Nel testo che vi proponiamo qui di seguito, Massimiliano Galvagna (in foto), Country Manager Italia di Vectra AI, spiega come individuare un attacco informatico mentre è in corso grazie all’intelligence e come dovrebbero comportarsi le aziende in caso di violazione.
Buona lettura.
Quando si tratta di rilevare le minacce e individuare gli attacchi, l’elemento chiave è la visibilità. Attraverso la tecnologia, le persone e i processi, le organizzazioni devono massimizzare la propria visibilità su l’intero ecosistema aziendale: dagli endpoint ai server, dalle reti ai fornitori di cloud, fino ad arrivare ai server delle app web.
Spesso le organizzazioni non sono in grado di stare al passo con i criminali informatici e riescono a rilevare i segni di una violazione solo in presenza di movimenti laterali sulla rete o di attacchi eclatanti come il ransomware. A questo punto è già troppo tardi, ma una maggiore visibilità avrebbe potuto fermare l’attaccante prima.
Gli analisti della sicurezza hanno bisogno di una tecnologia in grado di fornire un’intelligence immediatamente azionabile che monitori l’attività di rete. Avere a disposizione molti dati è fondamentale, ma se gli analisti non sono poi in grado di ricavarne informazioni utili sui segnali di attacco, i movimenti dei cyber criminali passeranno inosservati. Dotarsi di una buona intelligence significa acquisire maggiore visibilità e ciò può aiutare a individuare i primi segnali di attacco, che è il metodo migliore per costruire la resilienza informatica.
È, inoltre, essenziale cambiare mentalità in materia di sicurezza, superando un approccio fondato sulla sola prevenzione: accettare l’idea che, nonostante tutte le precauzioni, si verificherà un attacco informatico mette in condizione di poterlo individuare rapidamente. E questo può fare la differenza tra subire piccoli danni o ritrovarsi con una rete completamente distrutta.
Valutare i costi in base al valore delle soluzioni
In termini di budget, le organizzazioni dovrebbero guardare al valore delle soluzioni, per rafforzare la sicurezza nel modo più efficace ed efficiente. Ad esempio, l’adozione di una tecnologia che offra agli analisti della sicurezza visibilità su tutti gli aspetti digitali dell’ambiente aziendale li aiuterà a rispondere agli incidenti in modo molto più rapido e accurato.
Garantire sicurezza alla propria organizzazione non vuol dire necessariamente attivare un processo complesso o costoso. Se l’azienda non dispone di un team di sicurezza completo, può integrare le proprie competenze con servizi di Managed Detection and Response e affidarsi a team dedicati e attivi 24 ore su 24.
Limitare le risorse dedicate alla sicurezza non porta, infatti, a un reale risparmio. Quando il rilevamento delle minacce e la visibilità vengono messi in secondo piano per motivi di budget, le organizzazioni si trovano il più delle volte a dover sborsare più soldi per riprendersi dagli attacchi di quanti ne avrebbero spesi per dotarsi di strumenti di threat detection.
Come comportarsi dopo un data breach
Nel caso in cui si verifichi una violazione dei dati, la direzione generale dell’organizzazione deve adottare una strategia di gestione della crisi che comunichi chiaramente la natura dell’incidente, sia all’interno nei confronti dei propri dipendenti sia all’esterno nei confronti delle autorità di regolamentazione, dei clienti e dei partner. La trasparenza deve essere al centro di questo dialogo, in modo che tutti gli stakeholder possano pianificare le prossime azioni e reagire di conseguenza.
La chiave è avere un approccio positivo al fallimento e trovare il giusto equilibrio tra la condivisione regolare di aggiornamenti importanti con gli stakeholder e la comunicazione eccessiva. È meglio non fornire troppe informazioni quando l’incidente è in corso e le risposte non sono ancora disponibili.
La direzione aziendale dovrebbe anche prendere in considerazione la possibilità di effettuare esercitazioni di risposta agli attacchi informatici in tutta l’organizzazione. Eseguendo esercitazioni regolari, i dipendenti saranno preparati sulle azioni necessarie da intraprendere in seguito a un incidente.
È inoltre fondamentale adottare una cultura aziendale proattiva in materia di sicurezza informatica: i dipendenti devono essere incoraggiati a segnalare ogni possibile segno di attività sospetta che incontrano sui loro dispositivi, indipendentemente da quanto piccolo possa sembrare, in modo che i team di sicurezza siano allertati rispetto a potenziali violazioni su tutti i fronti.