CrowdStrike spiega come contrastare i cybercriminali

Per contrastare i cybercriminali bisogna agire in fretta, entro il tempo medio di attacco, oggi pari a 79 minuti. Con gli strumenti di CrowdStrike è possibile.

21 Settembre 2023 Nicola Martello
cybercriminali

CrowdStrike è una società nata nel 2012 che opera a livello globale nel settore della sicurezza informatica. L’azienda sta ridefinendo la sicurezza nell’era del cloud grazie alla sua piattaforma di protezione degli endpoint creata appositamente per bloccare le compromissioni. L’architettura basata su un unico agent a basso impatto della piattaforma Falcon applica l’intelligenza artificiale a livello del cloud per offrire protezione e visibilità istantanee sull’intera azienda e prevenire gli attacchi dei cybercriminali agli endpoint ed ai workload, sia all’interno sia all’esterno della rete aziendale. Grazie alla tecnologia proprietaria Threat Graph, ogni settimana Falcon crea correlazioni in tempo reale tra oltre 4 bilioni di eventi legati agli endpoint di tutto il mondo, per alimentare una delle piattaforme di sicurezza più avanzate disponibili sul mercato.

In contemporanea con l’evento Fal.Con a Las Vegas dal 16 al 21 settembre, CrowdStrike ha organizzato il 18 settembre una tavola rotonda per analizzare il mondo della cybersecurity e per presentare le novità relative ai suoi prodotti. Hanno partecipato Adam Meyers, SVP Counter Adversary Operations, e Raj Rajamani, Chief Product Officer.

I tipi di cybercriminali e le loro motivazioni

Adam Meyers ha passato in rassegna le diverse tipologie di criminali informatici e le loro motivazioni, perché per contrastarli è fondamentale conoscerli.

I criminali informatici possono essere suddivisi in tre tipologie: organizzazioni statali, criminali comuni, attivisti. Le prime sono gruppi di esperti di informatica, finanziati dal governo del loro paese (i casi più eclatanti sono Cina, Russia, Iran, Corea del Nord), compiono attacchi per scopi politici contro altre nazioni, società, enti governativi, oppure sono vere e proprie spie con lo scopo di carpire segreti militari, governativi e industriali. Più raramente agiscono per ottenere un ritorno economico per il loro governo (è il caso della Corea del Nord). I criminali comuni agiscono unicamente per motivazioni economiche, per ottenere soldi tramite furti di informazioni e ricatti, per mezzo di ransomware e furto di dati diretto (è la tendenza più recente). Gli attivisti, che possono essere anche veri e propri terroristi, compiono gli attacchi in nome di una causa sostenuta dal loro gruppo, in genere sono mossi da motivazioni di lotta sociale, sono sia organizzazioni sia singoli individui.

Ogni anno ci sono più di 200 cybercriminali attivi nel mondo. Per offrire un quadro più chiaro; CrowdStrike li raggruppa per nazionalità, assegnando loro un nome in codice che richiama un animale o un simbolo tipico del paese di origine (per esempio il panda per la Cina, l’orso per la Russia).

I cybercriminali non sono tutti uguali, alcuni hanno conoscenze tecniche maggiori di altri e quindi sono più pericolosi, altri sono più motivati. In generale, è possibile dire che gli attivisti sono molto motivati ma non hanno grandi conoscenze tecniche, mentre i cybercriminali cinesi e russi sono i più agguerriti, perché sono motivati e hanno ottime conoscenze tecniche.

Per contrastare un attacco informatico è fondamentale reagire in fretta, entro il tempo medio di attacco, che oggi è di circa 79 minuti. Per tempo di attacco si intende il tempo che passa tra l’accesso iniziale e l’arrivo all’area informatica che il criminale vuole raggiungere. Agire entro questo intervallo di tempo significa contenere i costi e soprattutto l’entità del danno. Di anno in anno, i criminali sono sempre più rapidi, quindi anche i sistemi di difesa devono essere più veloci, così da avere la massima probabilità di successo. Gli attacchi più veloci sono fatti in circa sette minuti, quindi bisognerebbe riuscire a reagire entro questo lasso di tempo, per quanto breve.

Oggi le minacce alle identità personali sono diventate molto comuni: il 63% delle intrusioni si realizza grazie al furto delle credenziali. CrowdStrike ha registrato un aumento del 147%, nel dark web, della vendita illegale di accessi ai sistemi informatici. Tutto questo nonostante l’impiego sempre più diffuso di sistemi avanzati per l’identificazione degli utenti, come chiavi temporanee, doppia verifica, utilizzo di parametri biometrici (impronte digitali, scansioni retiniche, riconoscimento del volto).

