Fondamenta vacillanti e prontezza di reazione contro le violazioni

RSA ha recentemente costituito una ricerca originale redatta dal Security for Business Innovation Council (SBIC), un gruppo di responsabili della sicurezza provenienti da aziende Global 1000, sul tema della pronta reazione alle violazioni. Nel corso della ricerca sono state condivise informazioni relative a tecnologie e processi sviluppati e utilizzati dal gruppo di esperti per affrontare le costanti minacce alle attività rappresentate dagli attacchi informatici.

Il contributo di questo gruppo di esperti ha un valore incalcolabile, ma pensiamo che sia interessante comprendere e analizzare gli approcci di un’azienda leader e di un’organizzazione tipica a problematiche simili. È stato spesso dimostrato che i criminali informatici non fanno distinzioni per raggiungere il proprio scopo: che si tratti di proprietà intellettuale, informazioni finanziare o dati personali, in ogni caso attaccheranno un’organizzazione che possieda risorse preziose, indipendentemente dalle dimensioni o dal grado di complessità delle difese.

Nel corso di una survey che abbiamo sottoposto a oltre 170 persone provenienti da 30 Paesi diversi, abbiamo affrontato quattro temi fondamentali relativi alla capacità di reazione in caso di violazioni: incident response, threat intelligence, analytic intelligence e content intelligence. I risultati ci hanno consentito di rispondere a una delle domande più frequenti per i professionisti della sicurezza: “Perché, nonostante la sempre maggiore attenzione rivolta al miglioramento della sicurezza informatica, continuiamo ad assistere a violazioni gravi?” Dai dati raccolti emerge un’immagine piuttosto chiara: la maggior parte delle organizzazione stenta ancora ad adottare tecnologie e procedure di baseline che consentirebbero di rilevare e reagire agli attacchi con maggiore efficacia.

La maggior parte delle aziende sa che incentrare attenzione ed energie negli ambiti di monitoraggio e reazione è preferibile rispetto a incrementare l’implementazione di strumenti e controlli preventivi. Il primo importante passo che le organizzazioni possono compiere è aumentare il controllo sulle operazioni all’interno del proprio ambiente, soprattutto perché le infrastrutture sono sempre più complesse e la superficie che può subire attacchi maggiore. Dalla survey emerge che il 55% degli intervistati (più della metà), tuttavia, non è in grado di raccogliere dati dall’ambiente e fornire avvisi centralizzati su attività sospette, risultando così indifeso rispetto a molte delle attuali minacce.

Molte gravi violazioni sono state possibili grazie a vulnerabilità software note, ma non risolte. Un’infrastruttura dal perimetro non protetto da patch rappresenta il punto di ingresso comune per molti attacchi e la crescente frequenza con cui si presentano bug su vasta scala, quali Heartbleed e POODLE, sta rendendo gli sforzi per risolvere tali vulnerabilità più impegnativi, ma al tempo stesso più necessari. Il 40% degli intervistati nel corso della survey non dispone inoltre di un programma di gestione delle vulnerabilità, fattore che espone le organizzazioni a rischi considerevoli.

Infine è noto che le violazioni avverranno comunque: non si tratta quindi di capire se avranno luogo, ma piuttosto quando. Nonostante questa consapevolezza sia diffusa, il 30% degli intervistati non dispone neanche di un piano di risposta formale agli incidenti. Tale mancanza di procedure prestabilite da parte delle organizzazioni porta in genere a una reazione istintiva, che rende la risposta alle violazioni molto meno efficace. La verifica e il perfezionamento su base regolare dai piani di risposta risulta invece una pratica molto vantaggiosa, impiegata da numerosi leader. Tra gli intervistati che hanno dichiarato di disporre di una qualche sorta di pianificazione IR, il 57% non aggiorna e non corregge mai tali procedure. In caso di incidente, disporre di una strategia nota e verificata può rappresentare una differenza sostanziale tra un danno minimo e una perdita enorme.

È sufficiente rafforzare questi tre pilastri di base per migliorare notevolmente la prontezza operativa e complicare la vita ai potenziali attacker. Non sorprende che il 100% degli esperti dell’SBIC utilizzi già questi metodi.

In un post successivo del blog, verranno illustrate alcune delle funzionalità più avanzate che le organizzazioni potrebbero implementare per allinearsi ulteriormente agli standard delle aziende leader. Nel frattempo, scarica l’e-book sulla capacità di reazione alle violazioni in cui vengono affrontati i principali quesiti e vengono riportati consigli e informazioni forniti dall’SBIC e ottenuti dalla survey in maggiore dettaglio.

 

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments