Paolo Cecchi, Regional Sales Director per l’Italia di SentinelOne, ci racconta le strategie migliore e le modalità di gestione per una sicurezza XDR avanzata.
– La situazione globale degli attacchi è preoccupante e in continua evoluzione. Quali osservatori previlegiati, quali tendenze potete evidenziare?
Lo avevamo già indicato lo scorso anno e lo riconfermiamo oggi, ma la situazione degli attacchi non andrà a migliorare, anzi diventerà sempre più critica. Da osservatori in prima linea riscontriamo due problematiche. La prima è legata alla disattenzione generale sugli aggiornamenti delle patch previsti dai vendor, un fenomeno che continua a manifestarsi all’interno delle aziende in tema di sicurezza informatica.
Pianificazione e implementazione di strategie di sicurezza dovrebbero essere le parole chiave per le imprese che vogliono proteggersi, e invece, le normative di sicurezza non sono, purtroppo, il loro pensiero principale. La seconda problematica invece riguarda le nuove tipologie di minacce, che vengono messe in atto sempre più da piccoli gruppi di criminali, attraverso strategie banali ma piuttosto efficaci. Ci troviamo alle prese con una sorta di “criminalità disorganizzata”, che sembra essere allo sbaraglio ma che è più imprevedibile e pericolosa di quanto si possa anche solo immaginare.
– Quali strategie e soluzioni proponete ai clienti per mettere in sicurezza le proprie attività?
Suggeriamo alle organizzazioni di evitare di pensare di essere inattaccabili. Lo scorso anno si sono verificate molteplici situazioni a dimostrazione del fatto che nessuno può dirsi del tutto al sicuro e che la prevenzione non è mai troppa, vedi Okta, Samsung, Microsoft e Uber. L’approccio Zero Trust sembra essere ancora la soluzione più appropriata ma occorre fare i conti con i costi, che rimangono una delle principali preoccupazioni per i responsabili IT e, con budget sempre ridotti, si affermeranno i prodotti per la sicurezza orientati alla massima efficienza. Per prevenire i più sofisticati attacchi ai sistemi informatici, le imprese dovranno considerare soluzioni e piattaforme evolute di cybersecurity, capaci di rilevare e rispondere con tempestività alle continue aggressioni.
Anche la formazione interna deve diventare fondamentale, così come serve educare i collaboratori ad avere atteggiamenti responsabili, sia dentro che fuori l’azienda. Nel 2023 sarà importante affidarsi a soluzioni di cybersecurity innovative come Singularity di SentinelOne, che incorpora prevenzione, rilevamento, risposta e ricerca basati su AI, in grado di proteggere endpoint, server, dispositivi mobili, container, workload cloud e dispositivi IoT in una singola piattaforma XDR.
Serviranno soluzioni di Autonomous Response adatte a ridurre la dipendenza da processi ad alto impiego di risorse umane, offrendo la miglior protezione possibile in maniera più automatizzata possibile. Un altro ambito da tenere assolutamente in considerazione è quello legato alla protezione dell’Active Directory e delle identità, considerando che oggi l’80% degli attacchi sfrutta identità compromesse e che negli ultimi due anni il 50% delle organizzazioni ha subito un attacco ad Active Directory (AD). Le soluzioni Ranger e Singularity Identity di SentinelOne permettono di coprire queste esigenze con una piattaforma integrata.
– Per una protezione efficace è indispensabile avere visibilità e correlazione degli eventi. Come fare?
La totale visibilità dovrà essere essenziale per i team di sicurezza, anche se risulta particolarmente difficile da gestire data la complessità delle reti. A nostro avviso è importante focalizzarsi anche sulla velocità. Oggi, la cybersecurity viene ancora affrontata in modo reattivo e da ciò ne deriva che quello che viene definito ‘Dwell Time’, ovvero il tempo di permanenza dei cyber criminali all’interno delle reti, supera in media i 50 giorni.