I cybercriminali sono sempre più furbi e trovano terreno fertile nel cloud, sfruttano errori di configurazione, backdoor lasciate inavvertitamente aperte, modificano a loro favore i privilegi di accesso. È sempre più diffuso l’impiego illecito degli strumenti di gestione remota degli amministratori dei servizi. In definitiva, il crimine informatico è in aumento, i cybercriminali diventano sempre più veloci.

Le novità di CrowdStrike

Raj Rajamani ha presentato le novità di CrowdStrike, relative a nuovi prodotti e a nuove funzioni.

crowdstrike

Raptor

La piattaforma Falcon entra in una nuova fase di sviluppo, per abbattere le barriere e sbloccare l’intelligenza artificiale e XDR (Extended Detection and Response) per tutti i clienti. Le novità più importanti comprendono:

  • Charlotte AI Investigator per automatizzare il rilevamento di incidenti e le funzionalità di analisi
  • XDR Unified Alerts per condurre indagini più efficienti
  • XDR Incident Workbench per ridurre il tempo di mitigazione e di remediation
  • Il Collaborative Incident Command Center per gestire gli incidenti in tempo reale con gli analisti della sicurezza. Da qualsiasi luogo, in qualsiasi momento, da un’unica fonte
  • Lightning Fast Search per accelerare la ricerca e le indagini su endpoint, identità, cloud e telemetria dei dati

Adesso i clienti possono raccogliere, ricercare e archiviare i dati su scala petabyte e a elevata velocità. Per un’era della cybersecurity generativa basata su AI.

Falcon Foundry
  • Falcon Foundry è la prima piattaforma di sviluppo di applicazioni no-code nel settore della cybersecurity. Permette la risoluzione di casi d’uso personalizzati in ambito IT e di sicurezza
  • Consente a clienti e partner di creare e condividere le proprie applicazioni personalizzate, sfruttando l’accesso nativo ai dati di sicurezza più affidabili della piattaforma Falcon, l’automazione e le funzionalità di intelligenza artificiale per creare in pochi minuti applicazioni web reattive
  • Offre funzionalità di automazione integrata e risposta end-to-end, consente agli utenti di definire facilmente i propri flussi automatizzati di lavoro ed eseguire azioni sugli endpoint
  • Consente agli utenti di tradurre le proprie necessità in applicazioni, utilizzando i dati leader del settore, l’agent nativo in cloud, il framework SOAR nativo e l’infrastruttura su scala cloud di CrowdStrike, tramite una piattaforma di sviluppo di applicazioni semplice da usare, efficiente e visiva
Falcon Data Protection
  • Ridefinizione del mercato della protezione dei dati grazie a una console unificata che consente un’ottima visibilità sugli endpoint e sui dati, per l’esecuzione di operazioni estremamente rapide
  • È l’unica piattaforma al mondo con una policy sui dati che segue in tutta l’azienda i contenuti, non i file. Per consentire ai clienti di proteggere i dati mentre sono copiati e condivisi
  • I clienti possono ottenere questo tipo di protezione dei dati in pochi minuti, grazie all’agent unico e leggero Falcon, eliminando tutti gli altri strumenti di protezione dei dati
Falcon Exposure Management

Falcon Exposure Management consente di:

  • Risolvere in modo proattivo le falle più critiche che i cybercriminali possono utilizzare per penetrare nel sistema informatico e raggiungere l’area di loro interesse
  • Avere visibilità istantanea, valutare l’esposizione in tempo reale, stabilire le priorità in base ai criminali informatici e porre rimedio con una risposta basata sulla piattaforma di CrowdStrike
  • Fornire una visione completa, interna ed esterna, del rischio aziendale unendo la visibilità degli asset, il contesto delle vulnerabilità e la visibilità della superficie di attacco esterna. Il tutto in tempo reale
Falcon per l’IT
  • Con l’agente Falcon distribuito nel sistema informatico dell’azienda, il gestore dell’IT ha una visibilità in tempo reale di tutti gli eventi di un sistema, il loro stato e le loro prestazioni. Il tutto tramite una semplice interfaccia di query, pannelli di controllo intuitivi, sistemi di allarme personalizzabili
  • Gli amministratori di sistema e gli sviluppatori possono automatizzare una patch multipiattaforma grazie alla libreria Quick Fix. Oppure organizzare una patch personalizzata per l’intera azienda per rimediare a problemi del comparto informatico, in tutti i silo tecnologici

Related Posts: