Oggi la protezione aziendale deve essere in continuous readiness. Ovvero deve mantenere un controllo costante sulle attività di rete ed essere in grado di reagire immediatamente. Fabio Battelli, Partner Deloitte Risk Advisory, ci spiega perché non può esistere un approccio diverso della continuous readiness nella cybersecurity.
“Lo scenario oggi è quello di una forza d’attacco molto “democratica” – spiega Battelli –, nel senso che nessuna azienda, pubblica o privata, di qualsiasi mercato verticale e dimensione può sentirsi immune da un attacco”.
I dati parlano chiaro: gli attacchi più comuni sono di tipo malware, in particolare ransomware, con un obiettivo solo. Il blocco dei sistemi It aziendali e il furto dei dati, infatti, sono quasi sempre a scopo di estorsione. E spesso sono perpetuati a partire da accessi autorizzati. A complicare lo scenario la constatazione che gli attaccanti sono sempre un passo avanti di chi si deve difendere, in termini di risorse computazionali e di competenze. “È una sfida in continua evoluzione – osserva il manager – perché le minacce sono sempre più sofisticate”.
Continuous readiness: approccio reattivo e proattivo alla sicurezza
Per questo, negli ultimi anni si è compreso che l’unico modo di arginare i rischi è di adottare un approccio reattivo e proattivo. Un approccio che i sistemi tradizionali di protezione non sono in grado di garantire. Le aziende si devono dotare di piattaforme per la sicurezza di nuova generazione, spesso composte da diversi tool, capaci di accorgersi del pericolo quando ancora è in embrione.
Le piattaforme di protezione che abbracciano il paradigma continuous readiness sfruttano tecnologie innovative basate sullo studio degli analytics e sul machine learning.
Perché e quali analytics? “Occorre mettere a fattor comune tutte le informazioni su un possibile rischio – prosegue Battelli”. Ciò significa, per il vendor di sicurezza, avere accesso a piattaforme comuni di condivisione delle informazioni sugli attacchi, ma non solo. Serve anche sfruttare uno spider che analizzi costantemente la Rete per individuare comportamenti anomali o informazioni condivise sull’azienda che si vuole proteggere. Inoltre, serve raccogliere dati e informazioni in tempo reale sui comportamenti dei dipendenti all’interno dell’architettura aziendale.
In questo contesto entra in gioco il machine learning. Gli algoritmi di intelligenza artificiale si occupano di imparare dai comportamenti usuali all’interno della rete aziendale e lanciano un alert non appena si osserva un’anomalia. Se, infatti, un dipendente di un’azienda italiana accede improvvisamente al cloud aziendale da una località asiatica e scarica delle informazioni che non dovrebbero interessarlo, scatta l’allarme. Perché, con ogni probabilità, al dipendente sono stati sottratti i dati di accesso al cloud aziendale.
LEGGI ANCHE: NETWITNESS SCOMMETTE SULL’ITALIA E SUI PARTNER DI CANALE
Netwitness: la piattaforma perfetta per la sicurezza
Un’altra componente di una piattaforma di continuous readiness si occupa della reattività. Ciò significa organizzare subito le giuste contromisure, automatizzando i task, senza necessariamente un intervento umano. Così, il dipendente di cui sopra, per esempio, potrebbe vedersi negato istantaneamente il prossimo accesso, per sicurezza.
Deloitte, nella sua periodica attività di scouting delle soluzioni migliori da proporre ai suoi grandi clienti, si affida a Netwitness. “La tecnologia Netwitness – spiega Battelli -, sposa integralmente il modello continuous readiness. La piattaforma di protezione ha la capacità di individuare eventi sospetti non appena si verificano grazie all’analisi dei dati. In questo modo fornisce una forte garanzia di riduzione delle tempistiche di individuazione evento e di risposta”.
“Vedi tutto, niente paura” è il payoff abbastanza esplicativo di Netwitness (parte di RSA), piattaforma di Detection & Response. La soluzione offre ai team It una visibilità completa su tutta l’infrastruttura distribuita, per esempio su cloud ibrido. Le sue funzionalità di orchestrazione e automazione, inoltre, rendono più semplice stabilire le priorità di intervento, indagare rapidamente sulle minacce e coordinare le attività. La velocità di rilevazione degli attacchi, poi, è molto più alta dei concorrenti, anche grazie alla capacità di correlare gli incidenti. L’analisi e l’apprendimento automatico dei comportamenti sul cloud, infine, permette il rilevamento immediato delle anomalie che possono trasformarsi in minacce esterne e interne.