L’attuale panorama delle minacce si è totalmente modificato rispetto ad appena dieci anni fa.
Gli attacchi che causavano danni limitati, oggi hanno lasciato il posto ad attività criminali informatiche più sofisticate, ben finanziate e in grado di causare gravi danni alle reti aziendali e all’infrastruttura nazionale. Questo tipo di attacchi sono difficili da rilevare e possono rimanere a lungo all’interno della rete, rendendosi difficili da rintracciare. Le linee di difesa tradizionali che si affidano esclusivamente al rilevamento e al blocco delle minacce, devono quindi essere adeguate per consentire la gestione di tutte le fasi dell’attacco: prima, durante e dopo. Con i nuovi metodi, come hop di porte e protocolli, tunneling crittografato, dropper e minacce e tecniche miste, che utilizzano attacchi di ingegneria sociale e zero-day, per gli hacker è più semplice, veloce ed economico accedere, mentre è più difficile per le aziende rilevarli e bloccarli.
Le reti moderne evolvono costantemente, generando nuovi vettori di attacco, come ad esempio i dispositivi mobili, le applicazioni mobili e interfaccia Web, hypervisor, social media, browser Web e computer integrati, e molti altri ancora. Solitamente le aziende proteggono le proprie reti avvalendosi di diverse tecnologie, che però non funzionano contemporaneamente. Oppure, potrebbero affidarsi ai provider di servizi per garantirsi la sicurezza nel cloud, o a società esterne che forniscono servizi in hosting.
Nuove dinamiche di sicurezza
Di fronte alla combinazione di attacchi avanzati e all’infrastruttura Any-to-Any, i professionisti della sicurezza si pongono tre grandi domande: come è possibile mantenere la sicurezza e la conformità? Le aziende in transizione verso la virtualizzazione del cloud o i dispositivi mobili per la produttività, l’agilità e l’efficienza fornite da queste tecnologie, devono adattare la propria infrastruttura di sicurezza. Come è possibile migliorare la capacità di protezione continua contro nuovi vettori di attacco e minacce sempre più sofisticate? Gli autori degli attacchi non fanno discriminazioni, colpiscono qualsiasi anello debole della catena. Nel portare a compimento i loro attacchi, spesso utilizzano gli strumenti che sono stati sviluppati appositamente per aggirare l’infrastruttura di sicurezza scelta come bersaglio. Mettono in atto tecniche molto sofisticate per sfuggire al rilevamento, utilizzando tecnologie e metodi che si traducono in indicazioni di compromissione quasi impercettibili.
Come è possibile affrontare le prime due problematiche, riducendo al contempo la complessità e la frammentazione delle soluzioni di sicurezza? Le aziende non possono permettersi di lasciare margini d’azione agli autori di attacchi più sofisticati. Allo stesso tempo, se si aggiunge complessità a causa delle soluzioni di sicurezza non integrate, non è possibile garantire il livello di protezione richiesto contro le minacce avanzate. La combinazione di queste dinamiche – modelli aziendali e panorama dalle minacce in evoluzione, oltre a complessità e frammentazione della sicurezza – ha creato nuove falle, ridotto la visibilità e introdotto problemi di gestione della sicurezza. Per proteggere realmente le aziende di fronte a queste dinamiche, è necessario cambiare l’approccio, adottando un nuovo modello di controllo sia su tutta la rete che durante tutte le fasi dell’attacco: prima che si verifichi, mentre è in corso e anche dopo che sono stati danneggiati sistemi o che sono stati trafugati i dati.
Prima: i modelli di difesa richiedono visibilità e riconoscimento completi di tutti gli elementi presente nella rete per poter implementare policy e controlli atti a predisporre una difesa.
Durante: la possibilità di rilevare continuamente i malware e bloccarli è di fondamentale importanza. Dopo: i modelli di difesa richiedono sicurezza retrospettiva per poter ridurre al minimo l’impatto dell’attacco. Devono identificare il punto di accesso, determinare la portata, contenere la minaccia, eliminare il rischio di una nuova infezione e rimediare al danno. In quest’ottica, Cisco propone un nuovo modello di sicurezza che ne riduce la complessità, ma garantendo una visibilità superiore, un controllo continuo e la protezione dalle minacce avanzate in tutte le fasi dell’attacco.
