(liberamente ispirato all’articolo The New State of Cyberprotection di SolarWinds MSP)

La grande industria del crimine informatico impiega professionisti alla continua ricerca di modi nuovi e innovativi per fare soldi. Sapendo che in questo caso ciò significa cercare nuovi modi per violare le aziende ed i loro sistemi di sicurezza. Che si tratti di nuovi ceppi di ransomware, criptojacking basato su browser o attacchi che utilizzano componenti di sistema interni e processi legittimi per danneggiare, i criminali informatici trovano costantemente nuovi metodi per danneggiare le aziende e questo è un dato di fatto.

Tuttavia e per fortuna anche la Sicurezza Informatica è molto cambiata e si è evoluta nel tempo. Mettiamo in evidenza tre tendenze chiave che hanno aiutato i professionisti della Sicurezza Informatica, gli MSP e le aziende a migliorare le loro prestazioni in termini di sicurezza e ad affrontare le sfide del moderno panorama delle minacce.


Intelligenza artificiale e apprendimento automatico

L’intelligenza artificiale (AI o IA) svolge un ruolo crescente in tutti gli aspetti della vita e la sicurezza informatica non fa eccezione. L’IA tenta di imitare il pensiero umano e il processo decisionale usando le macchine. Gli strumenti di sicurezza basati sull’intelligenza artificiale integrano le competenze degli essere umani, eliminando gran parte della routine e consentendoci di prendere decisioni di livello superiore.

A rigor di termini, l’IA non impara da sola. L’intelligenza artificiale utilizza una logica complessa e programmata per prendere decisioni intelligenti. Tuttavia, molti sistemi moderni incorporano l’apprendimento automatico, un sottoinsieme delle routine di IA. L’apprendimento automatico utilizza algoritmi e feedback per insegnare alla macchina a prendere decisioni più intelligenti nel tempo senza un intervento umano diretto.

Un esempio concreto può aiutare a capire meglio. Alcune soluzioni di sicurezza utilizzano il rilevamento basato su anomalie per individuare potenziali minacce informatiche. Ad esempio, una soluzione di protezione degli endpoint potrebbe monitorare i comportamenti tipici su un endpoint, utilizzandolo come un set di dati iniziale per prendere decisioni. Nel tempo, la soluzione è in grado di rilevare deviazioni dalla norma, ad esempio un livello atipicamente elevato di modifiche o eliminazioni di file e può contrassegnare il comportamento come sospetto.

Questo tipo di protezione può aiutare ad adattarsi a tecniche nuove o emergenti. Ad esempio, alcuni anni fa, il ransomware era abbastanza facile da gestire: si rilevava il file offensivo e si utilizzavano i backup per ripristinare lo stato di prima che iniziasse l’infezione in caso di incapacità di eliminazione completa della minaccia. Tuttavia, il crimine informatico è un business e i criminali vogliono massimizzare il loro tornaconto. Se quel malware contiene più istruzioni rispetto alla semplice crittografia dei file, come la creazione di account amministratore o l’installazione di un keylogger, le soluzioni AV tradizionali potrebbero non rilevare il comportamento. Tuttavia, una soluzione basata sull’intelligenza artificiale potrebbe aiutare a catturare il modello di attacco in modo che il danno non duri oltre l’infezione iniziale.

Informazioni sulle minacce in crowdsourcing

I criminali informatici hanno strumenti che hanno imparato a condividere da decenni. Se qualcuno sviluppa una capacità di intrusione per una vulnerabilità nota o crea una pericolosa varietà di malware, può condividerlo con altri criminali in tutto il mondo gratuitamente o a pagamento. Come comunità, i criminali informatici hanno da tempo questo vantaggio.

Ma questa è una pratica che può essere utilizzata anche a beneficio della Sicurezza Informatica. L’intelligence sulle minacce fornisce un pool di conoscenze da tutto il mondo per aiutare le aziende a combattere le minacce emergenti. Le informazioni sulle minacce spesso consistono nell’identificazione di server di comando e controllo, liste nere di siti dannosi noti e descrizioni di minacce. Se qualcuno dall’Australia rileva una nuova minaccia, può segnalarla a un servizio di informazioni sulle minacce, che invia tali segnalazioni alla base utenti.

Sfortunatamente, ci sono anche aspetti negativi in questa pratica. I criminali informatici possono seminare false informazioni per mettere in crisi i fornitori di informazioni sulle minacce. Inoltre, gli invii degli utenti potrebbero non essere abbastanza affidabili da garantire informazioni di qualità. Da ultimo, gran parte dell’intelligence sulle minacce prodotta dall’industria non viene mai resa operativa.

Alcune piattaforme combattono ciò incorporando informazioni preliminari sulle minacce negli strumenti stessi. SolarWinds® Threat Monitor, una soluzione SIEM (Security Information and Event Management) basata su cloud, integra informazioni sulle minacce provenienti da più fonti per prendere decisioni su quando avvisare l’utente di una potenziale minaccia e fornire un contesto aggiuntivo durante le indagini. Manteniamo costantemente aggiornate le nostre informazioni sulle minacce in modo da non doverci preoccupare di rimanere indietro nella lettura dei rapporti sulle minacce.

Automazione

Secondo Ponemon, occorrono in media 197 giorni per scoprire una violazione e altri 69 giorni per contenerla. Se la società è in grado di affrontare rapidamente la violazione, può ridurre drasticamente qualsiasi danno fiscale, fino a $ 1 milione di dollari se può farlo in meno di 30 giorni, secondo lo stesso rapporto. Le minacce non devono essere così estreme da causare gravi danni, in particolare alle PMI. Se vuoi mantenere i tuoi clienti, risolvi rapidamente i problemi di sicurezza. Qui è dove l’automazione può aiutare.

Supponiamo che un worm infetti un endpoint. Il file utilizza tecniche di offuscamento per volare sotto il radar e atterrare sull’endpoint. Il file inizialmente sembra innocuo, ma presto avvia uno script per stabilire la comunicazione in uscita verso un altro endpoint sulla rete. Se è in atto una solida protezione degli endpoint, è possibile notare questo comportamento e intraprendere azioni automatizzate per affrontare rapidamente il problema, come mettere in quarantena l’endpoint, rintracciare l’infezione iniziale, riportare l’endpoint in uno stato sicuro e avvisare il tecnico . Ciò non solo impedisce la diffusione dell’infezione attraverso la rete, ma aiuta anche a prevenire problemi di downtime. E se l’automazione è abbastanza forte, il cliente potrebbe anche non conoscere la differenza tra intervento umano e intervento automatico.

Il crimine informatico si è evoluto, quindi. Ma anche gli strumenti a disposizione della Sicurezza Informatica si sono evoluti di pari passo. Dato che i criminali informatici continuano a cambiare le loro tecniche, gli MSP devono adottare nuove tecniche per stare al passo. Con l’intelligenza artificiale e l’apprendimento automatico, siamo in grado di rilevare le minacce più rapidamente. Con le informazioni sulle minacce, possiamo essere informati più rapidamente delle minacce emergenti. E con l’automazione, possiamo risolvere i problemi più rapidamente. Gli MSP che adottano queste tecnologie possono proteggere meglio i propri clienti e tenerli al sicuro nel lungo periodo.

Anche la lotta a queste minacce non deve essere difficile. SolarWinds EDR utilizza l’intelligenza artificiale e l’apprendimento automatico per rilevare le minacce sull’endpoint che molte soluzioni antivirus tradizionali non possono. Oltre a ciò, offre risposte automatiche alle minacce, come il rollback di un endpoint dopo un attacco ransomware in modo che gli utenti rimangano sicuri e produttivi.