A cura di Ivan Straniero, Territory Manager Sout-East and Eastern Europe di Arbor Networks
Nel corso dell’ultimo anno molti brand di grande notorietà hanno subìto violazioni dei dati su vasta scala: che si tratti di eBay, Home Depot o Staples, sono tutti marchi che conosciamo e utilizziamo, e la sottrazione delle informazioni relative a milioni di clienti provoca notevoli preoccupazioni.
Il settore retail rappresenta un bersaglio particolarmente appetitoso, dal momento che i dati che vi vengono memorizzati risultano decisamente preziosi per i cybercriminali e i danni che un attacco di successo è in grado di causare possono essere enormi dal punto di vista sia finanziario che della reputazione. Una ricerca condotta recentemente da Ponemon Institute ha misurato il grado in cui 675 società appartenenti al settore retail sono riuscite a gestire le minacce AT (Advanced Threat) scatenate contro di esse.
Uno dei dati di questa ricerca che colpiscono maggiormente riguarda il tempo occorso agli operatori retail per rilevare e contenere le minacce: 197 giorni e 39 giorni rispettivamente. Questo significa che un attaccante che si trovi all’interno di una rete ha a disposizione tantissimo tempo per muoversi liberamente e raggiungere i propri obiettivi, qualunque essi siano. In molti casi gli attaccanti non vengono nemmeno intercettati: la violazione viene scoperta solo quando i dati sottratti iniziano a circolare successivamente all’attacco.
Considerando quanto sopra si potrebbe prevedere che i retailer siano ormai impegnati a migliorare la situazione, e in effetti la ricerca conferma come siano stati intrapresi diversi passi in questo senso. Il più diffuso di essi è la ‘integrazione dell’intelligence sulle minacce all’interno della funzione di risposta agli incidenti’; sebbene una intelligence di questo genere possa essere d’aiuto, la sua utilità dipende tuttavia dalla pertinenza e dalla tempestività dell’intelligence medesima.
Come commodity, l’intelligence sulle minacce perde rapidamente valore man mano che l’infrastruttura compromessa viene ripristinata dall’utente o modificata dall’attaccante. È importante anche la pertinenza di questa intelligence, visto che per esempio disporre di informazioni circa le minacce rivolte contro il settore petrolchimico in Medio Oriente non risulta di grande utilità a un retailer operante in Europa occidentale. Un dato statistico chiave di questa ricerca è che solo il 17% dei retailer interpellati mette in condivisione la propria intelligence con altre aziende o enti pubblici. Questa percentuale contrasta con il 43% del settore finanziario (un altro campo esaminato dallo studio Ponemon), che vanta inoltre tempi di rilevamento e contenimento decisamente più brevi.
Condividere l’intelligence relativa alle minacce con altre organizzazioni operanti nel medesimo settore, concorrenti compresi, è importante ed è un aspetto che molti comparti devono migliorare. Il settore finanziario riesce meglio di altri in questa condivisione e possiede una certa tradizione nel far questo per contrastare le frodi. Action Fraud, British Bankers Association, HMRC, FCA e NCA sono solo alcune delle organizzazioni che prendono parte alla CIFAS collaborando insieme per combattere le frodi in questo settore.
Uno degli altri elementi interessanti che un terzo dei retailer interpellati sta considerando per ridurre i tempi di rilevamento e contenimento è l’introduzione di un ‘team di cacciatori’. Questo approccio si concentra sui principali obiettivi ‘di valore’ presenti all’interno di un’organizzazione e sulle strade che permettono di raggiungerli, affidandosi agli analisti per ricercare attivamente le anomalie che potrebbero indicare la presenza di una minaccia precedentemente non rilevata. Una caccia di questo genere permette alle aziende di potenziare i processi event-driven di risposta agli incidenti attraverso un approccio maggiormente proattivo.
Andare a caccia di minacce può aiutare a ridurre i tempi di rilevamento e contenimento degli attacchi che riescono a sfuggire ai nostri controlli preventivi, ma perché questo approccio sia percorribile occorrono soluzioni che permettano agli analisti di visualizzare le tendenze del traffico e delle minacce – andando oltre le schermate a righe e colonne oggi proposte da molti prodotti per la sicurezza.
Quel che è evidente, sia leggendo lo studio citato che guardando all’attuale scenario delle minacce, è che i malintenzionati hanno la meglio molto più spesso di quanto vorremmo. Per risolvere questo problema dobbiamo lasciarci alle spalle il consueto focus esclusivo sulle tecnologie preventive. Le più recenti tecnologie di rilevamento saranno sempre importanti, ma dobbiamo bilanciarle con investimenti a favore di persone e processi. Gli attaccanti che stiamo contrastando sono anch’essi persone, e costantemente impegnate a innovare. Dobbiamo far leva sulle capacità delle nostre risorse per combattere questa innovazione; per far ciò condividere l’intelligence sulle minacce e andare preventivamente a caccia rappresentano due passi davvero importanti.
