Le attività illecite e fraudolente online sono in rapida crescita rispetto agli anni passati, con un trend che al momento non accenna a diminuire, anzi. Per questo motivo la cybersecurity in ambito aziendale rappresenta un processo al quale dedicare le necessarie risorse. Ma quali sono i pericoli ai quali le organizzazioni sono più esposte?
Nel documento IC3 diffuso dall’FBI americano, si vede chiaramente come le attività legate al phishing siano tra le più diffuse, seguite poi da altre azioni fraudolente, furti di identità e compromissione delle e-mail.
A livello italiano sono disponibili i dati diffusi dal Ministero dell’Interno, che di fatto fotografano la medesima scena descritta dall’IC3: in ambito cybercrime prevalgono le attività criminali legate all’utilizzo di malware, ransomware e attacchi Oso.
Al di là delle semplici statistiche e dei trend che questi studi confermano, è importante leggere alcuni elementi strategici. Il panorama delle minacce è in costante e rapida evoluzione non solo in termini di numeri, ma anche in merito al tipo di attacchi ai quali è necessario fare fronte. La cybersecurity è un campo che necessita di un aggiornamento continuo, competenze specializzate e strumenti adeguati. Le strategie di sicurezza ne devono tenere conto per riuscire a garantire il corretto funzionamento dell’infrastruttura aziendale e, di conseguenza, per assicurare la business continuity dell’organizzazione.
Con un’infrastruttura molto localizzata, è possibile identificare una sorta di perimetro aziendale al cui interno le risorse possono essere considerate sicure: la superficie esposta, in questo caso, è rappresentata dai dispositivi che interagiscono con le risorse esterne a quelle aziendali. Uno scenario simile non è certo ipotizzabile oggi, anche in relazione al sempre più diffuso lavoro da remoto (5,06 milioni è il numero degli smart worker in Italia, secondo l’ultimo rapporto dell’Osservatorio Smart Working del Politecnico di Milano).
Le imprese che abbracciano questo paradigma si trovano ad avere postazioni anche all’esterno del proprio perimetro, workspace digitali che sfuggono al controllo delle policy aziendali. Device utilizzati anche per attività personali e dispositivi di proprietà del collaboratore usati per accedere a informazioni e applicazioni aziendali (il cosiddetto BYOD, bring your own device) sono solo gli esempi più diffusi. Inoltre, vengono spesso utilizzate risorse di rete non dedicate al singolo utilizzatore ma condivise, e che non possono essere sotto il diretto controllo dell’azienda.
Il perimetro diventa dunque sempre più virtuale e dinamico, e la protezione dalle cyber minacce non può prescindere dalla messa in sicurezza degli endpoint.
In uno scenario simile, il singolo dispositivo – in azienda o da remoto – rappresenta dunque il primo anello della catena difensiva e va protetto con adeguate tecnologie.
Alle soluzioni antimalware classiche, Relatech affianca tecnologie basate sull’utilizzo di endpoint software: sul singolo device viene installato il software EDR (Endpont Detection and Response) che monitora le attività del sistema e rileva potenziali situazioni anomale. Questo componente software viene costantemente aggiornato da remoto e interagisce con un servizio centralizzato, verso il quale vengono inviate anche informazioni utili a individuare e gestire un eventuale problema che derivi da varie situazioni: un attacco, l’utilizzo di applicazioni non aggiornate e potenzialmente pericolose, oppure attività sospette perché condotte con modalità e in orari insoliti.
Una soluzione EDR prevede quindi una risorsa centralizzata, verso la quale convergono le informazioni raccolte dai singoli endpoint che, in questo modo, rappresentano una moltitudine di sentinelle distribuite. Le informazioni raccolte consentono alla risorsa centralizzata di proteggere tutti i dispositivi sui quali è installato l’endpoint; un modello simile è tanto più valido quanto maggiore è il numero di endpoint distribuiti.
Nel caso in cui l’EDR rilevi una situazione critica potrà mettere in atto una prima controffensiva offrendo una protezione immediata, che prevede la rimozione del malware, la momentanea disattivazione del dispositivo e la notifica dell’evento alla componente centralizzata del sistema EDR. La notifica permetterà un successivo intervento mirato.
Ipotizzare che una soluzione EDR da sola offra una protezione perfetta in merito alla cybersecurity è pura utopia. In generale un EDR è efficace soprattutto per le vulnerabilità note, ma come abbiamo visto precedentemente le strategie e modalità di attacco evolvono costantemente. Una robusta strategia di cybersecurity deve pertanto mettere in conto anche l'evenienza in cui un problema di sicurezza si verifichi e un attacco vada a buon fine. Una volta rilevato, bisogna farvi fronte subito, mettendo l’infrastruttura al sicuro; in un secondo momento si valutano i danni subiti verificando quali risorse non sono più integre.
Per supportare al meglio le situazioni in cui il singolo EDR non può intervenire in modo autonomo, Relatech ha predisposto un servizio di MDR (Managed Detection & Response) che centralizza informazioni, risorse e competenze relative alla sicurezza dell’IT ed è in grado di intervenire in modo efficace per proteggere le infrastrutture.
L’ MDR del Gruppo Relatech mette a disposizione un team specializzato e dedicato a monitorare i sistemi dei clienti, analizzare eventuali anomalie rilevate dagli endpoint e risolvere il problema qualora ci siano effettivamente situazioni di pericolo. Quando l’endpoint non è in grado di reagire in modo autonomo interviene il team specializzato
Eventuali anomalie, rilevate dal software installato sui dispositivi dei clienti e non risolte in modo automatico, verranno prese in carico e analizzate dal team di professionisti del Gruppo Relatech. Il personale specializzato valuterà gli alert ricevuti dall’endpoint in modo organico e interverrà per respingere l’attacco o per ripristinare l’integrità del sistema. Per capire a che cosa facciamo riferimento ecco un esempio.
Ipotizziamo che da un account di posta elettronica nel pieno della notte venga inviato un messaggio con allegato un documento aziendale per il quale un certo utente abbia le credenziali di accesso. Si tratta di azioni che prese singolarmente sono lecite: l’utente, in virtù delle sue credenziali, può accedere a quel file ed è autorizzato a utilizzare quello specifico account di posta. Queste operazioni lecite vengono però condotte in un orario insolito.
E proprio su quest’ultimo elemento che il servizio MDR del Gruppo Relatech è in grado di fare la differenza: ricevuto un alert dall’endpoint sarà possibile approfondire se realmente un collaboratore stia lavorando in piena notte in modo lecito, oppure se sia in atto un attacco volto nel caso specifico al furto di dati. In quest’ultimo caso, sarà possibile disattivare il singolo utente momentaneamente, forzare un aggiornamento delle credenziali di accesso e, al tempo stesso, raccogliere elementi utili per successive analisi.
L’MDR è un servizio in costante aggiornamento al fine di garantire una protezione continua anche nei confronti delle minacce più recenti: i tecnici del Gruppo Relatech realizzano e testano costantemente metodologie di analisi e protezione, creando anche strumenti software evoluti per analizzare il perimetro di una rete e simulare, con dispositivi virtuali, l’environment del cliente e valutare a quali tipologie di attacco tale ambiente è esposto, valutando anche le possibili conseguenze.
La cybersecurity è un processo che richiede continua attenzione e risorse dedicate; con l’utilizzo delle soluzioni EDR e MDR di Relatech il Cliente ha la possibilità di garantire una buona protezione dei propri dispositivi, con la certezza di poter accedere a un livello di competenze superiori per affrontare e risolvere situazioni particolarmente critiche.