La tua azienda è pronta per un cyber attacco mirato? Se non lo è, tu dovresti esserlo. Secondo un recente studio di Accenture, quest’anno le aziende hanno riportato più del doppio degli attacchi mirati sulle loro reti rispetto all’anno scorso.
Gli attacchi informatici mirati comportano un rischio più elevato e anche una ricompensa più alta per gli attaccanti, rispetto agli attacchi opportunistici. Implicano un focus più ristretto su una particolare azienda, la penetrazione nella rete di quell’azienda e la persistenza con l’intento di rimanere invisibili e non rilevati per più tempo possibile. Le motivazioni primarie degli attaccanti sono solitamente finanziarie, e l’obiettivo è di rubare informazioni.
Gli attacchi mirati, al contrario di quelli opportunistici, necessitano di attento ragionamento, preparazione e pianificazione da parte degli attaccanti. Scopriranno le difese che hai messo in campo, e poi proveranno a superarle. E dato il tempo a sufficienza e la persistenza, riusciranno a superarle – basta semplicemente un dipendente insospettabile che clicca su un link di phishing, oppure un sistema esposto a Internet obsoleto e vulnerabile sulla tua rete che viene sfruttato.
Rilevare un attacco mirato è difficile, soprattutto per l’obiettivo degli attaccanti di “volare al di sotto del radar”. Secondo il report Verizon Data Breach Investigation del 2018, occorrono mesi o più per scoprire il 68% delle violazioni. Gli attaccanti usano strumenti che sono nativi nel tuo ambiente, e evitano di impiegare tattiche “rumorose” che potrebbero far scattare allarmi.
Quindi,come fa un’azienda a rilevare un attacco mirato? La risposta convenzionale è di usare soluzioni di monitoraggio che registrano gli eventi che accadono. Questi eventi collezionati possono essere messi in ordine e gli eventi anomali possono essere segnalati, creando anche un alert.
Ma c’è di più. Come qualsiasi analista di sicurezza sa, queste soluzioni di monitoraggio catturano centinaia di milioni di eventi ogni mese, che sono filtrati per arrivare a centinaia di migliaia di alert – se questo puoi definirlo “filtrare”. Ci sono troppi alert da gestire per i team di sicurezza. E troppi di questi alert si dimostrano essere falsi positivi – apparentemente eventi anomali, una volta analizzati, si scoprono essere innocui.
Il Ponemon Institute stima che quasi la metà di tutti gli alert di sicurezza sono falsi allarmi. Come in un pagliaio, in cui è sepolto un ago, questi falsi allarmi seppelliscono i reali incidenti che contano davvero.
E allora, come fa un’azienda a rilevare davvero un attacco mirato? La risposta reale è di usare una soluzione di detection and response che rilevi non solo gli eventi sospetti, ma faccia un lavoro di background per investigare il contesto degli eventi usando il machine learning e l’analisi comportamentale. Ponendo ogni evento nel contesto appropriato, il sistema automatico può filtrare i falsi positivi in anticipo sui tempi, anzichè far perdere tempo prezioso agli analisti delle minacce, impegnandoli in questa attività.
Il risultato è che i team di sicurezza avranno una lista molto più corta di incidenti confermati a cui rispondere, anzichè una lista infinita di falsi positivi e irrilevanti da mettere in ordine e analizzare.
Gli incidenti reali richiedono il tempo e l’attenzione dei team di sicurezza. E con una risposta agli incidenti più semplice, gli attaccanti vengono cacciati fuori.
Sembra quasi troppo bello per essere vero, ma è possibile con F-Secure Rapid Detection & Response, che utilizza la nostra tecnologia innovativa Broad Context Detection per puntare agli incidenti che contano. Rapid Detection & Response è formata dai nostri esperti di settore, in una combinazione perfetta di uomo e macchina, che lavorano insieme per proteggere il tuo business.
Puoi scoprire come funziona il tutto nella nostra infografica “Incident Detection in a Nutshell”.
Ed ecco come non essere stesi da un cyber attacco mirato.
Per saperne di più sulla nostra tecnologia Broad Context DetectionTM puoi anche leggere il whitepaper dedicato, scaricandolo a questo link.
Articolo tratto da “This is how not to get owned by a targeted cyber attack”, di Melissa Michael, Content Producer, F-Secure Corporate Communications
Categorie