Con la crescita esponenziale della nostra dipendenza dalla tecnologia, cresce anche la necessità di una solida sicurezza informatica per proteggere gli utenti e mantenere i dati e le operazioni aziendali al sicuro dagli hacker.
Ma la crescita dell'attività dei criminali informatici è diventata un paradosso: più le organizzazioni investono in tecnologie di protezione dei dati, più i criminali informatici diventano abili. Cambiano i loro metodi e comportamenti di attacco per confondersi con il normale traffico e aggirare i tradizionali controlli di rete, infiltrarsi nelle infrastrutture e rubare le credenziali.
A causa di questo costante avanzamento da entrambe le parti, il rilevamento e la risposta alla rete (NDR) sono ormai una voce essenziale per ogni team di leadership. Gli attacchi che prendono di mira gli account utente di software-as-a-service (SaaS) sono oggi uno dei problemi di sicurezza più diffusi e in rapida crescita. Questa tendenza è iniziata ben prima del COVID-19 e si è accelerata man mano che un numero sempre maggiore di organizzazioni passa al cloud.
I compromessi del lavoro in remoto
Quando la forza lavoro è passata a lavorare da casa durante la prima ondata di blocchi, il passaggio agli strumenti di collaborazione e produttività online è stato rapido ma in gran parte agevole. Un sottoprodotto di questo passaggio è l'aumento del volume di dati sensibili condivisi su più dispositivi. In molti casi, queste informazioni sono ora vulnerabili.
Questo perché gli attuali approcci alla sicurezza possono perdere visibilità quando gli ambienti si espandono verso il cloud, dove sempre più spesso gli utenti memorizzano più account e accedono alle risorse da dispositivi sia autorizzati che non autorizzati. Quando le linee di demarcazione tra lavoro e interazione personale online si confondono, l'esposizione ai rischi informatici aumenta drasticamente.
Rafforzare le difese frammentarie
Tradizionalmente, le organizzazioni si sono affidate a server on-premises strettamente controllati, dove le soluzioni di sicurezza di rete erano in grado di proteggere i dati. Con l'aumento del numero di nuovi dispositivi che accedono alle reti aziendali e al cloud , le soluzioni tradizionali sono diventate suscettibili di maggiori attività di rischio e di abuso dei dati nelle applicazioni cloud .
La realtà odierna è che le reti private e fidate non possono più essere completamente protette dalla sicurezza tradizionale che si concentra solo sull'uso delle firme e sul rilevamento delle anomalie. Gli analisti e gli esperti del settore concordano sul fatto che la NDR è più adatta a identificare e bloccare gli attacchi nella moderna infrastruttura dei data center. L'adozione della NDR ha acquisito un enorme slancio grazie alla correlazione dei comportamenti degli aggressori e della progressione delle minacce tra reti cloud, ibride e on-premise.
Sappiamo che i criminali informatici sfruttano una superficie di attacco più ampia e sempre più avanzata. Di conseguenza, il semplice rafforzamento della sicurezza del perimetro di rete non funziona più, soprattutto quando si tratta di fermare gli aggressori più astuti e accelerare il rilevamento. In effetti, il concetto di perimetro di rete non esiste più perché gli utenti possono connettersi da qualsiasi luogo.
Per molte organizzazioni, la tecnologia di sicurezza si concentra sui comportamenti degli utenti, mentre dovrebbe concentrarsi sui comportamenti degli aggressori. Ciò richiede la conoscenza di ciò che gli aggressori possono fare sulle vostre piattaforme, piuttosto che monitorare gli utenti approvati e ciò che condividono, cercando di individuare gli insider malintenzionati.
È giunto il momento di capovolgere la narrazione e di guardare ai comportamenti più importanti degli attaccanti e delle minacce.
Prendete esempio da Office 365
L'osservazione degli utenti di Microsoft Office 365 dimostra quanto sia facile per gli hacker entrare nella rete di un'organizzazione. Il recente rapporto Spotlight su Office 365 di Vectra ha raccolto i dati opt-in di 4 milioni di utenti di Office 365 in tutto il mondo e ha rilevato che il 96% dei clienti ha mostrato comportamenti di movimento laterale dannosi.
Ciò significa che una volta che un hacker ottiene l'accesso a un account Office 365, si apre la porta d'ingresso alla rete aziendale, rendendola vulnerabile agli attacchi. Prendiamo ad esempio Microsoft Power Automate . Precedentemente Microsoft Flow, è stato progettato per automatizzare le attività degli utenti e risparmiare tempo. Power Automate è abilitato di default in Office 365.
Sfortunatamente, Power Automate è un punto cieco che crea pericolose vulnerabilità di sicurezza in Office 365. Le ricerche dello Spotlight Report su Office 365 mostrano che il 71% dei clienti ha mostrato comportamenti sospetti in Office 365 Power Automate.
Attualmente, è possibile impostare uno script di Power Automate per prendere automaticamente tutti gli allegati di un'e-mail e archiviarli in OneDrive. Un utente malintenzionato potrebbe quindi compromettere un account e utilizzare Power Automate per prelevare questi documenti ed esfiltrare in un account Dropbox.
Gli aggressori hanno sfruttato questa funzione per assumere l'identità di un account e passare da Office 365 a un dispositivo o in sede. Possono quindi accedere come utente specifico all'interno di Office 365 e iniziare a danneggiare o esfiltrare i dati o spostarsi lateralmente per trovare risorse di alto valore da rubare.
Adattare la sicurezza della rete alle tattiche in evoluzione
Con NDR, le organizzazioni possono identificare le azioni degli aggressori, la loro posizione nella rete e bloccare rapidamente gli attacchi prima che diventino violazioni dei dati. NDR sfrutta algoritmi di apprendimento automatico derivati dall'intelligenza artificiale per identificare i primi comportamenti delle minacce in ambito ibrido, on-premise e cloud. Inoltre, rileva automaticamente e dà priorità agli attacchi che rappresentano il rischio più elevato per l'organizzazione e attiva una risposta in tempo reale per mitigare rapidamente le minacce.
Per proteggere i dati e ridurre il rischio informatico, è fondamentale che le organizzazioni adottino un approccio proattivo piuttosto che reattivo alla sicurezza informatica. Affidarsi alla sola sicurezza perimetrale di rete può rivelarsi un errore costoso. Oggi la NDR è una pietra miliare essenziale delle best practice di cybersecurity.
Nel momento in cui iniziamo a pensare agli investimenti strategici per la sicurezza nel 2021, è opportuno considerare da dove verrà il miglior valore e la migliore linea di difesa e come le organizzazioni possono garantire una migliore protezione. Ciò è particolarmente vero in quanto le organizzazioni si affidano sempre più a piattaforme ibride, on-premise e cloud per una serie di dispositivi diversi, in quello che si prevede sarà un anno complesso e critico.