Il9 febbraio 2023 è stata festeggiata una pietra miliare della partnership tra Vectra e KPMG, che hanno avuto molto da condividere. La discussione si è incentrata sul valore dell'Effective Security Observability (ESO), alimentato dall'Attack Signal Intelligence™ di Vectra , che potete vedere in questo blog, mentre KPMG e Vectra hanno organizzato un webinar congiunto.
ESO ha obiettivi chiari per le organizzazioni: migliorare la visibilità della loro posizione di sicurezza, ridurre il rischio che gli incidenti diventino crisi e rassicurare sulla protezione dei loro dati critici.
Il webinar è arrivato al momento giusto, poiché è stato scatenato da un recente attacco informatico DDOS a infrastrutture critiche in Europa. L'attacco proveniva molto probabilmente da un gruppo di hacker filorussi, Killnet, che aveva preso di mira diverse imprese e aziende in Europa, tra cui ospedali nei Paesi Bassi. Per fare maggiore chiarezza sull'argomento, Jordi van den Breekel, Red Team & TIBER lead di KPMG Olanda, si è unito al panel moderato da Henrik Smit, Director Cyber Security di KPMG.
La conversazione ha esplorato i rischi che le minacce informatiche comportano per le infrastrutture e le organizzazioni critiche. Con il recente aumento degli attacchi informatici nelle ultime settimane, l'argomento non potrebbe essere più attuale. Una delle minacce discusse è stata il Ransomware, che è emerso come vincitore in uno dei sondaggi del pubblico come la più grande paura del pubblico. La discussione ha rivelato che le infrastrutture critiche non comprendono solo gli ospedali, ma anche i servizi governativi, bancari ed energetici, nonché i prodotti alimentari e altri settori che fanno parte della catena di approvvigionamento.
Questo è ciò che abbiamo scoperto durante il nostro sondaggio con il pubblico:
Quale minaccia informatica vi preoccupa di più?
La conclusione precedente - che l'impatto di un attacco DDOS è molto visibile, ma non causa danni permanenti e irreversibili - è stata chiaramente confermata dal pubblico, che ha ottenuto un punteggio di solo circa il 6%. Durante la discussione successiva, i relatori hanno chiarito che il vincitore assoluto è stato l'APT (Advanced Persistent Threat). Le minacce costanti evolute spesso culminano in un attacco ransomware, spesso accompagnato da una fuga di dati. Spesso vediamo il phishing e il DDoS come punto di partenza delle campagne ransomware per distrarre o ottenere l'accesso al sistema della vittima.
Il sondaggio successivo si è concentrato sui partecipanti che lavorano con e nelle infrastrutture critiche: ci siamo chiesti quanto sia reale la minaccia informatica per questo gruppo.
Gli attacchi alle infrastrutture critiche sono in aumento. Lo riconoscete nel contesto della vostra organizzazione?
Se analizziamo le risposte di coloro che lavorano nelle infrastrutture critiche, è chiaro che il 100% di queste organizzazioni riconosce la nostra dichiarazione. Ho anche riflettuto sulla possibilità che anche alcune delle altre possano rientrare nella discussione sulle infrastrutture critiche estese. Un esempio potrebbe essere un impatto nella catena di approvvigionamento della nostra industria alimentare, che potrebbe avere un impatto altrettanto grave.
Da qui, abbiamo voluto conoscere l'importanza della digitalizzazione nelle organizzazioni del nostro pubblico. La rilevanza di questa domanda deriva dal possibile impatto di un cyberattacco sulla continuità dell'organizzazione.
Quanto la digitalizzazione è diventata la pietra angolare dei vostri processi produttivi?
I risultati non sono stati sorprendenti. La digitalizzazione è importante e, anche se non possiamo trarre conclusioni definitive, crediamo fermamente che sia importante per le infrastrutture critiche e non.
KPMG e Vectra possono confermare l'importanza della digitalizzazione, come osservato nella loro base di clienti. Pertanto, la risposta al sondaggio precedente ha giustificato immediatamente quello successivo, in cui si chiedeva quanto "l'azienda" fosse coinvolta nella definizione della strategia di sicurezza. Il contesto per questa domanda è che oggi l'IT e la cybersecurity sono (e dovrebbero essere) argomenti rilevanti anche per il consiglio di amministrazione. I CISO devono essere ascoltati.
