Cinque luoghi comuni sulla sicurezza IT da sfatare secondo Proofpoint

Machine learning, sandbox, protezione. Questi alcuni dei luoghi comuni sulla sicurezza IT che secondo Proofpoint devono essere superati e sfatati.

sicurezza it

I luoghi comuni sulla sicurezza informatica sono ormai numerosi e Proofpoint, in questo approfondimento in cinque punti, cerca di sfatare i falsi miti più diffusi nel panorama IT.

Il Machine learning è solo un termine di moda

Il machine learning non è tutto uguale e negli ultimi anni è diventato quasi un termine di moda. Tuttavia, è sbagliato affermare che le soluzioni aziendali reali non lo utilizzino. Quando correttamente implementato, il machine learning aiuta infatti a risolvere numerosi problemi legati a grandi volumi di dati, come l’analisi e la rilevazione delle minacce.

Il machine learning garantisce supporto nel processare le relazioni tra 300 miliardi di nodi di dati delle minacce e aiuta a identificare le email non conformi alle normative. L’esigenza crescente di avere dati razionalizzati per ottenere informazioni più utili renderà il machine learning ancor più importante in ogni aspetto di business.

Se si riescono a rilevare elementi pericolosi, non è necessaria una sandbox

Analisi statica e tecnologie basate sulla reputazione possono identificare payload pericolosi single stage. Tuttavia, molti degli attacchi moderni sono multi stage, progettati proprio per superare questo tipo di difesa statica. Il primo stadio di attacco potrebbe non contenere malware, ottenendo agilmente l’accesso a un sistema statico.

Una volta all’interno, può identificare sistema operativo, geolocalizzazione e altri parametri che confermano il profilo del target. Può mettere in atto tecniche simultanee, quali evasione delle Virtual Machine, logging e fingerprinting, prima di decidere se sia un luogo appropriato per distribuire il proprio payload.

Se il target si trova in una regione sbagliata o viene diffuso alla tipologia di clienti errata, o si teme sia su una VM, l’allegato non verrà utilizzato e rimarrà “innocuo”. Quando invece le condizioni sono ideali, viene messo in atto il secondo stadio dell’attacco, eludendo la difesa statica dell’azienda. Implementare una difesa dinamica che neutralizza queste minacce all’interno di una sandbox è fondamentale.

Scegliere dove posizionare la sandbox è sempre oggetto di discussione, ma dal momento che gli attacchi avvengono principalmente via email, è molto più efficace una soluzione che automatizzi il sandboxing nel gateway email prima che le minacce possano entrare nella rete aziendale o raggiungere la posta elettronica degli utenti.

Un’altra ragione per cui difese dinamiche come il sandboxing possono essere ignorate è l’elevato volume di attacchi commodity diffusi. Si tratta di attacchi generici rilevati da controlli di reputazione e, per definizione, non sono targettizzati. Se un vendor di sicurezza cerca semplicemente di “bloccare tanti attacchi”, il sandboxing diventa un lusso difficile da giustificare.

Tuttavia, quando si tratta di clienti dall’elevato valore e rischio, potrebbero avvenire attacchi nuovi e mai visti, i quali generalmente appartengono alla categoria multi-fase. Nonostante siano meno comuni, questi attacchi targettizzati sono molto più dannosi e complessi da rilevare. Sono spesso personalizzati per organizzazioni specifiche e difficilmente presenti in un database di firme generale. Il sandboxing è spesso l’unico metodo per proteggersi da questi attacchi sofisticati.

ibm security connect

Un vendor che sostiene di investire la maggior parte del fatturato in Ricerca&Sviluppo potrebbe mentire

Gli investimenti in R&S sono importanti. Dimostrano a investitori e community l’impegno di un’azienda in innovazione e tecnologia oltre alle spese aziendali. Grandi aziende possono facilmente sorpassare organizzazioni più piccole quando si tratta di investimenti assoluti, ma è meglio considerare la percentuale del fatturato investita in R&S quando si confrontano aziende di dimensioni differenti, per dimostrare attenzione al miglioramento dei prodotti e all’innovazione. A volte, chi afferma di investire quasi tutto in R&S si ferma in realtà al 12%.

Proteggere l’azienda significa proteggere la rete

Proteggere la rete è ancora importante, ma quando un’azienda sposta risorse, comunicazione e servizi nel cloud, gli asset e i carichi di lavoro gestiti dall’IT aziendale si riducono e il target più interessante per gli aggressori oggi sono i dipendenti. Tuttavia, gli investimenti in sicurezza IT oggi continuano a focalizzarsi su priorità ormai obsolete.

Gartner prevede che la spesa per soluzioni di protezione di rete raggiungerà 13,3 miliardi di dollari entro la fine del 2019. La cifra investita nella sicurezza delle email impallidisce a confronto, nonostante il fatto che, in base ai dati di SANS Institute, il 95% di tutti gli attacchi rivolti alle reti aziendali è rappresentato da attacchi phishing di successo, che hanno l’obiettivo di ottenere le credenziali cloud, con il rischio di perdite di dati catastrofiche.

Di conseguenza, se il budget è stato investito principalmente in firewall ed endpoint, ci sarà ancora bisogno di visibilità e protezione per i servizi cloud e per le persone che li utilizzano. Fortunatamente, la maggior parte dei clienti con i quali Proofpoint si è confrontata, era consapevole della situazione e sa di doversi dotare di ulteriori soluzioni, oltre a quelle di base e alla protezione offerta da Office 365, per salvaguardare le proprie risorse cloud.

Solo le aziende di grandi dimensioni possono individuare le minacce

È semplice convincere i clienti che “più grande è meglio”. In modo simile, una base installata più ampia dovrebbe poter rilevare un maggior numero di minacce, corretto? Se invece riflettiamo sull’efficacia della protezione, questa affermazione crolla. Non serve essere grandi per individuare le minacce: è l’approccio che conta. La maggior parte degli attacchi è composta da minacce commodity e clienti grandi e piccoli vengono colpiti, senza discriminazioni. Non si tratta infatti di attacchi targettizzati e specifici, e vengono rivolti a centinaia di migliaia di clienti diversi a livello globale. Soluzioni basate sulla reputazione sono in grado di individuarli e una volta rilevato il primo, si procede con il resto.

Il livello successivo di attacco può contenere degli staged payload, progettati per superare le difese statiche e, indipendentemente dalla grandezza di un’azienda, se la tecnologia di sandboxing non è sufficientemente smart per fermarli, o se non si possiede alcuna tecnologia di sandboxing, le aziende saranno nei guai quando riceveranno allegati e URL pericolosi che inizieranno a compromettere gli account.

Gli aggressori sono altamente democratici e colpiranno qualsiasi impresa, con una combinazione di minacce targettizzate e non per raggiungere obiettivi differenti. Infrastruttura sandbox, verifica delle minacce e strumenti di analisi non sono certo economici, ma senza questi componenti, l’attacco verrà scoperto quando sarà troppo tardi, a prescindere dalle dimensioni aziendali.