Cos’è più importante, la prevenzione delle minacce – o la rilevazione e risposta? Spesso sentiamo dire che, quando si tratta di cyber criminali, la prevenzione sia inefficace. I cattivi entreranno sicuramente, quindi dobbiamo concentrare le nostre energie sulla rilevazione e risposta.
C’è un fondo di verità in questo, ma non è tutta la verità. Se è vero che non possiamo puntare tutto sulla carta della prevenzione, di certo non possiamo liberarci di quella carta. Infatti, un solido programma di prevenzione pre-compromissione può effettivamente contribuire a rendere più efficace il tuo sistema di detection and response. O, mettiamola in altro modo, rafforzare le misure preventive della tua organizzazione e le capacità di gestione delle vulnerabilità aiuta ad ottimizzare il processo post-compromissione.
Rilevare gli attacchi mirati più velocemente
Misure preventive robuste mantengono pulite le tue reti da malware commodity, così puoi concentrarti sulle minacce più rilevanti. Per esempio, una buona soluzione di sicurezza endpoint ti protegge dalla maggioranza delle minacce – la gran parte delle minacce commodity come ransomware e altro malware che alla tua organizzazione costa tempo e produttività. Proteggersi da queste minacce consente di mantenere un buon livello di “security hygiene” all’interno dell’azienda. Così quando ti imbatti in un attaccante avanzato che si aggira nei tuoi sistemi, come sottolinea questo post sul nostro blog, “È simile alla medicina. È molto più semplice focalizzarsi sull’identificazione, isolamento e trattamento di un grave punto di infezione quando l’intero organismo non è infiammato da una serie di altri elementi malevoli.”
Ecco l’esperienza di un amministratore di sistema di uno dei nostri clienti, che ha sperimentato i benefici della combinazione delle tecnologie di prevenzione e rilevazione: “Con F-Secure Business Suite Premium e Rapid Detection & Response Service, i nostri sistemi adesso sono completamente protetti da tutte le forme di malware e cyber attacchi. I due casi che F-Secure ha scoperto da quando li abbiamo introdotti, in così poco tempo (6 e 9 minuti), ci hanno più che convinto di aver scelto la soluzione giusta.”
Chiudere le falle di sicurezza
La gestione delle vulnerabilità è un pezzo importante della prevenzione precoce. Gli strumenti di gestione delle vulnerabilità con asset discovery e vunlerability scanning consentono di minimizzare la superficie d’attacco identificando vulnerabilità critiche che possono essere sfruttate. Sapere è potere. Quando sai quali asset devi proteggere e le vulnerabilità che devi fissare, puoi fare qualcosa.
Mantenere i tuoi sistemi aggiornati impedisce agli attacchi opportunistici di disseminare rifiuti nella tua rete. Alza anche l’asticella per quelli più avanzati. E riduce le opzioni degli attaccanti nei casi in cui uno di loro, già dentro la rete, dovesse sfruttare una vulnerabilità durante una fase di movimento laterale.
Fai lavorare gli attaccanti
La prevenzione inoltre rende più difficili le vite degli attaccanti. Non c’è bisogno di stendere il tappeto rosso a quegli attaccanti esperti con le capacità di entrare nella tua rete a qualunque costo. Concentrando energia sulla prevenzione, stai rendendo un po’ più difficile agli attaccanti violare la tua rete. Quando sono costretti a lavorare di più, i loro costi aumentano e questo può servire come deterrente.
È un affare
La prevenzione precoce ti aiuta ad ottimizzare i processi di detection and response. Ma non solo, di fatto è anche il modo più conveniente per proteggere la rete. Come mostra il grafico sotto, più a lungo persiste un attacco, più costi genera. La prevenzione fin dalle prime fasi – e se questa fallisse, la rilevazione nel minor tempo possibile – mantiene un livello di costo basso e vantaggioso.
Prova a chiedere ad Equifax, in cui gli attaccanti hanno mantenuto oltre 30 punti di accesso separati nei sistemi dell’azienda. E chiedi a più di altre 1500 aziende che, secondo la National Federation for Credit Counseling (NFCC) negli Stati Uniti, sono vittime di un data breach ogni anno. Ognuna di queste violazioni è un pesante caos per l’azienda – e per i clienti i cui dati sono stati esposti.
Ecco un esempio di prevenzione in azione nel caso di WannaCry. Diversi livelli che lavorano insieme offrono una barriera protettiva. Se un livello fallisse, ci sono gli altri a fare da backup.
Pratica continua e attività integrate
Quando uniamo misure pre e post compromissione, non possiamo dimenticarci che queste attività devono essere processi continui. Dobbiamo anche integrarle con gli altri processi aziendali. La gestione delle vulnerabilità, per esempio, deve essere una pratica frequente e ripetuta per tenere sotto controllo le falle di sicurezza. E dovrebbe essere legata ad un processo di gestione del rischio. La gestione dell’inventario dei processi, la gestione delle patch, la sicurezza delle applicazioni e la gestione del rischio dovrebbero tutte essere integrate a un certo livello per riuscire ad ottenere un programma di gestione delle vulnerabilità davvero efficace.
Le aziende di solito si rendono conto dell’importanza della prevenzione quando è troppo tardi. Ma la gestione delle vulnerabilità con misure preventive in atto, insieme a forti capacità di rilevazione e risposta, funzionano meglio se lavorano in tandem per prevenire e rispondere alle violazioni. Insieme, impediscono di alzare i costi alle stelle e permettono al business di eseguire le attività che andrebbero eseguite.
Per saperne di più su come migliorare la strategia di cyber resilienza, scarica il nostro ebook intitolato Guide to Detection & Response.
Categorie