Gli attacchi cyber, sempre più frequenti e sofisticati e frutto di organizzazioni srutturate, anche a livello internazionale, non solo stanno aumentando la loro velocità di crociera ma si stanno rendendo protagonisti di un pericoloso salto di qualità. Con il digitale, che entra e determina sempre più i processi di ogni forma e dimensione di impresa, oggi al centro del mirino ci sono tutte le aziende, grandi e piccole imprese, le infrastrutture critiche, i fornitori di servizi essenziali…
Come emerso nel corso dell’esclusivo evento organizzato nei giorni scorsi da Il Sole 24 Ore, in collaborazione con Assolomabarda (intitolato, non a caso: “Sviluppare la cyber-resilienza per proteggere le imprese dai rischi”), sono oltre 20 miliardi i tentativi di attacco sferrati ogni giorno su scala mondiale: con un simile scenario non deve stupire se un terzo delle aziende globali abbia subito un attacco con danni ingenti, spesse volte non solo economici, ma deve allertare, invece, che nell’assoluta maggioranza dei casi l’attacco sia andato a buon fine, a causa di errori spesso imputabili al fattore umano.
Una tempesta, dunque, di fronte alla quale emerge con forza la necessità di strategie di difesa e analisi del rischio che vadano oltre la pura tecnologia, il puro prodotto, per sposare modalità di monitoraggio avanzate davvero estese e capaci di abbracciare end point sempre più eterogenei, ambienti cloud, network intelligenti distribuiti o edge.
Strategie e approcci di security su cui da tempo è al lavoro una realtà come NetWitness che, proprio nel corso dell’evento, li ha voluti raccontare nella maniera più utile e diretta davanti ad un pubblico di imprese, manager, professionisti.
La multinazionale americana infatti ha raccontato un caso di eccellente collaborazione, tutta italiana, che ha portato una realtà complessa, critica come una Pubblica Amministrazione a massimizzare la capacità di rilevazione dell’”ignoto”, garantendo una una visione più puntuale ed integrata di una infrastruttura IT, inevitabilmente più complessa tra gestione degli accessi, privilegi, identità e, soprattutto, endpoint diversificati.
Una collaborazione preziosa ed emblematica raccontata dagli stessi protagonisti del progetto: Alessio Alfonsi, Security Advisory System Engineer di NetWitness e Stefano Plantemoli, Security Architect del Dipartimento per le Libertà civili e l’immigrazione del Ministero dell’Interno.
«È molto chiaro e soprattutto necessario, quando si parla di network, il bisogno di avere una visibilità di quello che accade e di come accade – ha esordito Alfonsi -. Un concetto che va di pari passo con quello della consapevolezza. Se conosciamo una minaccia, nota o no, ci fa meno paura, e possiamo affrontarla con più convinzione. Per farlo però serve innanzitutto percezione del rischio, comprensione delle dinamiche che animano la propria infrastruttura IT e la capacità di determinare azioni precise». «NetWitness – continua Alfonsi – è una piattaforma che riunisce una serie di soluzioni che collaborano nel rendere sempre eccellenti ed efficaci le fasi, cruciali, di detection, response e investigation di un attacco o di una dinamica anomala. Grazie alle nostre sonde e al nostro motore di machine learning mettiamo a fattore comune i dati che derivano da mondi differenti quali log, endpoint e pacchetti, con l’obiettivo di estrarre informazioni in tempo reale, per ottimizzare le capacità di detection e ridurre i tempi di intervento degli analisti e dei security team».
Una modalità, una visibilità superiore, che è stata protagonista del caso di collaborazione raccontato proprio nel corso del recente evento.
«Mitigare un attacco cyber non significa solo impedirlo – ha spiegato Stefano Plantlemoli -, questo rappresenta solo una faccia della medaglia, l’altra è rappresentata dalla visibilità, senza di questa è impossibile capire la tecnica usata dall’attaccante e proteggersi nel lungo periodo. Affinché si abbia una buona visibilità, occorre sia una tecnologia efficace come NetWitness che un’architettura abilitante. Ed occorre inoltre tenere in considerazione il fatto che una compromissione è sempre possibile.
In questo scenario, il vantaggio che ci ha comportato l’utilizzo di NetWitness è legato alla capacità di arricchire con metadati nativi e custom i dati delle trasmissioni di rete, aiutandoci ad approfondire e comprendere meglio come l’attaccante cercasse di sfruttare le nostre vulnerabilità. L’integrazione con la componente Endpoint ci ha poi consentito di seguire e ricostruire gli attacchi in tutte le sue fasi.
Con NetWitness abbiamo imparato ad isolare ciò che già viene correttamente interpretato per focalizzarci su ciò che non conosciamo, e questo ha alzato l’asticella della nostra conoscenza, questo ci ha consentito di restare al passo con le capacità elevate di determinati attaccanti».
Un approccio, quello raccontato da Stefano Plantemoli, che ricalca in maniera precisa e pragmatica l’idea di analisi e monitoraggio esteso su cui, come detto, da tempo lavora NetWitness. Un’idea e una strategia precise che oggi consentono alla società americana di essere un riferimento solido in relazione ad una modalità a cui tutti, non a caso, stanno guardando con attenzione crescente: l’extended detection and response (XDR).