[section_title title=Parte uno]
A cura di Ivan Straniero, Territory Manager, Italy & SE Europe Arbor Networks
Le cyberminacce che le aziende devono affrontare continuano a evolversi, in parte per via dell’ampliamento delle motivazioni che le muovono e in parte a causa della crescente complessità degli attacchi stessi. Negli ultimi anni abbiamo assistito a un’estensione delle motivazioni che spingono i cyber attaccanti ad agire: estorsione, vandalismo, hacktivismo ideologico, sottrazione di dati e frodi finanziarie appaiono regolarmente sui titoli dei giornali. Dal punto di vista tecnico, invece, toolkit e tecniche di offuscamento sono ormai largamente disponibili all’interno dell’underground cyber-criminale. E poi, ovviamente, abbiamo anche le minacce sponsorizzate da stati sovrani che mettono a disposizione risorse significative per sviluppare e sfruttare nuovi tool e vulnerabilità.
Proteggere le nostre aziende da queste minacce richiede, nella maggior parte dei casi, di fare leva sulla visibilità e sulle competenze esistenti all’esterno delle aziende stesse per ottenere intelligence sui pericoli che dobbiamo affrontare. Intelligence è un termine di moda nel settore della sicurezza, e tutti i produttori di apparecchiature, i partner e altri team di ricercatori specializzati dispongono di propri feed che possiamo consumare a nostra volta. Ma cosa rende i dati di intelligence più validi di altri?
Per prima cosa cerchiamo di capire perché ci occorre un’intelligence di buona qualità. Dall’intelligence dipendono alcune delle funzionalità di rilevamento che compongono molti dei nostri controlli preventivi (per esempio gli IDS, Intrusion Detection System) e senza un feed di intelligence regolarmente aggiornato l’efficacia di queste soluzioni si riduce. La veridicità di questa intelligence è parimenti importante: minimizzare i falsi positivi (e i falsi negativi) e fornire informazioni di contesto intorno agli eventi rilevati ci può aiutare a massimizzare l’efficacia delle nostre risorse di sicurezza permettendoci di concentrarle sui rischi più gravi o sugli eventi prioritari.
In secondo luogo dobbiamo definire quali sono le caratteristiche di un’intelligence di qualità. Idealmente i dati che utilizziamo devono essere validi, pertinenti e tempestivi. Le informazioni di intelligence vengono generate in molti modi diversi, dall’analisi del malware al monitoraggio del traffico o al feedback ricavato dai produttori specializzati attraverso i sistemi installati presso i loro clienti – e tutte queste informazioni sono parimenti valide. Nel caso degli indicatori di compromissione basati su rete, le informazioni devono essere le più granulari possibili: come minimo occorrono indirizzo IP, protocollo e numero di porta, ma idealmente ci occorrerebbero anche nomi dei domini e URL dal momento che maggiore è la granularità dei dati e minori sono le possibilità di incorrere in un falso positivo o falso negativo.
Per proseguire la lettura vai alla pagina seguente.
