle funzionalità disponibili come la sostituzione di criteri di accesso basati su regole fisse con criteri di accesso condizionale basati sul rischio, la creazione di playbook di risposta e così via.

I CISO che scelgono di rinunciare alle opportunità dell'automazione spesso lo fanno per mancanza di fiducia, temendo che il sistema possa commettere errori irrecuperabili senza supervisione umana. Alcuni dei potenziali scenari includono un sistema che elimina erroneamente i dati degli utenti, infastidisce un dirigente che deve accedere al sistema, o peggio, causa una perdita di controllo o visibilità riguardo una vulnerabilità che è stata sfruttata.

La sicurezza tende ad essere un equilibrio tra piccoli inconvenienti quotidiani e la costante minaccia di un attacco catastrofico. L'automazione ha il potenziale di fungere da sistema di avvisi tempestivi per un attacco di questo tipo e i suoi inconvenienti possono essere ridotti o eliminati. Inoltre, l'automazione viene affiancata da operatori umani, l'intelligenza artificiale può essere informata e controllata dall'intelligenza umana.

Per garantire una distribuzione senza problemi, abbiamo aggiunto modalità di solo report alle nostre soluzioni per offrire una versione di valutazione prima dell'implementazione. In questo modo, il team della sicurezza può implementare l'automazione con i propri tempi, perfezionando le regole di automazione e monitorando le prestazioni degli strumenti automatizzati.

I leader della sicurezza che usano l'automazione più efficacemente la forniscono al team per colmare le lacune e fungere da prima linea di difesa. Come un CISO mi ha detto di recente, è quasi impossibile ed eccessivamente costoso avere un team della sicurezza concentrato sempre su tutto, e anche se fosse possibile, i team della sicurezza sono caratterizzati da frequenti turnover. L'automazione fornisce un livello di continuità e coerenza sempre disponibile per supportare il team della sicurezza in aree che richiedono tale coerenza, ad esempio il monitoraggio del traffico e i sistemi di avvisi tempestivi. Utilizzata per fornire supporto in questo senso, l'automazione consente di liberare il team dal controllo manuale di registri e sistemi permettendogli di essere più proattivo. L'automazione non sostituisce le persone: si tratta di strumenti che aiutano le persone a classificare in ordine di priorità gli avvisi e a concentrare i propri sforzi nelle attività più importanti.