In un mondo di minacce sempre più sofisticate e in continuo cambiamento, l‘approccio reattivo alle minacce non è più sufficiente. Molte aziende stanno infatti dirigendo i loro sforzi di sicurezza ad approcci proattivi come il “threat hunting” e il “risk hunting“.
Il threat hunting come metodologia di sicurezza non è abbastanza
Durante la ricerca attiva delle minacce, in genere, si cerca una presunta violazione o criminali informatici all’interno dell’ambiente aziendale e si tenta di ridurre i danni che possono causare. Tuttavia questo approccio prevede che l’azienda sia già stata violata prima di intraprendere qualsiasi azione. Quindi, l’ideale sarebbe spostare la mentalità delle aziende dalla gestione delle minacce in corso alla creazione di una panoramica olistica del loro ambiente che consenta di identificare in anticipo le aree di rischio.
Qui entrano in campo le nuove normative, come NIS2 e DORA, che sono state pensate per far adottare alle aziende un approccio più cautelativo e proattivo alla cybersecurity, con l’obiettivo di passare a nuova forma di “risk hunting”. L’obiettivo del risk hunting è quindi quello di identificare, valutare e mitigare i rischi potenziali prima che si trasformino in minacce concrete.
Dobbiamo lavorare sulla definizione dei rischi
Il risk hunting sarebbe la strategia perfetta per proteggere le aziende dagli attacchi informatici. Tuttavia, non si ha ancora una comprensione adeguata di come pensano i criminali informatici e quindi di ciò che costituisce un rischio all’interno di un’azienda. Questo è dovuto al fatto che non è possibile anticipare la velocità con cui le minacce si evolvono, il che significa che le aziende si difendono solo dai vecchi attacchi non anticipandone l’evoluzione.
Naviga in sicurezza – Ottieni da questo link il 71% di Sconto con NordVPN
Nemmeno la direttiva NIS2, sebbene contribuisca a innalzare il livello della sicurezza di base, è sufficientemente dettagliata per aiutare le aziende a colmare da sola queste lacune relative ai rischi. Le aziende devono quindi formare team orientati al red teaming, ovvero agire come farebbero i criminali informatici e testare i limiti delle policy e dei framework esistenti.
Inoltre, l’individuazione dei rischi non dovrebbe concentrarsi esclusivamente sul rilevamento delle minacce digitali, ma anche identificare, ad esempio, a resilienza dell’azienda in caso di attacco DDOS o di interruzione di Internet.
Quali sono gli approcci più efficaci al risk hunting?
Le tecniche di risk hunting sono numerose, e vanno dall’analisi avanzata e threat intelligence alle tecniche di rilevamento delle anomalie. In particolare, la tecnica che dà i risultati migliori è quella basata sull’intelligence. A differenza della caccia alle minacce, che utilizza Indicatori di Compromissione (IOC) oltre a Tattiche, Tecniche e Procedure (TTP) per determinare dove possono risiedere eventuali rischi o dove un determinato attaccante sfrutterà un rischio potenziale, il rilevamento dei rischi basato su intelligence utilizza gli Indicatori di Attacco (IOA). Gli IOA sono schemi o comportamenti che indicano un attacco in corso o imminente, e aiutano a identificare le strategie utilizzate dai criminali informatici durante un attacco.
Per identificare i punti deboli, molte aziende stanno testando simulazioni digitali di potenziali attacchi per capire come la loro struttura di sicurezza resisterebbe ad attacchi di diversa entità. I team di sicurezza possono, di conseguenza, adattare le loro policies in base a queste informazioni per prepararsi meglio a un attacco reale.
L’efficacia del purple teaming
Il problema non sta nella mancanza di tecnologie per il risk hunting, ma nella mancanza di competenze per utilizzare gli strumenti in modo efficace e applicarli a un ambiente già molto complesso. Infatti, sono pochissimi i professionisti che possiedono le competenze o le conoscenze intrinseche per implementare un approccio di risk hunting e capire cosa è necessario fare per mitigare i pericoli che identifica.
Il team più adatto per individuare i rischi è quello che la comunità della cybersecurity definisce “purple team“. Si tratta di una combinazione di membri del “red team”, focalizzato sul rilevamento delle vulnerabilità all’interno dell’azienda e “blue team”, il gruppo di sicurezza interna che aiuta a colmare le lacune di sicurezza dell’azienda. Le aziende possono quindi riunire i tem per effettuare risk hunting insieme, sia dal punto di vista difensivo che offensivo. I purple team, soprattutto se affiancati da tecnologie di intelligenza artificiale, sono in grado di acquisire i dati giusti e di trarne il significato corretto per apportare le modifiche e gli sviluppi necessari.
Bisogna unificare le proprie tecnologie di sicurezza
Purtroppo, la strada per un risk hunting efficace è ancora lunga. Sia i professionisti della sicurezza che i CISO non sono attrezzati per individuare i rischi, dati gli strumenti eterogenei che producono quantità eccessive di dati disaggregati. L’attuale processo di comparazione e classificazione dei dati ottenuti rende quasi impossibile assimilare e rendere fruibili le informazioni di intelligence.
Una soluzione è quella di collegare tutti gli strumenti in un’unico prodotto in grado di unire tutti i differenti aspetti da tener presenti e quantificare il rischio dell’intera azienda in un formato visivo. Ciò è possibile grazie a tecnologie come l’intelligenza artificiale. Questa soluzione rende possibile anche effettuare audit più frequentemente, per essere sempre un passo avanti rispetto ai criminali informatici e garantire che il livello di sicurezza aziendale sia sempre appropriato.
Per ulteriori informazioni, vi invitiamo a consultare il sito web di Zscaler.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!