Con l'aumentare esponenziale della nostra dipendenza dalla tecnologia, cresce anche la necessità di una solida sicurezza informatica per proteggere gli utenti e mantenere i dati e le operazioni aziendali al riparo dagli hacker.
Ma la crescita delle attività criminali informatiche è diventata un circolo vizioso: più le organizzazioni investono in tecnologie di protezione dei dati, più i criminali informatici diventano abili. Modificano i loro metodi di attacco e i loro comportamenti per mimetizzarsi nel traffico normale, aggirare i controlli di rete tradizionali, infiltrarsi nelle infrastrutture e rubare le credenziali.
A causa di questo costante avanzamento da entrambe le parti, il rilevamento e la risposta di rete (NDR) è ora una voce essenziale per ogni team dirigenziale. Gli attacchi che prendono di mira gli account utente del software-as-a-service (SaaS) sono oggi uno dei problemi di sicurezza più diffusi e in rapida crescita. Questa tendenza è iniziata ben prima del COVID-19 e ha subito un'accelerazione con il passaggio di un numero sempre maggiore di organizzazioni al cloud.
I compromessi del lavoro da remoto
Quando la forza lavoro è passata al lavoro da casa durante la prima ondata di lockdown, il passaggio alla collaborazione online e agli strumenti di produttività è stato rapido ma sostanzialmente agevole. Una conseguenza di questo cambiamento è stato l'aumento del volume di dati sensibili condivisi su più dispositivi. In molti casi, tali informazioni sono ora vulnerabili.
Questo perché gli attuali approcci alla sicurezza possono perdere visibilità con l'espansione degli ambienti nel cloud, dove sempre più spesso gli utenti archiviano più account e accedono alle risorse da dispositivi autorizzati e non autorizzati. Quando i confini tra interazioni online lavorative e personali diventano sfumati, l'esposizione ai rischi informatici aumenta notevolmente.
Rafforzare le difese lacunose
Tradizionalmente, le organizzazioni si sono affidate a server locali strettamente controllati, dove le soluzioni di sicurezza di rete erano in gran parte in grado di proteggere i dati. Con l'aumento dei nuovi dispositivi che accedono cloud aziendali e cloud , le soluzioni tradizionali sono diventate vulnerabili a rischi maggiori e all'uso improprio dei dati nelle cloud .
La realtà odierna è che le reti private e affidabili non possono più essere protette completamente dai sistemi di sicurezza tradizionali, che si concentrano esclusivamente sull'uso di firme e sul rilevamento delle anomalie. Gli analisti e gli esperti del settore concordano sul fatto che l'NDR è più adatto a identificare e bloccare gli attacchi nell'infrastruttura dei moderni data center. L'adozione dell'NDR ha acquisito un enorme slancio grazie alla correlazione tra i comportamenti degli aggressori e la progressione delle minacce tra reti cloud, ibride e on-premise.
Sappiamo che i criminali informatici stanno sfruttando una superficie di attacco più ampia e stanno diventando sempre più sofisticati. Di conseguenza, limitarsi a rafforzare la sicurezza del perimetro della rete non è più sufficiente, soprattutto quando si tratta di fermare gli aggressori più astuti e accelerare il rilevamento. In realtà, il concetto di perimetro di rete non esiste più, perché gli utenti possono connettersi da qualsiasi luogo.
Per molte organizzazioni, la tecnologia di sicurezza si concentra sui comportamenti degli utenti, mentre dovrebbe concentrarsi sui comportamenti degli aggressori. Ciò richiede la conoscenza di ciò che gli aggressori possono fare sulle vostre piattaforme, piuttosto che il monitoraggio degli utenti autorizzati e di ciò che condividono, mentre si è alla ricerca di malintenzionati interni.
È ora di ribaltare la narrativa e guardare alla minaccia più grande: il comportamento degli aggressori.
Prendi esempio da Office 365
Osservando gli utenti di Microsoft Office 365 si capisce quanto sia facile per gli hacker accedere alla rete di un'organizzazione. Il recente Spotlight Report su Office 365 di Vectra ha raccolto dati opt-in da 4 milioni di utenti Office 365 in tutto il mondo e ha scoperto che il 96% dei clienti mostrava comportamenti dannosi di movimento laterale.
Ciò significa che una volta che un hacker ottiene l'accesso a un account Office 365, si apre una backdoor alla rete aziendale, rendendola vulnerabile agli attacchi. Prendiamo ad esempio Microsoft Power Automate. Precedentemente noto come Microsoft Flow, è progettato per automatizzare le attività degli utenti e risparmiare tempo. Power Automate è abilitato di default in Office 365.
Purtroppo, Power Automate è un punto cieco che crea pericolose vulnerabilità di sicurezza in Office 365. Una ricerca condotta dallo Spotlight Report su Office 365 mostra che il 71% dei clienti ha manifestato comportamenti sospetti in Office 365 Power Automate.
Al momento è possibile impostare uno script Power Automate per acquisire automaticamente tutti gli allegati di un'e-mail e salvarli in OneDrive. Un malintenzionato potrebbe quindi compromettere un account e utilizzare Power Automate per acquisire questi documenti e trasferirli su un account Dropbox.
Gli aggressori hanno sfruttato questa funzionalità per assumere l'identità di un account e passare da Office 365 a un dispositivo o a un ambiente locale. In questo modo possono accedere come utenti specifici all'interno di Office 365 e iniziare a danneggiare o sottrarre dati oppure spostarsi lateralmente alla ricerca di risorse di alto valore da rubare.
Adattare la sicurezza della rete alle mutevoli tattiche
Con NDR, le organizzazioni possono identificare le azioni degli aggressori, la loro posizione nella rete e bloccare rapidamente gli attacchi prima che si trasformino in violazioni dei dati. NDR sfrutta algoritmi di machine learning basati sull'intelligenza artificiale per identificare tempestivamente i comportamenti minacciosi in ambienti ibridi, on-premise e cloud. Inoltre, rileva e assegna automaticamente la priorità agli attacchi che rappresentano il rischio più elevato per l'organizzazione e attiva una risposta in tempo reale per mitigare rapidamente le minacce.
Per proteggere i dati e ridurre i rischi informatici, è fondamentale che le organizzazioni adottino un approccio proattivo piuttosto che reattivo alla sicurezza informatica. Affidarsi esclusivamente alla sicurezza perimetrale della rete legacy può comportare errori molto costosi. Oggi, l'NDR è un pilastro essenziale delle migliori pratiche di sicurezza informatica.
Mentre iniziamo a riflettere maggiormente sugli investimenti strategici nella sicurezza nel 2021, è opportuno considerare da dove proverranno il miglior valore e la migliore linea di difesa e in che modo le organizzazioni possono garantire una protezione più efficace. Ciò è particolarmente vero poiché le organizzazioni fanno sempre più affidamento su cloud ibride, on-premise e cloud per una vasta gamma di dispositivi diversi in quello che si preannuncia come un anno complesso e critico.