Con gli attacchi ransomware che continuano a dominare i titoli dei media, è chiaro che un approccio alla sicurezza incentrato sulla prevenzione non è più sufficiente. Il passaggio a un approccio di sicurezza "assume compromise" prepara l'azienda ad affrontare l'intensità e la frequenza degli odierni attacchi ransomware. A tal fine, le capacità avanzate di rilevamento e risposta svolgono un ruolo cruciale. In questo blog scoprirete anche perché una grande multinazionale britannica del settore assicurativo ha scelto Vectra, Venture Partner di Wipro, per soddisfare le proprie esigenze di sicurezza.
Perché i controlli preventivi possono essere impegnativi per l'azienda
La proliferazione di attacchi informatici di alto profilo nel 2021 dimostra le vulnerabilità intrinseche di un approccio preventivo alla sicurezza. Nell'attacco di The Colonial Pipeline, è bastato un set di credenziali rubate per un account VPN per compromettere la rete. Non importa quanti controlli preventivi siano stati messi in atto, basta un solo punto di errore per rendere inefficaci tali controlli.
Una buona igiene della sicurezza rimane di vitale importanza e i controlli preventivi non sono obsoleti. Il punto è che è elementare perdere qualcosa nel contesto di un ambiente IT complesso. Quando un'organizzazione non ha alternative alla sicurezza incentrata sulla prevenzione, le infiltrazioni nella rete si traducono tipicamente in violazioni di dati o installazioni di ransomware. È prudente cercare un buon equilibrio tra prevenzione e capacità di rilevamento e risposta.
Non solo i controlli di sicurezza preventivi falliscono regolarmente, ma il fatto di fare affidamento su di essi influisce pesantemente sulle operazioni aziendali. Man mano che le organizzazioni implementano più soluzioni puntuali per prevenire le diverse minacce alla sicurezza, trovare un equilibrio tra sicurezza e abilitazione aziendale diventa sempre più difficile. Più strumenti di sicurezza disparati e scarsamente integrati sono presenti nell'ambiente, più è difficile facilitare le normali operazioni aziendali e la produttività degli utenti.
Decodificare l'approccio Assume Compromise: il passaggio da reattivo a proattivo
Assumere un compromesso" è un cambiamento di mentalità in materia di sicurezza che riconosce i limiti delle misure di sicurezza esistenti alla luce delle moderne minacce informatiche. L'approccio parte dal presupposto che un avversario riuscirà a trovare una via d'accesso al vostro ambiente di rete.
Tradizionalmente, le organizzazioni hanno optato per un approccio basato sulla prevenzione per tenere gli intrusi fuori dalle loro reti. Purtroppo, se si dispone di motivazioni, tempo e risorse sufficienti, i malintenzionati possono eludere questi controlli preventivi e spesso lo fanno in silenzio.
Il cambiamento di mentalità, che consiste nell'ipotizzare una compromissione, modifica il modo in cui le organizzazioni pensano alle sfide della sicurezza. Invece di concentrarsi sui controlli preventivi per tenere lontani gli attori delle minacce, l'attenzione si concentra sulla creazione di una visibilità sufficiente all'interno dell'ambiente e sull'incorporazione di funzionalità avanzate di rilevamento e risposta per mitigare le minacce che già eludono i controlli esistenti.
Un approccio più moderno significa prepararsi a quando le cose vanno male e assicurarsi che l'organizzazione possa intervenire.
Migliorate la vostra sicurezza con Zero Trust
Zero Trust gioca un ruolo fondamentale in un approccio "assume compromise". Esistono innumerevoli esempi di attacchi ransomware in cui l'aggiramento dei controlli perimetrali iniziali di un'azienda ha permesso agli avversari di ottenere un accesso illimitato alle risorse aziendali. Di conseguenza, la presenza all'interno della rete aziendale non è più un motivo per fidarsi di un utente o di un dispositivo.
Non fidandosi mai di nessun utente o dispositivo per impostazione predefinita, il modello zero trust verifica continuamente le identità di utenti e dispositivi sulla rete, indipendentemente dalla loro posizione fisica. Richiedendo l'autenticazione ogni volta che un utente o un dispositivo richiede l'accesso a diverse risorse, si attenua il problema della fiducia implicita negli utenti o nei dispositivi. Il risultato è che quando un aggressore trova inevitabilmente un punto debole in qualsiasi controllo preventivo, la mancanza di fiducia predefinita limita la portata di ciò che quella persona può fare sulla vostra rete.