Bisogna ridurre questo gap per non permettere all’attaccante di diffondersi nella rete. In SentinelOne possiamo contare sulla tecnologia Storyline, che riesce a tenere traccia di tutto quello che accade su qualsiasi dispositivo, dotato di qualunque sistema operativo e indipendentemente dal fatto che sia online oppure offline, ricostruendo le tappe di eventuali intrusioni, fermando le infezioni in corso e ripristinando gli archivi danneggiati. Questo permette di monitorare in tempo reale comportamenti sospetti e/o malevoli per intervenire non solo neutralizzandoli, ma identificando la provenienza e agendo con una pulizia chirurgica e retrospettiva su tutti gli artefatti digitali creati dalla infezione – fino a ripristinare, con la funzione di RollBack, gli eventuali danni causati a file e archivi sulla macchina.
– Sicurezza EDR e XDR, come operano queste piattaforme? Quale grado di integrazione assicurano?
La tecnologia XDR, Extended Detection and Response, è nata come risposta all’aumento dei vettori di attacco verso endpoint, reti e cloud. In SentinelOne, azienda leader nel mercato EDR e pioniera dell’XDR, ci teniamo a distinguere le due tecnologie e a evidenziare quali sono i benefit migliori che possono portare.
L’EDR monitora tutti gli endpoint, registra ogni singola attività ed evento e poi mette in correlazione le informazioni per fornire un contesto critico capace di rilevare le minacce avanzate, eseguendo attività di risposta automatica come isolare un endpoint infetto dalla rete quasi in tempo reale. L’XDR è l’evoluzione dell’EDR, ne amplia la portata per fornire rilevamento, analisi e risposta non solo su endpoint, ma anche su reti, server, workload cloud, SIEM e molto altro. Questo offre una visione unificata e olistica su molteplici strumenti e vettori d’attacco, contestualizzando le minacce per rispondere attraverso triage, indagini rapide e interventi di remediation.
Orientarsi verso l’adozione di una soluzione di rilevamento e risposta, può risultare particolarmente complesso. Spesso l’ostacolo più grande è capire cosa offre ogni soluzione, in particolar modo quando le terminologie variano da vendor a vendor con significati diversi. I clienti devono essere consapevoli di queste differenze poiché non tutte le soluzioni XDR sono uguali. SentinelOne Singularity XDR unifica ed estende la capacità di rilevamento e risposta su più livelli di sicurezza, fornendo ai team una visibilità centralizzata end-to-end, una potente analisi e una risposta automatizzata su tutto lo stack tecnologico dell’azienda.
– Le vulnerabilità dei software e dei sistemi operativi possono “aprire la porta” ad attacchi e minacce. Le attività di patch management sono determinanti, come sviluppare una corretta politica di aggiornamento e come intervenire in modo tempestivo?
Questa domanda è estremamente attuale, visto il recente attacco che ha coinvolto i server VMware e che ha avuto un impatto tale proprio perché ha colpito vulnerabilità non ‘patchate’, nonostante fosse stata prontamente comunicata nel 2021. Mi sento di ribadire ancora una volta che la sicurezza inizia dalle fondamenta della cultura aziendale. Per un’impresa che intende proteggersi in modo adeguato sono necessari strumenti di pianificazione e implementazione di strategie di sicurezza. Le organizzazioni che dispongono di processi per la gestione delle password, l’autenticazione a più fattori, la gestione puntuale delle patch, gli aggiornamenti del software e la sicurezza dei dispositivi possono impedire agli attaccanti di colpire facilmente e ridurre la superficie d’attacco cui puntare.
Sicuramente le procedure di aggiornamento delle piattaforme non sono semplici, rapide e prive di problematiche, ma dal momento in cui viene segnalata la necessità di un aggiornamento è bene intervenire con prontezza, piuttosto che rendersi in futuro più vulnerabili agli attacchi. Insomma, quello che deve cambiare è l’atteggiamento, che deve essere più proattivo e portare a una maggiore presa di coscienza nei confronti della prevenzione e della sicurezza, per poter monitorare, rilevare, mitigare e neutralizzare un attacco ben prima che raggiunga il suo obiettivo.