Network infrastructure security.
La Cyber Threat Intelligence per la comprensione delle minacce

Non passa edizione del rapporto Clusit sulla sicurezza in Italia che non sentenzi che “il periodo analizzato è stato il peggiore di sempre in termini di attacchi e minacce alla sicurezza delle infrastrutture aziendali”. La Network Infrastructure Security non è mai stata così importante, anche e soprattutto a causa della Digital Transformation che ha introdotto tecnologie e paradigmi che richiedono un’attenzione maggiore in termini di sicurezza. Il Cloud Computing ha esteso i confini aziendali, rendendo infinite le frontiere da monitorare, e l’incremento di dispositivi IoT, soprattutto a uso industriale, ha moltiplicato gli access point.

"Nell’ultimo biennio il tasso di crescita del numero di attacchi gravi è aumentato di 10 volte rispetto al precedente. Non solo, la sueverity media di questi attacchi è contestualmente peggiorata, agendo da moltiplicatore dei danni"
_{Rapporto Clusit 2019}

Nel 2018 si sono raccolti e analizzati 1.552 attacchi gravi (+ 37,7% rispetto all’anno precedente), con una media di 129 attacchi gravi al mese (rispetto a una media di 94 al mese nel 2017, e di 88 su 8 anni. Tra le evidenze da sottolineare:

• All’interno di una Smart Factory, o di un’extended enterprise, gli attacchi provengono dai nodi più vulnerabili, ovvero da fornitori e partner connessi alla rete aziendale che non hanno una protezione adeguata.
• Gli attacchi si manifestano attraverso nodi “conosciuti” per poi propagarsi all’interno dell’infrastruttura di rete aziendale, quando ormai è troppo tardi per intercettarli.

Aggiungiamo, poi, che l’obiettivo dell’attacco è cambiato negli ultimi anni. Si punta a carpire informazioni (documentazione e brevetti industriali) e imbastire truffe economiche piuttosto che puntare a “bucare” la rete. La “mission” degli hacker, insomma, è molto più definita e dannosa.

Nonostante l’hype mediatico che si è creato sul tema della security abbia aiutato le aziende a prendere maggiore consapevolezza riguardo i rischi cui sono sottoposte, i miglioramenti tardano ad arrivare. Spesso perché le falle nella sicurezza di un’azienda derivano da errori di design e di gestione della sicurezza, da applicativi e infrastrutture non aggiornate o da policy mancanti o non rispettate.

Servono governance, competenze e strategia, ancora di più oggi che la digitalizzazione estende la superficie di attacco e di rischio. Quasi tutti, per esempio, hanno pensato alla protezione di pc e laptop, ma solo pochissime aziende hanno installato dei sistemi di sicurezza avanzata sugli smartphone dei propri dipendenti che rappresentano un access point sempre più utilizzato.

In uno scenario in cui, secondo le tecniche tradizionali, il rimedio arriva regolarmente quando ormai è troppo tardi, e di fronte ai nuovi ambienti IT così eterogenei e complessi, è necessario cambiare totalmente strategia.

Si dovrebbe, per esempio, mettere a punto un nuovo modello di intervento nella cyber security, adeguato alle minacce reali, che sfrutti le nuove tecnologie, come il cloud e l’Intelligenza Artificiale, e che stravolga l’approccio tradizionale di intervento a posteriori a favore di una reazione in tempo reale basata su tecniche predittive.

Ma, ancora prima, in un contesto di revisione dei servizi applicativi, visto che gli errori nel codice applicativo sono le cause maggiori delle falle di sicurezza, è possibile intervenire direttamente a monte del processo di sviluppo attraverso l’approccio Security by Design, ovvero pensare alla sicurezza già nelle fasi di progettazione di un’applicazione o di un servizio digitale. La vera sfida diventa, così, integrare la sicurezza nei sistemi, nelle applicazioni, nei servizi digitali senza precluderne l’usabilità e l’experience da parte degli utenti.

Si deve, cioè, superare il modello di pura implementazione delle soluzioni tecnologiche (palliativi) e ragionare in un’ottica di prevenzione - su applicazioni, risorse umane e dispositivi - che declini metodi e tecnologie su misura delle diverse esigenze di ogni azienda che dipendono dal modello di business, dalla struttura organizzativa e dall’architettura software, così come dalla consapevolezza delle persone.

Il cuore della value proposition di Lutech si basa su alcuni pilastri: Security Engineering “solido” e basato sulla conoscenza e capacità di integrazione delle migliori tecnologie in ambito Cyber Threat Intelligence, Breach Monitoring, Incident Response.

Rispetto alla definizione della struttura di Cyber Threat Intelligence, Lutech fornisce ai clienti il supporto necessario – formativo e strumentale - alla comprensione delle minacce informatiche consolidate ed emergenti, offrendo servizi di rilevazione, analisi e monitoraggio delle cyber minacce.

Le attività di Intelligence, eseguite all’esterno dell'infrastruttura del Cliente, sui canali informativi presenti nel visible, deep e dark web, sono finalizzate a raccogliere i dati necessari all'elaborazione di informative, in alcuni casi anche preventive, relative a Cyber Crime e Fraud Activity, in grado di supportare i nostri clienti nei processi strategici decisionali e gestionali.

Infine, il servizio di Breach Detection & Incident Response di Lutech (L-BDIR) realizza il monitoraggio della sicurezza delle infrastrutture attraverso la rilevazione e l'analisi delle anomalie nel traffico di rete e nell’esecuzione dei processi applicativi, al fine di individuare, valutare e dare una risposta alle minacce esterne e interne dirette a server, endpoint, dispositivi mobile, applicazioni.

Mediante l'utilizzo di componenti tecnologiche e di servizio sia cloud-based che on-premise, L-BDIR raccoglie dati e informazioni dalle diverse tecnologie presenti nel contesto del cliente, senza sottovalutare le azioni sulla rete aziendale eseguite da profili autorizzati esterni. La rilevazione e la risposta alle minacce sono strutturate sul modello della “Cyber Kill Chain”, nell'ottica di modellizzare e tenere sotto controllo gli scenari di rischio; e di mitigare o rimediare alla compromissione di sistemi, applicazioni e dati, riducendo così gli impatti sul business della azienda.

L'integrazione con i servizi di Cyber Threat Intelligence, inoltre, rende immediatamente azionabili le informazioni più aggiornate verso i controlli e le piattaforme che possano attivamente farne uso.

In conclusione, l’evoluzione di strumenti e piattaforme tecnologiche, insieme all’evoluzione degli attacchi, richiede il passaggio a un approccio di sicurezza totalmente nuovo che analizzi e vigili su l’architettura software estesa dell’azienda e sui punti di accesso alla rete aziendale, indipendentemente che si tratti di persone o dispositivi. L’obiettivo è intercettare le minacce in tempo reale grazie alla valutazione, con strumenti di Intelligenza Artificiale, delle anomalie comportamentali registrate sull’infrastruttura It e nella rete aziendale.