Quanto è coinvolta l'azienda nella definizione di una strategia di sicurezza?
Il risultato di questa domanda ha suscitato opinioni diverse. Da un lato, è bello vedere che "per niente" non ha registrato alcuna risposta. Tuttavia, 1 su 3 ritiene che non ci sia un vero coinvolgimento e 1 su 5 probabilmente non è sicuro. Tuttavia, la cybersecurity non è più un pensiero secondario e, con la digitalizzazione, dovrebbe essere importante anche per il consiglio di amministrazione. Non solo la strategia di difesa, ma anche la strategia di violazione dovrebbe essere discussa. Che cosa succede se il ransomware - che è percepito come un grande rischio, come abbiamo appreso in precedenza - ha successo? L'azienda è disposta a pagare? Se sì, quanto e chi avrà il mandato di negoziare?
Nel caso in cui si verifichi un cyberattacco, l'impatto potrebbe essere significativo. Il primo riflesso è ovviamente la disponibilità, la continuità e il marchio, per citarne alcuni. Ma avete pensato all'impatto sui dipendenti? Ci siamo chiesti quanto questo aspetto sia già considerato.
La vostra azienda prende in considerazione l'impatto mentale di un attacco informatico per i dipendenti?
Il risultato di questo sondaggio è preoccupante! Dovremmo puntare a migliorare questo aspetto.
Approfondendo il problema, è evidente che ci sono due aree critiche che richiedono la nostra attenzione immediata. In primo luogo, i dipendenti spesso cadono involontariamente nelle e-mail phishing e nei documenti dannosi, e il personale addetto alla sicurezza non dovrebbe essere ritenuto l'unico responsabile di tali incidenti. In secondo luogo, dopo un attacco, i team di sicurezza sono spesso sottoposti a uno sforzo estremo, lavorando molte ore e sopportando il peso della colpa e del senso di fallimento. Questo problema è altrettanto grave della stanchezza da allerta e del relativo burnout, se non di più.
Dopo aver identificato queste sfide, è ora il momento di esplorare le possibili soluzioni e trarre alcune conclusioni. Poiché abbiamo già discusso in dettaglio l'osservabilità efficace della sicurezza (ESO), possiamo passare subito alle conclusioni. Poiché l 'ESO è già descritto chiaramente nel blog a cui ho fatto riferimento in precedenza, posso passare subito alle conclusioni:
Poiché sia Vectra AI che KPMG conoscono bene queste sfide, le conclusioni presentate sono in linea con le best practice che entrambe le organizzazioni presentano sempre:
- Utilizzate l'autenticazione a più fattori (MFA) per tutti gli account, ma sappiate che non è infallibile e può essere aggirata. Per evitare l'affaticamento da MFA, rimanete vigili e rivedete e aggiornate regolarmente le vostre pratiche di sicurezza.
- Assicuratevi che i vostri strumenti di sicurezza, come l'endpoint detection and response (EDR) e il network detection and response (NDR), siano correttamente integrati e coprano i giusti casi d'uso. Testate e valutate regolarmente la loro efficacia nel complesso: Persone, processi e tecnologia.
- Evitate di creare silos di rumore inutile, inoltrando al Security Operations Center (SOC) solo segnali di attacco ad alta fedeltà. In questo modo il team potrà concentrarsi sulle minacce più critiche.
- Utilizzate la tecnologia per supportare il vostro personale di sicurezza e aiutarlo a stare bene mentalmente. Implementate strumenti e processi che consentano al vostro team di lavorare in modo più efficiente ed efficace e controllate regolarmente che non si verifichino fenomeni di burnout o altri effetti negativi.
Per concludere, la mia conclusione sul formato è che è stato piacevole da fare e sembrava mantenere il pubblico attento e interattivo. Il fatto che l'esito della conversazione e l'analisi dei risultati siano stati interamente guidati dal pubblico lo ha reso piuttosto unico.
Esperimenti = successo? Controllare!
Per saperne di più, visitare il sito: