Gabriele Zanoni, Senior Systems Engineer di FireEye, mette a fuoco le peculiarità e i vantaggi che caratterizzano le attività di Network Forensics.
La maggior parte dei sistemi di allarme domestici viene acquistata dopo aver subito un’effrazione. Non è assolutamente una sorpresa e, purtroppo, anche la maggior parte delle aziende applica lo stesso processo decisionale per le proprie reti. La maggior parte della spesa per la sicurezza viene destinata a misure preventive, come firewall e gateway web sicuri, la realtà è che le violazioni nelle rete continuano ad accadere con numeri notevoli, nonostante i miliardi di dollari spesi per queste soluzioni.
Per peggiorare le cose: il dwell time medio di un intrusione è attualmente di 78 giorni. Questo significa che gli attaccanti rimangono nelle reti aziendali per più di due mesi senza essere scoperti. Una persona accetterebbe, per esempio, che un ladro intrufolatosi nella sua abitazione, possa passarci tutto questo tempo? Naturalmente no. Per questo motivo il tempo è essenziale quando si tratta di una violazione.
Come per qualsiasi irruzione, possedere delle prove è la chiave per comprendere quanto sia accaduto, in che modo si sia verificata, cosa è stato rubato e trovare il rimedio migliore per evitare che accada nuovamente. Questo è il motivo per cui una soluzione di network forensics, è così importante.
La Network forensics, simile a un sistema di registrazioni a circuito chiuso, consente di avere la registrazione di tutto il traffico di rete – buono o cattivo – in modo che quando si verifica una violazione, i team di sicurezza possano consultarla immediatamente e tornare “indietro nel tempo”. Avere questo sistema di registrazione del traffico della rete consente di ridurre il dwell time e identificare l’impatto sui dati compromessi, minimizzando i danni.
Ci sono molti vantaggi nel possedere una soluzione di network forensics in un’azienda, e di seguito indichiamo i cinque più importanti:
1. Elimina gli angoli ciechi della rete. Di primaria importanza per la network forensics è la possibilità di registrare rapidamente tutto il traffico di rete. Questo significa avere una soluzione in grado di registrare il traffico ad alte velocità senza perdere l’integrità dei dati. Dopo tutto, non si può fermare ciò che non si vede.
2. Fornisce prove esattmente nel momento in cui servono. È importante avere uno strumento di network forensics in grado di fornire risposte rapide a domande come: Chi ha fatto irruzione? Che cosa hanno toccato? Cosa si sono lasciati alle spalle? Cosa è stato rubato? Quali altri sistemi sono stati compromessi? Tutte queste informazioni devono essere fornite in pochi minuti e non in ore o giorni. Quanto più velocemente il team di sicurezza è in grado di identificare un intruso e quello che ha fatto, tanto più velocemente poi avrà la possibilità di rispondere.
3. Innalza la sicurezza. Una soluzione di network forensics fornisce chiare indicazioni e “racconta” come si è verificata la violazione, dove è andato l’aggressore, quali sistemi e/o endpoint sono stati compromessi e altro ancora. Sfruttando queste informazioni il team di sicurezza è in grado di individuare punti deboli non visti prima e consolidare le difese esistenti.
4. Migliora la risposta agli incidenti. Con così tante questioni legali e regolamentazioni relative alla notifica delle violazioni e alla perdita di dati critici, possedere una soluzione di network forensics fornisce garanzie su ciò che è effettivamente accaduto e su informazioni su come rispondere aiutanto nel determinare quindi lla gravità di una violazione.
5. Semplifica le fasi di recupero. Per richiedere il risarcimento danni per le investigazioni o per altre finalità assicurativi, alle aziende può essere richiesto di mostrare i danni effettivi e le perdite dovute agli attacchi informatici. Una solida soluzione di network forensics può individuare i dati exfiltrati effettivamente, facilitando ulteriormente la necessità di mostrare i danni o la perdita di proprietà intellettuale.
Gabriele Zanoni, Senior Systems Engineer di FireEye
Ogni rete aziendale è soggetta ad attacchi e violazioni. La storia, anche recente, dimostra che non basta concentrare tutti gli sforzi sulle misure preventive, in quanto è sufficiente una sola vulnerabilità, non solo tecnica ma anche logica, per entrare nella rete aziendale e fare danni. Detto questo è chiaro, conoscendone i notevoli vantaggi, che una soluzione di network forensics deve essere un must have per ogni azienda.