Un sistema integrato di sicurezza per combattere l’evoluzione degli attacchi informatici



A cura di Luca Musumeci,


Un sistema integrato di sicurezza per combattere l’evoluzione degli attacchi informatici

Interessante è quanto emerso dal Security Report semestrale di Cisco. L’industria della sicurezza, nel suo complesso, fatica ad innovare alla stessa velocità di chi sviluppa, affina e distribuisce malware non rilevabili, e capaci quindi di violare la sicurezza di una rete. Ciò ovviamente crea un problema significativo per le organizzazioni che investono in servizi e prodotti per la sicurezza. Nella prima metà del 2015 si è avuta una sostanziale evoluzione dei metodi di attacco tramite nuovi strumenti e nuove strategie.

I criminali informatici, approfittando di tattiche di offuscamento, possono rendere inutili qualsiasi tipo di tecnica di rilevazione. I security vendor stanno rispondendo a questa tendenza, ma purtroppo con un ritmo non del tutto sufficiente, con la conseguenza che molte aziende stanno virando su prodotti e soluzioni di ripiego atte a chiudere la singola falla senza però integrazione con il resto dell’architettura di sicurezza.

Ma in un mondo dove oramai la compromissione di utenti e sistemi è un fatto certo, l’individuazione per tempo delle minacce è un obiettivo primario per tutti. Molte organizzazioni, inoltre, stanno investendo seriamente in piani di continuità operativa che posso essere utili per recuperare servizi critici a seguito di un attacco informatico. Il più delle volte le soluzioni di nicchia non sono distribuibili facilmente, non rispondono alle esigenze degli utenti medi e sono in genere di media durata anche se efficaci. Tuttavia, si nota una notevole richiesta da parte sia di aziende che di singoli utenti del settore della sicurezza, di investire maggiormente sulla capacità di sviluppare più efficacemente metodi di prevenzione e non solo di rilevazione degli attacchi informatici. Insomma il detto “prevenire è meglio che curare” ha profonde ragioni per essere applicato al mondo della sicurezza informatica.

La complessità per chi si occupa di sicurezza sta nel modo di intercettare queste richieste e fornire risposte e soluzioni in poco tempo. I grandi vendor costruiscono suite di sicurezza basate su uno o più prodotti “standout”. Tuttavia, queste suite spesso non funzionano con altre soluzioni leader del mercato. La buona notizia è che nel frattempo molti fornitori sono al lavoro per fornire soluzioni atte a colmare lacune specifiche di sicurezza. 

Il risultato però potrebbe essere un mosaico di prodotti (sviluppati internamente e/o sviluppati su richiesta) difficile da gestire per i team di sicurezza e dentro il quale si potrebbero trovare parti che non soddisfano gli standard di settore o sono in sovrapposizione con altri o non sono integrabili in quanto spesso richiedono una revisione dell’architettura di sicurezza delle organizzazioni anche solo per integrarle nelle stesse.

Questo, dunque, non è un modello sostenibile. Cisco individua la soluzione in un sistema integrato, che fornisca visibilità e controllo. Questa piattaforma deve essere continuamente aggiornata per valutare le minacce, correlare le difese locali e globali, ottimizzarle ed avere risposte veloci e valide. Questo sistema agirebbe su un volume massiccio di informazioni messe a disposizione da tutte le componenti.

La visibilità di tali informazioni darebbe ai team di sicurezza maggiori possibilità di creare vettori di sicurezza efficienti e capaci di contrastare più attacchi. L’industria sta facendo passi da gigante nella condivisione delle informazioni in modo più proattivo e sinergico. Questa è la direzione che il settore della sicurezza deve prendere per aiutare tutti gli utenti finali a difendersi dalle tattiche sofisticate messe in atto dai criminali informatici di oggi.

Per sviluppare una difesa integrata, come quella appena descritta, sarà necessario migliorare la cooperazione e il dialogo, e coordinare le azioni tra tutti i vendor di sicurezza. Lo scambio automatizzato di informazioni deve necessariamente avvenire in tempo reale ed essere stimolante per tutte le parti in causa. Più velocemente l'industria della sicurezza riuscirà a distribuire conoscenza, competenza ed intelligenza su tutta la piattaforma, meno saranno le probabilità per i criminali informatici di godere di anonimato e successo.