Nel panorama della cyber security i paradigmi sono in continua evoluzione. Un fenomeno che coinvolge anche il tema della security intelligence e della prevenzione, capisaldi della sicurezza a livello IT. Se fino a qualche anno fa la logica era quella di creare una sorta di “fortezza inespugnabile”, oggi la prevenzione si orienta verso formule più dinamiche, puntando in particolare sulla security intelligence.
Ammettere i propri limiti
Ammettere i propri limiti
Il superamento della logica della difesa a livello di perimetro deriva da due fattori.
Il primo ha carattere oggettivo ed è legato all’ampliamento del perimetro stesso, che attraverso i servizi cloud e la sempre maggiore diffusione del lavoro in mobilità rende sempre più difficile definirne i contorni.
Il secondo, invece, è di carattere culturale: l’ammissione del fatto che l’idea di una difesa impenetrabile è un’utopia. In altre parole, gli esperti di sicurezza sanno perfettamente che non è possibile predisporre un sistema di difesa inviolabile. Se un pirata informatico decide di fare breccia nei nostri sistemi, prima o poi potrebbe trovare il modo di farlo. Quella tra esperti di cyber security e criminali informatici, in pratica, è diventata una partita a scacchi in cui le variabili sono talmente numerose da rendere impossibile la predisposizione di una strategia che, a priori, garantisca la vittoria. Bisogna piuttosto cambiare strategia e adattarla di volta in volta.
Il ruolo della security intelligence
Il ruolo della security intelligence
Da questo punto di vista, l’attività di intelligence è uno dei pilastri della nuova declinazione della sicurezza. L’attività degli esperti nell’analizzare le nuove tecniche di attacco e nel monitorare ciò che succede sul Web consente di creare quel patrimonio di informazioni e competenze attraverso le quali è possibile capire dove concentrare gli sforzi per contrastare i cyber attacchi.
Le strategie dei pirati informatici, infatti, cambiano periodicamente a seconda delle condizioni. A influenzare questi cambiamenti spesso è anche l’andamento del mercato informatico e l’affacciarsi di nuove tecnologie, ma sono spesso determinanti elementi contingenti che potremmo definire “esterni” al mondo dell’information technology.
Un esempio relativo al primo caso è quello del boom di attacchi nei confronti dei database su cloud registrato tra il 2018 e il 2020, che ha fatto leva su una sorta di “ingenuità” diffusa degli amministratori IT, ancora poco attenti a definire impostazioni adeguate a livello di protezione dei server virtuali caricati su cloud.
Dalla scelta dell’exploit a quella del payload</strong
Dalla scelta dell’exploit a quella del payload</strong
Dalla scelta dell’exploit a quella del payload
Se elementi contingenti possono influire sulle tattiche di attacco usate dai cyber criminali, è bene tenere presente che questa dinamicità può riguardare sia la scelta degli exploit, cioè del tipo di attacchi e dei bersagli, sia quella dei payload utilizzati e delle tecniche usate per monetizzare gli attacchi stessi.
Per quanto riguarda gli exploit, le scelte dei cyber criminali si concentrano di solito su settori in cui sono emerse vulnerabilità particolarmente significative (un esempio è quello del fenomeno delle botnet che prendono di mira i dispositivi della Internet of Things), che consentono loro di raggiungere il massimo risultato con il minimo sforzo, magari sfruttando la disponibilità di strumenti di hacking attraverso la formula del “malware as a service”.
Per quanto riguarda la scelta dei payload, cioè dei malware utilizzati, entrano in gioco anche altre considerazioni. La diffusione di crypto miner, per esempio, è coincisa con un periodo in cui le valute virtuali stavano vivendo un momento di crescita, mentre l’uso intensivo di ransomware (fenomeno peraltro ancora significativo) ha avuto una durata limitata dalla comparsa di strumenti specifici e dall’adozione di specifiche policy a livello di backup da parte delle aziende.
In tutto questo, l’attività di security intelligence consente di anticipare le mosse dei pirati e predisporre le difese più adatte alle nuove “tendenze”. La capacità di collocare il rischio di un attacco sia a livello quantitativo che qualitativo rappresenta, oggi, uno dei più incisivi fattori a livello di prevenzione.
NovaNext, system integrator, security advisor e training center per i professionisti dell’ICT, progetta e realizza le più avanzate soluzioni in ambito Security, Data Center, Networking, Collaboration e offre una gamma completa di Managed Security Services. Gli esperti NovaNext accompagnano i Clienti nella scelta, nell’attivazione e nella gestione dei mezzi di protezione più adeguati a supportare l’evoluzione strategica dell’Azienda, in tutta sicurezza.