La mentalità del "presupposto del compromesso" pone alcune sfide nell'educare i professionisti della sicurezza sull'attualità di una compromissione. Se i team di sicurezza iniziano a dare per scontato che verranno violati, una solida preparazione almeno sui fondamenti della sicurezza offensiva può aiutare a interiorizzare questo nuovo cambiamento di mentalità.
Garantire la trasformazione digitale e l'adozione del cloud
La trasformazione digitale e l'adozione del cloud hanno subito un'ulteriore accelerazione a causa della pandemia di Covid-19. Le piccole imprese hanno iniziato a vendere un maggior numero di prodotti e servizi dai siti web e le aziende hanno iniziato a spostare un maggior numero di carichi di lavoro sul cloud per facilitare i lavoratori remoti e innovare. In definitiva, la trasformazione digitale e le strategie cloud offrono alle aziende produttività, efficienza economica, innovazione e crescita. I professionisti della sicurezza devono consentire queste trasformazioni in modo più sicuro.
Sebbene cogliere queste opportunità sia indubbiamente positivo per le aziende di tutte le dimensioni, i progetti di trasformazione digitale favoriscono le configurazioni errate e comportano nuove sfide di monitoraggio della sicurezza (cloud). Una mentalità di "assunzione del compromesso" prepara i team di sicurezza agli inevitabili cambiamenti e rischi derivanti dalla trasformazione dei processi aziendali.
Dal punto di vista delle operazioni di sicurezza, le strategie di trasformazione digitale richiedono la risposta ad alcune domande critiche, quali:
- Dovete spostare gli strumenti di sicurezza esistenti nel cloud?
- Gli strumenti di sicurezza esistenti sono sufficienti per proteggere il cloud, l'AI, l'IoT e altre tecnologie di trasformazione digitale?
- Le pratiche di sicurezza possono evolvere in linea con l'automazione e la digitalizzazione del business, portando a una maggiore agilità e visibilità negli ambienti IT, dall'on-premise al cloud?
Verso un futuro più sicuro con rilevamento e risposta avanzati
Oggi le operazioni di ransomware si concentrano sull'esfiltrazione dei dati prima di criptare file sensibili e sistemi essenziali. La compromissione iniziale seguita dal movimento laterale e dall'escalation dei privilegi attraverso la rete definisce le operazioni di questi attori delle minacce. Per quanto riguarda le tecnologie e i processi, è chiaro che la maggior parte delle aziende dispone di controlli preventivi, ma non sono sufficienti.
Una maggiore visibilità grazie a funzionalità avanzate di rilevamento e risposta aiuta a raggiungere un allineamento corretto con la mentalità "assume compromise" e a bloccare gli attacchi ransomware più pericolosi di oggi. L'infrastruttura Cloud offre l'opportunità di scalare e automatizzare i processi di sicurezza.
Royal Sun Alliance (RSA) Insurance Group ha fatto proprio questo. La compagnia assicurativa generale, con sede a Londra, ha esaminato un portafoglio di fornitori per maturare le proprie capacità di rilevamento e risposta ed equipaggiare i professionisti della sicurezza per contrastare i moderni attacchi ransomware.
RSA ha scelto Vectra per alcuni dei seguenti motivi:
- Facilità di implementazione : sono bastate un paio di settimane per implementare Vectra nel complesso ambiente IT multi-sede di RSA.
- Aumento immediato della visibilità: da un giorno all'altro, la visibilità di RSA su ciò che accadeva sulla rete è aumentata in modo esponenziale.
- Interfaccia intuitiva - Vectra presenta le informazioni agli analisti della sicurezza in un modo intuitivo e facile da digerire, che non sovraccarica i team di sicurezza come fanno molti altri strumenti di monitoraggio.
- Efficienza della sicurezza - Vectra è una piattaforma intuitiva e intelligente basata sull'intelligenza artificiale. La facilità d'uso consente agli analisti meno esperti di gestire efficacemente molte attività di sicurezza meno tecniche, mentre gli analisti più esperti possono dedicare le risorse alle indagini e alle risposte agli incidenti di sicurezza più complessi o a rischio elevato.
Se siete interessati a seguire la discussione tra Nuno Andrade, CISO RSA, John Hermans, Head of Europe Cybersecurity & Risk Services Wipro, Tim Wade, Office of CTO, Technical Director Vectra, e Sacha Rehmat, Director of Global Service Providers & Systems Integrators Vectra AI, potete ascoltare qui.