Con gli attacchi ransomware che continuano a dominare i titoli dei media, è chiaro che un approccio alla sicurezza incentrato sulla prevenzione non è più sufficiente. Il passaggio a un approccio alla sicurezzabasato sul presupposto della compromissioneprepara la vostra azienda ad affrontare l'intensità e la frequenza degli attacchi ransomware odierni. A tal fine, le capacità avanzate di rilevamento e risposta svolgono un ruolo cruciale. In questo blog scoprirete anche perché una grande compagnia assicurativa multinazionale britannica ha scelto Vectra, venture partner di Wipro, per soddisfare le proprie esigenze di sicurezza.
Perché i controlli preventivi possono rappresentare una sfida per la tua azienda
La proliferazione di attacchi informatici di alto profilo nel 2021 dimostra le vulnerabilità intrinseche di un approccio preventivo alla sicurezza. Nell 'attacco alla Colonial Pipeline, è bastato rubare le credenziali di un account VPN per compromettere la rete. Non importa quanti controlli preventivi siano in atto, basta un solo punto di errore per renderli inefficaci.
Una buona igiene della sicurezza rimane di vitale importanza e i controlli preventivi non sono obsoleti. Il punto è che è facile trascurare qualcosa nel contesto di un ambiente IT complesso. Quando un'organizzazione non dispone di alternative alla sicurezza incentrata sulla prevenzione, le infiltrazioni nella rete provocano in genere violazioni dei dati o installazioni di ransomware. È prudente cercare di raggiungere un buon equilibrio tra prevenzione e capacità di rilevamento e risposta.
Non solo i controlli di sicurezza preventivi falliscono regolarmente, ma affidarsi eccessivamente ad essi influisce sulle operazioni aziendali. Man mano che le organizzazioni implementano più soluzioni puntuali per prevenire diverse minacce alla sicurezza, diventa più difficile trovare un equilibrio tra sicurezza e funzionalità aziendale. Più gli strumenti di sicurezza presenti nel proprio ambiente sono disparati e scarsamente integrati, più è difficile facilitare le normali operazioni aziendali e la produttività degli utenti.
Decodificare l'approccio "Assume Compromise": il passaggio da reattivo a proattivo
"Assumere il compromesso" è un cambiamento di mentalità in materia di sicurezza che riconosce i limiti delle misure di sicurezza esistenti alla luce delle moderne minacce informatiche. L'approccio parte dal presupposto che un avversario riuscirà a trovare un modo per entrare nel vostro ambiente di rete.
Tradizionalmente, le organizzazioni hanno optato per un approccio preventivo per tenere gli intrusi fuori dalle loro reti. Purtroppo, con motivazione, tempo e risorse sufficienti, gli autori di minacce malintenzionate possono aggirare questi controlli preventivi, e spesso lo fanno in modo silenzioso.
Il cambiamento di mentalità che porta ad accettare il compromesso modifica il modo in cui le organizzazioni affrontano le sfide legate alla sicurezza. Anziché concentrarsi sui controlli preventivi per tenere lontani gli autori delle minacce, l'attenzione si sposta sulla creazione di una visibilità sufficiente all'interno dell'ambiente e sull'integrazione di funzionalità avanzate di rilevamento e risposta per mitigare le minacce che già aggirano i controlli esistenti.
Un approccio più moderno significa prepararsi per quando le cose vanno male e garantire che la tua organizzazione sia in grado di intervenire.
Migliora la tua sicurezza con Zero Trust
Zero Trust svolge un ruolo fondamentale in un approccio basato sul presupposto della compromissione. Esistono innumerevoli esempi di attacchi ransomware in cui l'aggiramento dei controlli perimetrali iniziali di un'azienda ha consentito agli avversari di ottenere un accesso illimitato alle risorse aziendali. Di conseguenza, trovarsi all'interno della rete aziendale non è più un motivo per fidarsi di un utente o di un dispositivo.
Non fidandosi mai di nessun utente o dispositivo per impostazione predefinita, il zero trust verifica continuamente le identità degli utenti e dei dispositivi sulla rete, indipendentemente dalla loro posizione fisica. Richiedere l'autenticazione ogni volta che un utente o un dispositivo richiede l'accesso a risorse diverse mitiga il problema della fiducia implicita negli utenti o nei dispositivi. Il risultato è che quando un aggressore inevitabilmente trova un punto debole in qualsiasi controllo preventivo, la mancanza di fiducia predefinita limita la portata di ciò che quella persona può fare sulla tua rete.
