Antonio Madoglio, SE Manager, Fortinet Italia, condivide sette consigli per evitare il furto dei dati sensibili.
I furti di dati si verificano molto spesso perché la network security delle aziende si focalizza troppo sul perimetro, non proteggendo in modo adeguato la rete interna. Gli esperti da sempre descrivono questo approccio come “duro e croccante fuori, morbido e soffice dentro”, facendo un parallelo con le caramelle. Continuando con il paragone, i cyber criminali che sono in grado di rompere la parte solida della “caramella” attorno ai dati, possono beneficiare di un accesso libero e spesso indisturbato alla parte interna morbida e gustosa. Le informazioni.
Al di là di questa esemplificazione un po’ pittoresca, è fondamentale domandarsi come un’azienda possa prevenire oggigiorno un data breach. Ecco di seguito sette punti su cui riflettere:
1. Prevenire è meglio che curare
Troppe aziende trascurano le regole base di sicurezza, non effettuando patch e aggiornamenti ove necessario. Le reti stanno crescendo rapidamente e si stanno differenziando a seconda dei diversi ecosistemi, dallo IoT al cloud. La creazione e il mantenimento di un inventario dei dispositivi può quindi essere problematico. Dato il numero di attacchi andati a segno negli ultimi mesi che hanno preso di mira vulnerabilità per le quali erano già disponibili le patch – e i milioni di aziende colpite di conseguenza -l’aggiornamento dei sistemi è indispensabile, indipendentemente da quanto sia complesso effettuarlo.
È fondamentale che ogni azienda crei e gestisca un protocollo formale relativo a patch e aggiornamenti. Idealmente dovrebbe essere automatizzato, tracciabile e misurabile. Deve essere inoltre predisposto un processo per identificare, sostituire e mettere offline quei sistemi che non possono più essere “patchati”.
2. Proteggere la rete con le signature
Sebbene la possibilità di nuove forme di azione da parte dei cyber-criminali rappresenti un rischio reale, la maggior parte dei breach è in realtà causata da tipologie di attacchi già sulla scena da settimane, mesi o talvolta anche anni. Infatti, la stragrande maggioranza di essi ha sfruttato vulnerabilità conosciute per le quali era già disponibile una patch almeno da tre anni. Per molte addirittura da dieci. Poiché queste vulnerabilità sono note, gli attacchi e gli exploit che le bersagliano possono essere rilevati sfruttando le signature. Gli strumenti di rilevazione basati su di esse consentono, infatti, di cercare e bloccare rapidamente qualsiasi tentativo di infiltrazione o l’esecuzione di un exploit che prende di mira vulnerabilità note.
Gli strumenti basati su signature sono inoltre sempre più efficaci nei confronti di problematiche complesse come gli ambienti “zero patch”, l’IoT e altri dispositivi interconnessi che vengono adottati dalle aziende e che hanno mostrato di essere altamente vulnerabili ad attacchi.
3. Rilevare e rispondere alle minacce zero-day sfruttando l’analisi comportamentale
Naturalmente non tutte le minacce hanno una signature riconoscibile. Nuovi attacchi sofisticati utilizzano una serie di tecniche per aggirare le difese ed eludere il rilevamento. Gli strumenti di sicurezza comportamentale sono pensati per cercare sistemi di comando e controllo segreti, identificare un comportamento non appropriato o imprevisto del traffico o dei dispositivi, disattivare elementi come le varianti di malware zero-day tramite camere di detonazione o sandboxing e correlare i dati per identificare e rispondere a minacce avanzate.
Poiché gli attacchi diventano più sofisticati e gli hacker cominciano a integrare elementi quali l’IA per rendere più efficace la loro capacità di penetrazione nelle difese aziendali eludendo la detection, la sicurezza dovrà continuare ad evolversi. Gli avanzamenti in quella che viene definita l’intent-based security, per esempio, non solo consentiranno di controllare dati e applicazioni sulla rete in cerca di malware, ma forniranno una deep inspection. Esamineranno i percorsi e poi continueranno a monitorare tale traffico per determinarne le intenzioni, consentendo ai sistemi di sicurezza intelligenti di intervenire in modo proattivo e ostacolare un attacco prima che sia ancora iniziato.
