La conoscenza delle potenzialità di difesa dagli attacchi cyber è indubbiamente migliorata nelle aziende, ma il livello di rischio resta alto e il rumore generato da tutti i segnali di potenziale minaccia è un elemento che può distrarre da focus su una cybersecurity effettivamente efficace.
All’utilizzo di strumenti come Siem e Soc, si è affiancato negli ultimi tempi la threat intelligence, che analizza il grande volume dei dati in materia e aiuta a filtrare le informazioni per individuare le minacce più serie e concrete. Un recente studio di Mandiant indica come il 79% delle aziende prenda la maggior parte delle decisioni in materia di cybersecurity senza tenere in considerazione quali siano i gruppi di aggressori.
Il risultato è che i team di sicurezza faticano a vendere correttamente al proprio interno la validità dello strumento o del servizio adottato, in mancanza di un’adeguata condivisione interna delle informazioni a riguardo: “I manager, in modo particolare, vengono aggiornati con report mensili o anche meno frequenti, facendo sì che il rischio cyber sia continuamente sottostimato”, commenta Gabriele Zanoni, consulting country manager di Mandiant Italia.
Quello che ancora si comprende poco è che se le aziende sono diverse per caratteristiche di mercato e scelte tecnologiche anche gli attaccanti si differenziano per conoscenza e obiettivi che intendono raggiungere: “Per questo, appare opportuno iniziare a studiare quali potrebbero essere i profili più probabili degli attaccanti e quali figure hanno maggior necessità di disporre delle informazioni derivate dalla threat intelligence”, avverte Zanoni.
Gabriele Zanoni, consulting country manager di Mandiant Italia
A supporto di questa raccomandazione, troviamo la scelta della Commissione Europea, che ha mutuato la metodologia Tiber, costruita con test che imitano le tattiche, le tecniche e le procedure degli aggressori nella vita reale e simulano un attacco alle funzioni critiche di un'entità e ai suoi sistemi sottostanti, ovvero le persone, i processi e le tecnologie. SI tratta di una metodologia che nasce nel settore finanziario, ma che ora si sta estendendo ad altri settori. Il suo scopo ultimo è fornire indicazioni precise sulle informazioni effettivamente più rilevanti generate dalla threat intelligence, anche se la sua efficacia è strettamente correlata anche a una prioritizzazione degli asset, per concentrarsi su quelli effettivamente critici e intervenire con più attenzione sulle patch e altri meccanismi di difesa.
In questo scenario, Mandiant fornisce soprattutto tecnologie utili per definire il corretto filtro delle informazioni generate dalla threat intelligence e consulenza all’implementazione dei profili: “Possiamo arrivare a fornire un nostro analista in affiancamento agli specialisti interni o ai service provider che le aziende utilizzano”, aggiunge Zanoni. “Sicuramente, un vantaggio facilmente percepibile sta nell’automazione che un vendor come noi può offrire in fase di selezione delle tipologie più comuni di attacco, con report trimestrali che aiutano a filtrare il rumore tipico del mondo della cybersecurity. Sulla stessa linea, un servizio come Security Validation può arrivare ad automatizzare un programma di test per fornire dati reali sulle prestazioni dei controlli di sicurezza implementati. In questo modo, la threat intelligence diventa più comprensibile anche per i manager delle aziende e spendibile da parte dei responsabili della cybersecurity”.