Quando si presenta una minaccia fisica, la maggior parte delle persone mette in atto meccanismi di protezione. Quando si viene avvisati dell'imminente arrivo di un uragano, è naturale che le persone chiudano le loro proprietà e si mettano al riparo. Questo comportamento è condizionato, ma perché questo condizionamento non si estende ai programmi di sicurezza aziendali?
La protezione dei dati richiede diversi controlli che, insieme, migliorano la difesa contro un attacco informatico. Fornire funzionalità di rilevamento o di risposta da sole non è sufficiente. Le singole soluzioni possono consentire di ridurre al minimo i danni, ma la protezione proattiva dei dati in anticipo rispetto ai danni è ciò a cui i professionisti della sicurezza aspirano veramente, ed è ciò che tratterà questo blog.
Comprendere la dichiarazione del problema
Molte organizzazioni implementano controlli per identificare quando i dati sono compromessi e come recuperare al meglio la sfida. Questo approccio è comune perché non è possibile prevenire al 100%. Come sappiamo, gli attori delle minacce sono molto intelligenti e innovativi nei metodi che utilizzano per compromettere le organizzazioni. Con questo approccio, la protezione endpoint sembra essere "lo strumento" che la maggior parte delle organizzazioni vuole avere a disposizione. È onnipresente, ma può essere insufficiente, poiché gli aggressori sono riusciti ad aggirare queste protezioni compromettendo le credenziali di identità e di accesso. Gli approcci alla protezione Endpoint possono essere implementati con difficoltà, richiedendo una combinazione di tecniche per garantire l'efficacia effettiva e i requisiti di usabilità. Inoltre, possono creare problemi di interoperabilità, richiedere operatori esperti e competenti o dare luogo a un elevato numero di falsi positivi che esauriscono rapidamente le risorse. L'azienda tipica può proteggere circa il 40% del suo ambiente con la protezione endpoint , lasciando il resto esposto. Gli attori delle minacce hanno dimostrato la loro capacità di aggirare la protezione endpoint con nuovi exploit e vulnerabilità. Inoltre, con credenziali valide, gli attori delle minacce possono ottenere l'accesso e avviare una campagna difficile da fermare con approcci reattivi alla protezione endpoint . Per questo motivo, sono necessarie altre soluzioni per rilevare gli abusi nell'accesso ai dati.
Anticipare la minaccia
È possibile anticipare le minacce e proteggere i dati in modo proattivo eliminando i silos di controllo della sicurezza e cercando di adottare un approccio olistico alla sicurezza. Il concetto di sicurezza olistica non è nuovo. Il NIST (National Institute of Standards and Technology) Cybersecurity Framework svolge un lavoro eccellente nel delineare gli elementi critici della sicurezza olistica e le loro relazioni. Questi componenti sono incentrati sulle capacità di Identificazione, Protezione, Rilevazione, Risposta e Recupero. Per impostazione, i fornitori di sicurezza si concentrano tradizionalmente su questi controlli singolarmente, semplicemente a causa della vasta portata delle minacce informatiche e della complessità che comporta affrontarle. Poiché i casi d'uso dei fornitori di sicurezza sono tradizionalmente isolati a controlli specifici, ciò comporta un enorme onere per l'operatore, che deve definire manualmente le relazioni tra i controlli di sicurezza proattivi in un panorama di minacce sempre più complesso.
Protezione dei dati proattiva assistita dal fornitore
Superna for Dell, leader mondiale nella sicurezza dei dati non strutturati, e Vectra, leader mondiale nel rilevamento e nella risposta alle minacce, hanno collaborato a questo problema per aiutare i clienti a implementare automaticamente controlli proattivi sulla protezione dei dati. In questo modo, Superna e Vectra aiutano i clienti a far evolvere la protezione dei dati tradizionale in sicurezza avanzata.
Vectra si avvale di un'intelligenza artificiale avanzata per identificare e dare priorità alle attività sospette nelle prime fasi della progressione dell'attacco, prima che venga inflitto un danno. Quando singole minacce o profili di attacco prendono di mira i dati, Vectra lo comunica a Superna, in modo che i dati critici possano essere immediatamente messi in uno stato protettivo e immutabile senza impattare l'accesso ai dati di produzione. In questo modo, i dati vengono messi al sicuro e si evita la necessità di un costoso recupero.
Inoltre, Superna fornisce le sue analisi in tempo reale e la forensics storica al livello dei dati stessi, comprendendo quando un'attività nefasta rappresenta una minaccia diretta ai dati critici, anche se non è stato attivato un tripwire di sicurezza tradizionale. Questo auditing avanzato in tempo reale e la visione storica dell'attività dei dati aiutano a proteggere i clienti dalle attività di cattivi attori interni e dal Ransomware, dalla fuga di dati, dalle cancellazioni di massa e dall'accesso di utenti non fidati. Il documento sulla strategia data-first di Superna è disponibile qui.
Un approccio unico
Il ransomware è probabilmente la tecnica di distruzione/interruzione dei dati più comune che si incontra oggi. Sebbene diverse soluzioni siano in grado di rilevare le varianti note di ransomware o il processo attivo di crittografia del traffico, si tratta comunque di una soluzione più reattiva che proattiva. Inoltre, l'adozione di misure precauzionali basate su singole minacce interrompe inutilmente l'attività aziendale. Ciò si verifica se il segnale delle minacce non è di alta qualità e non è prioritario in modo appropriato.
Vectra e Superna offrono un approccio unico per affrontare questi problemi. Vectra si posiziona in modo unico sfruttando il brevetto Security-AI guidato da Attack Signal IntelligenceIntelligenceTM per rilevare automaticamente, classificare e dare priorità alle minacce note e sconosciute in tempo reale. L'approccio alla sicurezza guidato dall'intelligenza artificiale identifica gli attacchi il più presto possibile nella loro progressione. Una di queste applicazioni pratiche è discussa nel documento "Stop a RansomOp Before Ransomware". La capacità unica di identificare i primi segnali di ransomware prima di qualsiasi esfiltrazione o crittografia dei dati, insieme alla capacità di emergere con urgenza, è fondamentale per consentire una protezione proattiva dei dati.
Superna ha piena visibilità sull'impronta dei dati non strutturati e ha la capacità unica di eseguire lo snapshot dei file system o degli object store appropriati e di collocarli in uno stato protettivo immutabile per evitare interruzioni o recuperi costosi senza impattare sui dati di produzione. Le copie pulite dei dati di produzione possono essere archiviate in un cyber caveau protetto dall'aria, fondamentale per settori come quello finanziario e sanitario.
Architettura di sicurezza Data First
Un'architettura di sicurezza data first inizia con la protezione dei dati in anelli che circondano i dati stessi e si estendono verso il dominio di rilevamento meno significativo. Un esempio potrebbe essere un dominio con la più alta percentuale di falsi positivi o dove è disponibile solo una copertura di monitoraggio parziale, come gli endpoint. L'immagine seguente illustra come potrebbe apparire l'architettura di sicurezza Data First nel vostro ambiente.
Panoramica sull'implementazione del flusso di lavoro
Per saperne di più, visitare il sito: