Per Marco Urciuoli, Country Manager Italy Check Point Software Technologies, è necessario che la cybersecurity evolva per prevenire gli attacchi di nuova generazione.
Negli ultimi 30 anni, sia gli attacchi informatici sia i sistemi di sicurezza si sono rapidamente evoluti. Se si guarda indietro, è facile identificare gli attacchi e le soluzioni di sicurezza che hanno avuto successo ed è anche possibile comprendere quando gli attacchi hanno iniziato a superare i livelli di sicurezza attivati da molte aziende. Gli attacchi informatici di oggi sono i più avanzati e distruttivi mai visti, tuttavia i sistemi di sicurezza implementati a volte risultano obsoleti e incapaci di proteggere le organizzazioni.
Cos’è successo?
Ci sono diversi motivi per cui gli attacchi sono più all’avanguardia della sicurezza aziendale: il più ovvio è che gli hacker non hanno restrizioni o vincoli quando sviluppano avanzate tecniche d’attacco. Al contrario, le imprese hanno procedure di controllo, di bilancio, di conformità e altri vincoli operativi che frenano lo sviluppo delle difese.
Un’altra restrizione è il metodo check-box per la creazione di infrastrutture di sicurezza, in cui viene realizzata una tecnologia per difendersi da attacchi specifici o per proteggere un particolare servizio. Questo approccio è stato efficace nel contrastare attacchi informatici di generazioni precedenti. Tuttavia, gli attacchi odierni – che noi chiamiamo di quinta generazione – sono multidimensionali, multistadio, multi-vettore e polimorfici, con la capacità di sfruttare ogni minima debolezza lasciata da implementazioni di sicurezza frammentate.
La dura realtà è che, malgrado l’impegno, la maggior parte delle protezioni business rimane indietro rispetto ai nuovi attacchi che le imprese stanno affrontando. Spetta a noi colmare tale divario generazionale nella business security. La corretta difesa delle operazioni IT richiede oggi un nuovo approccio olistico alla sicurezza aziendale: un’infrastruttura integrata e unificata che previene attacchi in tempo reale. Esaminiamo come si sono evolute le generazioni di attacchi informatici e le corrispondenti protezioni di sicurezza.
Le cinque generazioni
Mentre la rete si sviluppava negli anni ‘70 e ‘80, vedendo poi la crescita di Internet negli anni ‘90, la connettività creava grandi opportunità per imprese, governi e allo stesso modo anche per gli hacker. Ora, si può osservare l’evoluzione degli attacchi e delle protezioni corrispondenti, con ogni generazione che diventa più sofisticata rispetto a quella precedente.
–La prima generazione di attacchi (Gen I) – Gli attacchi Gen I iniziarono negli anni ‘80, con l’uso di massa dei personal computer. Sono presto emersi virus e software dannosi che si espandevano nei computer, come il Brain virus del 1986. Questi hanno colpito aziende e utenti, successivamente il loro impatto è stato così dirompente da indirizzare lo sviluppo commerciale di software anti-virus.
–La seconda generazione di attacchi (Gen II) – Gli attacchi Gen II sono emersi negli anni ‘90 con l’avvento del networking e di Internet. Questa esplosione della connettività ha spalancato le porte a malware e tentativi di intrusione, come il furto del 1994 di oltre 10 milioni di dollari, subìto da Citibank, portando poi allo sviluppo del firewall. La combinazione di firewall e prodotti anti-virus è diventata essenziale per proteggere le aziende dal momento che sempre più numerose hanno iniziato a connettere le proprie reti interne al world wide web. Questi prodotti hanno costituito la base delle infrastrutture per la sicurezza aziendale e hanno anche avviato il “modello puntuale delle soluzioni di sicurezza” basato sulla selezione e implementazione di prodotti ad hoc per la protezione dalle minacce.
–La terza generazione di attacchi (Gen III) -La Gen III è emersa nei primi anni 2000 nel momento in cui gli hacker hanno imparato a sfruttare le vulnerabilità dell’infrastruttura IT, presenti nei sistemi operativi, nell’hardware e nelle applicazioni. Esempio pratico della terza generazione è il SQLSlammer worm, che ha attaccato le vulnerabilità del Server Microsoft SQL e MSDE e si è trasformato nel worm di diffusione più veloce di sempre.
Il nuovo millennio ha visto anche una vera e propria esplosione di tecnologie e servizi, che a sua volta ha portato alla nascita di numerosi vendor e prodotti per la sicurezza informativa. Di conseguenza, il “modello puntuale delle soluzioni di sicurezza” è diventato complicato da gestire poiché ogni nuovo prodotto di sicurezza informatica aveva una propria gestione e interfaccia utente, che aggiungeva lavoro ai team IT e security, complessità del sistema e, in ultima analisi, malfunzionamenti su larga scala. Inoltre, la protezione fornita dalle infrastrutture di sicurezza aziendali ha iniziato a diminuire a causa della velocità di attacchi sempre più all’avanguardia.
–La quarta generazione di attacchi (Gen IV) – Gli attacchi Gen IV sono apparsi intorno al 2010, quando i metodi hacker sono diventati più professionali e sofisticati. Questa generazione ha fatto scalpore sui media a causa dell’effetto di massa, oltre che per l’impatto che ha avuto sui consigli d’amministrazioni e le successive indagini governative. Un esempio è la massiccia violazione al retailer US Target che ha compromesso 40 milioni di carte di credito dei clienti e circa 110 milioni di dati sensibili.
Mentre la sicurezza Internet di seconda e terza generazione forniva il controllo degli accessi e ispezionava tutto il traffico, mancava della capacità di convalidare il contenuto effettivo ricevuto via e-mail, tramite download di file e altro ancora. Imalware erano nascosti ovunque, dai curriculum ai file di immagini. Un utente aveva solo bisogno di aprire inavvertitamente un allegato e-mail, scaricare un file da Internet o collegare una chiavetta USB al proprio laptop, e l’attacco veniva lanciato silenziosamente. L’avvento degli attacchi Gen IV ha chiaramente definito il momento in cui la sicurezza basata sui rilevamenti non era più adeguata: questi prodotti, infatti, rilevano solo gli attacchi basati su firme identificabili che vengono create “dopo” che un’intrusione è stata scoperta, analizzata e ampiamente comunicata.
La finestra di esposizione all’attacco potrebbe quindi durare giorni o mesi fino a quando l’aggiornamento successivo non è disponibile. Poiché i malware (senza firme per il rilevamento) si evolvevano più rapidamente della sicurezza basata sulla firma, sono state sviluppate nuove tecnologie, quali il sandboxing per difendersi dagli attacchi zero-day. Ciò ha aggiunto soluzioni più precise per gli ambienti aziendali, complicando ulteriormente le loro infrastrutture di sicurezza.
–La quinta generazione di attacchi (Gen V) – La Gen V è emersa con forza attorno al 2017 con la creazione di strumenti di hacking avanzati – alcuni sviluppati dagli Stati e poi diffusi nel dark web – che hanno portato a mega attacchi, su larga scala e multi-vettore. Questi hanno causato grandi perdite finanziarie e di brand reputation, fruttando introiti e benefici ai criminali informatici. Ciò ha portato alla creazione di malware specifici e sofisticati che possono infiltrarsi da e verso qualsiasi tipo di infrastruttura IT, comprese reti, cloud, uffici remoti, dispositivi mobile, terze parti e altro ancora. Alcuni esempi sono: l’attacco WannaCry che ha colpito 300.000 computer in 150 Paesi e NotPetya che ha causato perdite pari a 300 milioni di dollari coinvolgendo un gran numero di aziende.
Questi attacchi Gen V causano enormi danni e disagi con una velocità mai vista prima, abbattendo facilmente le vecchie tecnologie non-integrate e di sola rilevazione. Per difenderci da questi attacchi, abbiamo bisogno di un nuovo modello per valutare e costruire infrastrutture di sicurezza: una quinta generazione di sicurezza IT che è integrata, unificata e condivide l’intelligence delle minacce in tempo reale per la prevenzione immediata e ininterrotta fin dalla prima occorrenza di un attacco.
