Mandiant prende in considerazione l’argomento rischi informatici e indica come agire per ridurre le lacune della sicurezza più importanti che gli attaccanti sfruttano. Nel corso degli ultimi anni il panorama delle minacce, tra continue violazioni ed eventi cyber globali, si è modificato e decisamente ampliato. Le aziende continuano a provare ad adattarsi al cambiamento, così come lo fanno però gli attaccanti. I team che si occupano di sicurezza informatica devono sostenere quotidianamente il business aziendale.
L’importanza di distinguere i rischi informatici
Allo stesso tempo devono essere costantemente preparati per affrontare possibili attaccanti verso i loro sistemi. Bilanciare le criticità derivanti dalle responsabilità operative con la preparazione della risposta è difficile. I team di sicurezza lavorano quindi per mantenere in equilibrio il business e le misure di sicurezza per gli asset aziendali. Spesso però si trovano a lottare per restare al passo con gli attaccanti, affrontare tempestivamente tutte le minacce diventa quindi uno dei problemi principali.
Il report di Mandiant
Nel report “14 Cyber Security Predictions for 2022 and Beyond” Mandiant ha mostrato come gli aggressori ransomware abbiano incrementato ritmo e obiettivi applicando pressioni aggiuntive con diversi metodi di estorsione. Le organizzazioni si stanno rendendo conto che un programma di sicurezza focalizzato sui “Crown Jewels” aiuta a rafforzare la sicurezza generale. Oltre a concentrarsi sulla protezione delle risorse più critiche per l’azienda e che, di conseguenza, sono anche di maggior interesse per gli attaccanti.
Rischi informatici: cos’è Crown Jewels
Questo significa ottenere una migliore gestione del rischio, possedere un processo decisionale in materia di risorse e di investimenti per gli asset di alto valore. Senza dimenticare una migliore prevenzione degli incidenti cyber che potrebbero creare i danni maggiori.
Come progettare un programma di sicurezza focalizzato sui Crown Jewels
Mandiant suggerisce di iniziare sempre da quattro aree chiave quando si progetta un approccio Crown Jewels:
- Quali sono i sistemi che supportano gli scopi e gli obiettivi chiave dell’azienda?
- Quali informazioni vengono memorizzate su tali sistemi?
- Sono presenti dati personali dei dipendenti? Dati dei clienti? Proprietà Intellettuale?
2 Minacce
- Quali sono le minacce interne ed esterne che potrebbero avere gli impatti più significativi sul singolo Crown Jewel?
- Quale sistema sarebbe l’obiettivo più probabile per attaccare un determinato Crown Jewels?
- Quali sono le motivazioni che possono spingere un attaccante a colpire un certo sistema?
3 Vettori
- A quali vettori di attacco si è intrinsecamente vulnerabili?
- Quale sarebbe l’impatto in caso di compromissione?
- Che tipo di impatto ci sarebbe? (finanziario, operativo, di compliance, reputazionale etc..).
4 Contromisure
- Quali sono le contromisure di prevenzione, di rilevamento e di risposta all’incidente per minimizzarne i rischi?
- Quali sono le contromisure basate su tattiche, tecniche e procedure degli attaccanti?
- Un approccio Crown Jewels offre alle organizzazioni una prospettiva unica al di fuori della tecnologia che aumenta la visibilità sul business e migliora l’impegno di tutti i team aziendali nella protezione delle risorse e allinea le priorità in tutta l’organizzazione.
Come si progetta un approccio Crown Jewels
Quando si progetta un approccio di questo tipo è necessario:
- Essere certi che il modello Crown Jewels non sia solo un piano di continuità aziendale;
- Combinare standard per la gestione del rischio che tengano non solo conto di parametri come importanza, probabilità e impatto ma anche di concetti basati sull’intelligence quali le diverse tipologie di aggressori e le loro motivazioni;
- Avere la consapevolezza che un consistente utilizzo di certe applicazioni non significa necessariamente che tali applicazioni abbiano un grande valore per l’attaccante;
- Essere sicuri che minacce come phishing e malware non dominino i modelli;
- Rischi informatici: come distinguere cos’è importante
- Evitare di considerare Crown Jewels asset aziendali come processi o team di sicurezza;
- Controllare se i sistemi afferenti i Crown Jewels siano solo quelli con un impatto economico elevato;
- Non avere paura di rivedere il modello.
L’importanza di applicare la Threat Intelligence
Gli IoC sulle minacce aiutano le organizzazioni ad affrontare attaccanti noti e le loro infrastrutture. Mentre applicare la threat intelligence significa avere una comprensione completa degli aggressori che prendono di mira un certo settore e le sue risorse. Comprendere motivazioni e comportamenti degli attaccanti e realizzare quindi un profilo della minaccia basato sulle tattiche, tecniche e procedure (TTP) è fondamentale per iniziare a profilare efficacemente le risorse critiche di un’organizzazione.
Considerare i rischi informatici
Non tutte le aziende sono organizzate allo stesso modo e i programmi di sicurezza devono essere dimensionati correttamente a seconda del modello operativo aziendale e per il proprio profilo di rischio. Mandiant ha collaborato con numerose organizzazioni, utilizzando un approccio misurato per definire le perdite accettabili e il rischio residuo. I risultati derivanti da questo programma sono un elemento di differenziazione all’interno di un programma di sicurezza e fanno la differenza tra un incidente di minore importanza e una grande violazione.
L’importanza del programma Crown Jewels
La capacità di distinguere dove sia necessario prevedere degli investimenti per controlli di sicurezza maggiori rispetto a un approccio basato esclusivamente sulla compliance contribuisce a superare la sfida dei “controlli generici” che vengono applicati indiscriminatamente in tutta l’organizzazione, cosa che può portare ad avere programmi di sicurezza difficili da mantenere e sostenere. Questo approccio equilibrato è ciò che rende un programma Crown Jewels prezioso per aziende di ogni settore e dimensione.