Da sempre le aziende si sono affidate alla prevenzione e ai controlli basati su policy per la sicurezza, distribuendo prodotti come software antivirus, IDS/IPS e firewall.
Ma come sappiamo e come hanno dichiarato le società di ricerca del settore, non sono sufficienti per affrontare adeguatamente l'ambiente delle minacce di oggi, che è invaso da una serie vertiginosa di attacchi avanzati e mirati.
Nel tentativo di fornire una direzione solida, Gartner ha consigliato agli architetti della sicurezza informatica di agire come segue:
- Spostare la mentalità della sicurezza dalla "risposta agli incidenti" alla "risposta continua", partendo dal presupposto che i sistemi sono compromessi e richiedono un monitoraggio e una correzione continui.
- Adottare un'architettura di sicurezza adattiva per proteggersi dalle minacce avanzate utilizzando le 12 capacità critiche di Gartner come quadro di riferimento.
Componenti di un'architettura di sicurezza adattiva
L'architettura di sicurezza adattiva a cui fa riferimento Gartner prevede un monitoraggio e una visibilità continui e pervasivi. "Per consentire una risposta veramente adattiva e basata sul rischio alle minacce avanzate, il nucleo di un processo di protezione della sicurezza di prossima generazione sarà costituito da un monitoraggio e da una visibilità continui e pervasivi, analizzati costantemente alla ricerca di indizi di compromissione".
"Il monitoraggio aziendale deve essere pervasivo e comprendere il maggior numero possibile di livelli dello stack IT, comprese le attività di rete, gli endpoint, le interazioni di sistema, le transazioni delle applicazioni e il monitoraggio delle attività degli utenti."
Per affrontare tutti i tipi di attacchi, "avanzati" o meno, è necessario migliorare le capacità di prevenzione, rilevamento, risposta e previsione. Inoltre, queste non dovrebbero essere considerate come capacità isolate; piuttosto, dovrebbero lavorare insieme in modo intelligente come un sistema integrato e adattivo per costituire un processo di protezione completo per le minacce avanzate".
Poiché nessun singolo prodotto può fornire una soluzione di sicurezza completa, i fornitori dovrebbero collaborare tra loro per offrire ai clienti una soluzione completa e interoperabile.
Le funzionalità e i processi che rientrano nella categoria della prevenzione devono ridurre la superficie di attacco bloccando le minacce note prima che abbiano un impatto sull'azienda.
Progettato per individuare gli attacchi che sfuggono alla sicurezza della prevenzione, un buon rilevamento dovrebbe ridurre il tempo di permanenza delle minacce e i possibili danni da esse derivanti.
Le capacità di risposta sono necessarie per indagare e risolvere i problemi di sicurezza scoperti, compresa l'analisi forense, l'analisi delle cause e la raccomandazione di misure preventive per evitare incidenti futuri.
Infine, la tecnologia predittiva dovrebbe incorporare le informazioni raccolte dalla comunità della sicurezza informatica in risposta a eventi reali e a minacce previste.
Dove si va a finire?
Dal punto di vista operativo, è preferibile adottare soluzioni integrate che offrano un'architettura di sicurezza adattabile.
Utilizzate la nota di ricerca Designing an Adaptive Security Architecture for Protection Against Advanced Attacks per valutare gli investimenti e le competenze esistenti e determinare le eventuali lacune. Utilizzate questa architettura anche per valutare nuovi fornitori e soluzioni.
Insistete per avere un monitoraggio e una visibilità continui e pervasivi dell'intera rete e assicuratevi che i dati raccolti vengano analizzati costantemente alla ricerca di indizi di compromissione.
Assicuratevi inoltre che la vostra infrastruttura di sicurezza supporti l'integrazione con solide soluzioni di risposta alle minacce, per garantire la messa in quarantena dei dispositivi host, l'interruzione dei processi dannosi e l'adozione automatica di altre misure per proteggere l'azienda.
Seguendo questi passaggi fondamentali, il team di cybersecurity può risparmiare una straordinaria quantità di tempo e di sforzi e sarà in grado di agire in modo tempestivo e decisivo prima che gli attacchi informatici portino alla perdita o al danneggiamento dei dati.
Come Vectra consente l'implementazione di un'architettura di sicurezza adattiva
Per informazioni dettagliate su come Vectra risponde all'esigenza di un'architettura di sicurezza adattiva, scaricate questo documento gratuito sulla conformità.
"Designing an Adaptive Security Architecture for Protection from Advanced Attacks", di Neil MacDonald e Peter Firstbrook, 12 febbraio 2014, aggiornato il 28 gennaio 2016, ID G00259490, https://www.gartner.com/doc/2665515/designing-adaptive-security- architecture-protection