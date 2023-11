Aziende più veloci a scoprire gli attacchi ma spesso "cieche" Nel 42% degli incidenti informatici mancano i log di telemetria. Cresce il mercato dei servizi gestiti, ma attenzione all’improvvisazione. Il punto di vista di Sophos. Pubblicato il 22 novembre 2023 da Valentina Bernocco

Nella cybersicurezza, talvolta le aziende sono cieche. Si parla spesso, in questo settore, dei problemi di visibilità dovuti alla complessità degli ambienti IT e alla frammentazione tecnologica: gli addetti all’incident response sono sommersi dagli alert e dai falsi positivi, mentre i veri rischi spesso sfuggono all’osservazione. Un tema più specifico, ma non meno importante, sono i log di telemetria: preziosi per rilevare gli attacchi in corso e per investigare su quelli già avvenuti, spesso tuttavia scompaiono, si cancellano o vengono cancellati. Una nuovo studio di Sophos, “Active Adversary Report for Security Practitioners”, mostra che in circa quattro incidenti su dieci i log non sono disponibili (l’analisi si basa su 232 casistiche di Incident Response gestite dal personale Sophos per aziende di 34 Paesi e 25 settori di appartenenza).

“È stato un po’ scioccante scoprire in che misura la telemetria sia assente”, ha commentato John Shier, field Cto di Sophos, intervistato da Ictbusiness in occasione di un recente appuntamento rivolto ai partner e clienti italiani. “In circa il 42% degli incidenti, in fase di investigazione non erano disponibili i log che sarebbero stati utili per comprendere l’accaduto”. Perché i log sono assenti? Più spesso sono gli autori dell’attacco a disabilitarli o cancellarli, ma altre volte la loro “scomparsa” è dovuta a impostazioni di autocancellazione o ad azioni di reimaging. “Gli attaccanti spesso cercano di renderci ciechi, cancellando le proprie tracce in modo che sia più difficile scoprire l’attacco. Ma a volte sono le aziende stesse a rendersi cieche”, ha sottolineato il field Cto.

Avere a disposizione dati di telemetria è importante, ma bisogna anche monitorarli (possibilmente senza pause nei weekend o in orario notturno, come succede in molti Security Operations Center) e saperli comprendere. “A nostro parere è necessario avere un equilibrio tra capacità di prevenzione e risposta agli incidenti”, ha proseguito Shier. “Senza un livello di prevenzione si viene totalmente travolti dal rumore, dai falsi positivi”.



John Shier, field Cto di Sophos

Una tendenza evidenziata dal report è la riduzione del cosiddetto dwell time, il tempo di rilevamento dell’attacco. Per i ransomware, in particolare, nell'ultimo anno è calato del 44%, assestandosi su una media di cinque giorni. Si osserva, però, una polarizzazione: ransomware, violazioni di rete e attacchi loader si dividono quasi equamente tra “veloci” (rilevati in cinque giorni o meno) e “lenti” (più di cinque giorni di dwell time). Per la loro stessa natura furtiva, gli attacchi tesi all’esfiltrazione di dati si sviluppano su tempi più lunghi.



La ripartizione tra attacchi "veloci" e "brevi" (Fonte: Sophos, "Active Adversary Report for Security Practitioners", novembre 2023)



Sophos sta anche osservando un incremento delle violazioni di rete il cui punto d’ingresso è un dispositivo non monitorato. “Il Network Detection and Response sta diventando sempre più importante”, ha sottolineato Dave Mareels, senior director, product management di Sophos (e già amministratore delegato e cofondatore di Soc.OS, azienda acquisita da Sophos nel 2022). “Le reti possono includere dispositivi datati. E alcune nostre statistiche ci indicano che, sul totale dei rilevamenti di incidenti, un terzo ha origine da dispositivi non gestiti”.





Dave Mareels, senior director, product management di Sophos

La preparazione è cruciale nei servizi gestiti

Come noto, negli ultimi anni si è vista sul mercato una forte crescita dei servizi di sicurezza gestiti, forniti dai vendor stessi o da partner di canale. E Sophos ne è testimone. “Stiamo osservando, sia nelle aziende clienti sia nel canale, una consapevolezza sul fatto che oggi un approccio puramente tecnologico alla cybersicurezza non è più sufficiente”, ha raccontato il country manager italiano, Marco D’Elia. “Serve la capacità di fare threat hunting e di rispondere agli incidenti. E i clienti hanno capito di non poter fare tutto da soli, che è necessario in una certa misura l’outsourcing di risorse umane, processi e tecnologie. Bene la consapevolezza, ma attenzione all’improvvisazione”.

Nel canale, molti operatori stanno sviluppando offerte di servizi di sicurezza gestiti e Security Operations Center, ma non sempre avendo alle spalle la necessaria preparazione. “Anche i partner, come le aziende utenti, devono fare delle scelte di make or buy, e in questo Sophos è in grado di offrire un servizio al canale. Il nostro obiettivo non è sostituirci ai partner, bensì aiutali là dove si sentono meno ferrati. La capacità di threat hunting e di risposta agli incidenti è direttamente proporzionale al numero di clienti e al livello di visibilità che il vendor detiene. Sophos opera nel mercato della cybersecurity dal 1985, è l’azienda più longeva, e monitora centinaia di milioni di utenti e dispositivi. Questo è fondamentale: fare threat hunting significa essere allenati a farlo e capire l’evoluzione del mercato”.

Attualmente sono circa 18mila le aziende clienti dell’offerta Managed Detection and Response di Sophos, che prevede servizi gestiti di prevenzione degli attacchi, rilevamento e risposta, operativi 24/7. “In Italia”, ha proseguito D’Elia, “abbiamo un importante ecosistema di oltre duemila partner. Naturalmente sono partner con livelli di maturità diversa, ma il nostro obiettivo è fare formazione su tutti e non solo su quelli più strategici. Stiamo andando sul territorio con masterclass tese ad abilitare i partner e a illustrare la nostra offerta”.



Marco D’Elia, country manager di Sophos





Uno sguardo sul futuro

Quali tendenze o nuovi fenomeni emergeranno l’anno prossimo? “Possiamo ipotizzare che le compromissioni su supply chain continueranno anche nel 2024”, ha detto Shier. “Quanto alle minacce legate all’intelligenza artificiale generativa, possiamo dire che dal punto di vista della creazione di malware non esiste ancora una capacità comparabile a quella degli esseri umani. In compenso l’AI viene già usata e potrà fare altri danni nello scamming”.

Ma la GenAI potrà essere usata anche a fin di bene, al servizio della cybersicurezza, seppure in modi diversi da quelli dell'AI “classica” (usata soprattutto per l’automazione, per l’analisi comportamentale e per il rilevamento di pattern). “Nell’ambito dell’Xdr”, ha spiegato Mareels, “l’intelligenza artificiale generativa è un modo per abbassare la barriera tecnica e rendere gli strumenti più facili da usare. Per esempio può aiutare nelle investigazioni sui dati con domande in linguaggio naturale, può evidenziare correlazioni sui dati e generare riassunti. Nell’ambito dell’Mdr, invece, può aiutare i nostri analisti a diventare più veloci ed efficienti, fornendo insight e suggerimenti su cui poi l’analista dovrà trovare conferme”. Sophos sta esplorando questi utilizzi della GenAI all’interno della propria offerta.

(In apertura, immagine di Freepik)