4. Implementare Web Application Firewall
Mentre molti attacchi continuano a sfruttare metodi consolidati per infiltrarsi in una rete, come ad esempio il phishing via mail o lo sfruttamento di vulnerabilità note e non patchate, molte minacce non entrano più nella rete attraverso i percorsi tradizionali. Gli attacchi basati su web sono sempre più comuni e spesso sfruttano la crescita esponenziale delle applicazioni – in particolare quelle progettate per la ricerca delle informazioni direttamente nel data center.
Poiché la richiesta di applicazioni web personalizzate è cresciuta così rapidamente, molte aziende non dispongono di tempo o risorse per testare e stressare in modo adeguato le applicazioni e i server in fase di implementazione. Un modo efficace per colmare questo gap è implementare un Web Application Firewall (WAF). Questa tipologia di dispositivi di sicurezza è stata progettata appositamente per fornire una deep inspection ad alte prestazioni del traffico di applicazioni web ben oltre quanto offerto dalla tradizionale tecnologia NGFW.
5. Sfruttare la Threat Intelligence
Una threat intelligence avanzata consente alle aziende di ridurre il tempo di rilevamento delle minacce e azzerare il gap tra detection e risposta. Sono diversi i feed sulle minacce a disposizione delle aziende che consentono a queste ultime di essere aggiornate sui trend e gli exploit rilevati più di recente. La sfida è rappresentata dal riuscire a convertire questi dati in intelligenza azionabile, correlandola poi con quella locale e l’infrastruttura, per poi implementare strumenti quali le tecnologie SIEM e WAF che possono usare tali dati, convertirli in policy azionabili e applicarli per proteggere la rete.
6. Evitare soluzioni puntuali
Data la rapida espansione delle reti, la loro natura dinamica ed elastica e il passaggio da un solo perimetro a decine o persino a centinaia di potenziali punti di accesso e di scambio di dati, la tradizionale strategia di implementazione di dispositivi o piattaforme di sicurezza puntuali sul perimetro della rete o nel data center non è più adeguata. Inoltre, le tecnologie tradizionali di sicurezza puntuali tendono ad essere isolate, il che significa che sono in grado di rilevare e rispondere solo alle minacce nel loro raggio di azione.
Considerata la natura delle minacce avanzate, multi-vettore e altamente intelligenti di oggi, le soluzioni di sicurezza devono essere interconnesse in un unico sistema coeso che possa spaziare e adattarsi ad architetture di rete elastiche. Questa integrazione dinamica offre una visibilità completa sull’intera rete, fondamentale in quanto non ci si può difendere da una minaccia impossibile da rilevare. Inoltre, un sistema di soluzioni di sicurezza integrate e orchestrate consente alle aziende di contrastare in maniera proattiva e intelligente i cyberattacchi ovunque si verifichino.
7. Segmentare la rete
In virtù della natura fluida dell’accesso ai dispositivi e dell’ampia gamma di applicazioni e dati in molte delle reti odierne, è più importante che mai creare e mantenere una segmentazione di rete efficace e sicura che impedisca la diffusione delle minacce. Le aziende possono migliorare notevolmente la propria sicurezza implementando Internal Network Segmentation Firewall (ISFW) per impedire la proliferazione delle minacce, indipendentemente dal fatto che siano riuscite a violare il perimetro di sicurezza, compromettere un punto di accesso o che si siano originate internamente. Gli ISFW possono essere previsti di fronte a specifici server che contengono preziose proprietà intellettuali, proteggere una serie di dispositivi degli utenti o applicazioni web che si trovano nel cloud o garantire la sicurezza del traffico che si muove tra divisioni logiche di responsabilità o linee di business all’interno di un’organizzazione.
Nel caso di un modello in cui vengono raccolti e correlati volumi notevoli di dati in un unico ambiente, è particolarmente importante stabilire controlli della segmentazione in grado di rilevare le minacce che sono riuscite a penetrare nel perimetro del data center e che si spostano lateralmente in questo ambiente. Senza strumenti di segmentazione e rilevamento, tali minacce sono libere di raccogliere, corrompere e sottrarre i dati. La segmentazione interna, la micro segmentazione e i controlli che monitorano e ispezionano elementi come i comportamenti e i flussi di lavoro, sono essenziali per le aziende digitali che oggigiorno fanno dei dati il cuore del proprio business.