Nel contributo che vi proponiamo qui di seguito, Massimiliano Galvagna (in foto), Country Manager Italia di Vectra AI, spiega alle imprese che vogliono raggiungere la piena visibilità sul cloud come ottenere più efficacia del segnale.
Buona lettura.
Secondo l’osservatorio Cloud Transformation del Politecnico di Milano, nel 2022 il mercato del cloud in Italia è cresciuto del 18%, raggiungendo i 4,56 miliardi di euro, anche grazie alla diffusione dell’ufficio ibrido. Ciò suggerisce che gran parte di questa crescita si tradurrà nella creazione di ambienti cloud ibridi. È una buona notizia, ma che va accompagnata da alcune avvertenze. Anche l’esplosione del cloud ibrido ha infatti un rovescio della medaglia e questo è rappresentato dagli attacchi informatici.
Più superficie di attacco. Metodi più sofisticati. Più strumenti di cybersecurity. Più burnout, più turnover, più carenze di talenti. Più di tutto, tranne ciò di cui la funzione di cybersecurity ha davvero bisogno: più efficacia del segnale. Noi la chiamiamo Attack Signal IntelligenceTM – il culmine di decenni di ricerca e sviluppo, di analisi dei comportamenti degli aggressori e di miglioramento dei modelli di Intelligenza Artificiale e di Machine learning per rilevare tali comportamenti. Oggi, mentre molti approcci di AI richiedono molti input umani, Attack Signal Intelligence costruisce una comprensione semantica dell’attaccante e dell’ambiente individuale da difendere che non richiede supervisione.
L’Attack Signal Intelligence sarà fondamentale nell’azienda moderna, che è diventata irreversibilmente ibrida nel suo mix tecnologico. Secondo i ricercatori di IBM Security, nel 2021 il 45% delle violazioni avverrà nel cloud. Vectra ha rilevato che il 72% dei responsabili della sicurezza teme che un aggressore si sia già infiltrato nel proprio ambiente, ma non ha i mezzi per verificare se e dove ciò sia avvenuto. I CISO e i loro team SOC lavorano in un mondo di incognite come questo ed è un lavoro frustrante. Con il moltiplicarsi degli incidenti nel cloud, una mentalità orientata alla prevenzione può rapidamente trasformarsi in una sorta di “cecità tollerata”, che farà fare i salti di gioia agli attaccanti. La visibilità deve essere la priorità: i nostri analisti non possono fare il loro lavoro se non hanno gli strumenti per vedere le minacce. Per farlo, occorre implementare tre elementi progettati per affrontare tre incognite.
Incognite note
Iniziamo dall’esposizione alle minacce sconosciute. I responsabili di governance, risk e compliance (GRC) possono collaborare con i team di cloud security posture management (CSPM) per rilevare le vulnerabilità (configurazioni errate, aggiornamenti trascurati e simili); e potrebbero anche pensare che questo sia sufficiente per impedire agli attaccanti di infiltrarsi nel cloud. Tuttavia, secondo un’indagine di CheckPoint Software del 2021, il 75% dei cyberattacchi riusciti nell’anno precedente ha sfruttato vulnerabilità risalenti a più di due anni fa, quindi l’approccio attuale potrebbe richiedere una messa a punto.
Una volta analizzati i punti in cui un attaccante potrebbe violare il perimetro, occorre stabilire se la violazione è già avvenuta e, in caso affermativo, dove. La compromissione sconosciuta è l’incubo di ogni CISO, soprattutto se si considerano le limitazioni delle attuali soluzioni puntuali a coprire reti, endpoint e tutto ciò che sta in mezzo. Se poi si aggiungono elementi cloud come IaaS, PaaS, SaaS, ci si rende conto della complessità della cybersicurezza del cloud ibrido. Eppure, spesso le organizzazioni usano ancora strumenti isolati che inviano al personale del SOC una serie di telemetrie. Gli attaccanti si accontentano di nascondersi in questo rumore di fondo, mascherati da una tempesta di falsi positivi e aiutati dal fatto che i loro avversari soffrono di “alert fatigue”, ovvero l’esaurimento che deriva dall’inseguire ripetutamente gli allarmi senza trovare nulla.
Il problema del rumore di fondo si ripercuote anche sulla terza incognita. Forse abbiamo trovato la porta d’accesso, ora dobbiamo cercare l’infiltrato e il suo carico. Da dove iniziare a cercare le minacce sconosciute? Come fare a scoprire come stanno procedendo? I difensori e i team di risposta agli incidenti possono essere rallentati da soluzioni puntuali, che li costringono a correre da un riquadro all’altro per cercare di mettere insieme i pezzi. E ciò può portare a una scoperta tardiva.
Tre sfide
È tempo di cambiare. La resilienza del cloud ibrido è fondamentale, ma spesso le organizzazioni non hanno le competenze e/o il talento per fornirla. Per dare un segnale di chiarezza e spezzare il circolo vizioso, occorre affrontare tre sfide. In primo luogo, il personale ha bisogno del nostro supporto: sono andati in burn out o sono prossimi al burn out. In genere sono troppo giovani per avere l’esperienza necessaria e potrebbero anche non avere le competenze giuste per affrontare l’escalation di minacce e la loro sofisticazione, o per comprendere le complessità della sicurezza del cloud.
La seconda sfida risiede nei processi. Quando IBM Security sostiene che le organizzazioni impiegano in media 10 mesi per identificare e contenere una violazione, vuol dire che occorre implementare l’automazione, subito. Seguiranno meno attività manuali e una migliore orchestrazione del flusso di lavoro. In terzo luogo, bisogna affrontare le carenze tecnologiche, per aiutare i SOC privi di visibilità che si affannano in modo inefficace per gestire i propri ambienti e le minacce che devono affrontare. Vectra le chiama le tre V: visibilità, visibilità, visibilità.
Abbiamo citato tre pilastri, tre incognite, tre sfide. Ecco un’altra triade: tre risultati che garantiranno una vera Attack Signal Intelligence in un cloud ibrido. Il primo è la copertura degli attacchi. I team SOC devono consolidare le loro capacità di visibilità e rilevamento delle minacce sull’intera superficie di attacco ibrida e multi-cloud – IaaS, PaaS, SaaS, identità e reti. Il secondo è più efficacia del segnale, che richiede ai team SOC di conoscere il punto di intrusione di un attacco e dove si sta muovendo l’attaccante, in modo da poter stabilire le priorità di tempo e di risorse. Ciò rappresenta il cuore dell’Attack Signal Intelligence e sfrutta alcune delle più avanzate tecnologie di Intelligenza Artificiale del settore. È questa chiarezza e, quindi, più efficacia del segnale che permetterà agli investigatori e ai threat hunter di tornare a fare ciò che sanno fare meglio: investigare e trovare le minacce. Infine, il controllo intelligente: significa avere a portata di mano il contesto giusto per accelerare le indagini, automatizzare i workflow e indirizzare le azioni di risposta per interrompere o contenere un attacco. Investire negli strumenti, nei processi e nei playbook giusti per aumentare l’efficienza e l’efficacia del SOC.