Una mentalità improntata al "presupposto compromesso" pone alcune sfide nell'educare i professionisti della sicurezza riguardo alle realtà di un compromesso. Se i team di sicurezza iniziano a dare per scontato che saranno vittime di un attacco hacker, allora una solida base almeno nei fondamenti della sicurezza offensiva può essere di grande aiuto per interiorizzare questo nuovo cambiamento di mentalità.
Garantire la trasformazione digitale e cloud
La trasformazione digitale e cloud hanno subito un'ulteriore accelerazione a causa della pandemia di Covid-19. Le piccole imprese hanno iniziato a vendere più prodotti e servizi dai siti web, mentre le grandi aziende hanno iniziato a trasferire più carichi di lavoro sul cloud facilitare il lavoro da remoto e favorire l'innovazione. In definitiva, la trasformazione digitale e cloud garantiscono alle aziende produttività, efficienza dei costi, innovazione e crescita. I professionisti della sicurezza devono rendere queste trasformazioni più sicure.
Sebbene cogliere queste opportunità sia indubbiamente un vantaggio netto per le aziende di tutte le dimensioni, i progetti di trasformazione digitale possono causare errori di configurazione e comportano nuove sfide in termini di monitoraggio della sicurezza (cloud). Una mentalità improntata al "presupposto compromesso" prepara i team di sicurezza ai cambiamenti e ai rischi inevitabili derivanti dalla trasformazione dei processi aziendali.
Dal punto di vista delle operazioni di sicurezza, le strategie di trasformazione digitale richiedono di rispondere ad alcune domande fondamentali, quali:
- Hai bisogno di trasferire i tuoi strumenti di sicurezza esistenti sul cloud?
- I tuoi attuali strumenti di sicurezza sono sufficienti per proteggere cloud, l'intelligenza artificiale, l'IoT e altre tecnologie di trasformazione digitale?
- Le pratiche di sicurezza possono evolversi in linea con il business per automatizzare e digitalizzare, portando a una maggiore agilità e visibilità negli ambienti IT, dall'on-premise al cloud?
Verso un futuro più sicuro con sistemi avanzati di rilevamento e risposta
Oggi, le operazioni ransomware si concentrano sull'esfiltrazione dei dati prima di crittografare i file sensibili e i sistemi essenziali. La compromissione iniziale seguita dal movimento laterale e dall'escalation dei privilegi attraverso la rete definisce le operazioni di questi attori di minaccia. Per quanto riguarda le tecnologie e i processi, è chiaro che nella maggior parte delle aziende sono in atto controlli preventivi, ma non sono sufficienti.
Una maggiore visibilità grazie a funzionalità avanzate di rilevamento e risposta contribuisce a raggiungere un adeguato allineamento con una mentalità improntata al "presupposto compromesso" e a bloccare sul nascere gli attacchi ransomware più pericolosi di oggi. Cloud offre opportunità di scalabilità e automazione dei processi di sicurezza.
Il gruppo assicurativo Royal Sun Alliance (RSA) ha fatto proprio questo. La compagnia di assicurazioni generali, con sede a Londra, ha esaminato un portafoglio di fornitori per maturare le proprie capacità di rilevamento e risposta e dotare i professionisti della sicurezza degli strumenti necessari per contrastare i moderni attacchi ransomware.
RSA ha scelto Vectra per alcuni dei seguenti motivi:
- Facilità di implementazione: sono bastate solo un paio di settimane per implementare Vectra nel complesso ambiente IT multi-sede di RSA.
- Aumento immediato della visibilità: da un giorno all'altro, la visibilità di RSA su ciò che accadeva nella rete è aumentata in modo esponenziale.
- Interfaccia intuitiva — Vectra presenta le informazioni agli analisti della sicurezza in modo intuitivo e di facile comprensione, senza sovraccaricare i team di sicurezza come fanno molti altri strumenti di monitoraggio.
- Efficienza della sicurezza: Vectra è una piattaforma intuitiva e intelligente basata sull'intelligenza artificiale. La sua facilità d'uso consente agli analisti meno esperti di gestire efficacemente molte attività di sicurezza meno tecniche, mentre gli analisti più esperti possono dedicare le risorse all'analisi e alla risposta a incidenti di sicurezza più complessi o ad alto rischio.
Se siete interessati a seguire la discussione tra Nuno Andrade, CISO RSA, John Hermans, Head of servizi di sicurezza informatica e gestione dei rischi Head of presso Wipro, Tim Wade, Ufficio del CTO, Direttore tecnico presso Vectra, e Sacha Rehmat, Direttore dei fornitori di servizi globali e integratori di sistemi Vectra AI, potete ascoltarla qui.