Di quante generazioni siamo indietro? Per stabilire l’entità del divario generazionale tra le minacce e la sicurezza effettivamente implementata in azienda, Check Point ha recentemente intervistato circa 450 professionisti della sicurezza informatica di tutto il mondo, sulla condizione delle proprie infrastrutture di sicurezza. I risultati mostrano che la sicurezza aziendale è pericolosamente in ritardo rispetto al livello degli attacchi informatici: la maggior parte delle aziende hanno un livello di sicurezza pari a quello della Gen II o III.
Con le prime generazioni di attacchi informatici, bastava anche solo aggiungere un prodotto di sicurezza specifico; tuttavia, questo approccio non è più adatto. Le aziende infatti si ritrovano con un pacchetto di 15-20 prodotti di sicurezza che funziona in modalità di sola rilevazione: questo non riesce a prevenire gli attacchi moderni e richiede anche una quantità enorme tempo per gestirlo. Il risultato è che le tipiche infrastrutture IT basate sul “modello puntuale delle soluzioni di sicurezza” non sono adatte all’attuale generazione di attacchi, come evidenziato da un sondaggio: il 31% del nostro campione che utilizza architetture di sicurezza consolidate, identifica e rimedia agli attacchi con una velocità 20 volte superiore e all’1% del costo, rispetto a quelli che utilizzano singoli prodotti di sicurezza, anche se di fascia alta.
Necessaria una sicurezza di Gen V Le aziende devono creare un piano per passare dalla security Gen II o Gen III a un’infrastruttura di sicurezza Gen V. La sicurezza Gen V è un’avanzata prevenzione delle minacce che agisce in modo uniforme contro gli attacchi sull’intera infrastruttura IT di un’azienda con una console centrale di gestione, monitoraggio e risposta. Questa non solo protegge dagli attacchi Gen V, ma è anche costruita utilizzando un’infrastruttura che si può aggiornare man mano che le minacce e gli ambienti IT si evolvono.
La sicurezza Gen V è caratterizzata dai seguenti progressi rispetto alle precedenti generazioni di sicurezza:
-consolida le precedenti generazioni con firewall di ultima generazione, sandboxing, bot security, endpoint security e altri controlli in un’architettura unificata;
-condivide in tempo reale informazioni sulle minacce attuali nell’architettura e attraverso tutti i vettori;
-previene l’avanzata dei nuovi attacchi Gen V evitando che le infezioni si diffondano;
-estende la protezione alle implementazioni cloud, agli endpoint e ai dispositivi mobile unificando la struttura;
-amministra, monitora e risponde centralmente a tutte le attività e gli eventi di sicurezza come un sistema univoco.
Questa architettura di sicurezza informatica completamente consolidata protegge le infrastrutture aziendali e informatiche contro i mega attacchi informatici Gen V. Inoltre, risolve le complessità derivanti dalla crescente connettività e da una sicurezza inefficiente e fornisce una prevenzione in tempo reale contro tutte le minacce note e non note, sfruttando le più avanzate tecnologie di threat prevention e zero-day. La condivisione automatica delle informazioni sulle minacce presenti sulle reti, gli endpoint, i cloud e i dispositivi mobile garantiscono una sicurezza solida, sigillando le lacune nell’intera rete aziendale. Infine, è più facile da gestire, perché tutto avviene tramite una singola console.
Cosa fare L’evoluzione degli attacchi e della sicurezza informatica negli ultimi 30 anni è stata rapida, ma si sta velocizzando ancor di più. Oggi, la sicurezza implementata dalle aziende è a un punto di svolta, perché la maggior parte delle infrastrutture di sicurezza IT sono solo a un livello Gen II o Gen III, che non è in grado di affrontare i moderni attacchi Gen V. Per risolvere questo problema, dobbiamo rispondere agli attacchi Gen V con una sicurezza Gen V: una protezione avanzata dalle minacce che previene in modo uniforme gli attacchi, tutelando l’intera infrastruttura IT aziendale. Questo approccio colmerà saldamente il divario nella generazione di sicurezza e garantirà che rimanga chiuso.
