La cyber security secondo la regola 1-10-60

Un minuto, dieci minuti, un'ora: sono le tre soglie ideali per riconoscere, analizzare e risolvere le violazioni della cyber security

Autore: Luca Nilo Livrieri

Il tema degli attacchi informatici è da sempre al centro del dibattito pubblico e ha un forte impatto sulle aziende di diversi settori e ambiti industriali in tutto il mondo. Gli operatori delle infrastrutture critiche o le autorità pubbliche sono nel mirino degli hacker, i cui attacchi informatici stanno diventando sempre più sofisticati.

Una tra le cause principali è da attribuirsi alla stretta collaborazione tra gruppi di eCrime per lo sviluppo di malware difficili da bloccare. TrickBot, ad esempio, ha recentemente mostrato le caratteristiche che suggeriscono l’esistenza di una cooperazione tra i due gruppi di eCrime Lunar Spider (BokBot – anche Trojan bancario) e Wizard Spider (TrickBot). TrickBot si avvale di un modulo proxy usato sino ad ora soltanto da BokBot e attualmente possiede strumenti aggiuntivi per entrare in possesso di informazioni ed effettuare trasferimenti fraudolenti.

La collaborazione tra gruppi criminali dimostra come qualsiasi azienda possa diventare il potenziale bersaglio di un attacco informatico, ma qual è la strategia più efficace per tutelarsi dall’eCrime? Nel caso in cui si verifichi un attacco informatico, la velocità è uno dei più importanti fattori per evitare il danno. L’unico modo per combattere un nemico informatico, infatti, è essere più veloce di lui.

Nel Global Threat Report, CrowdStrike definisce una nuova metrica definita Breakout Time che indica il tempo necessario per entrare in un punto di accesso all'interno di un'organizzazione. È stato dimostrato che, in media, le aziende hanno soltanto un’ora e 58 minuti per identificare ed eliminare l‘intruso dal proprio sistema prima che possa compromettere altri sistemi IT partendo dal punto di accesso originale.
Ci sono inoltre altre tre metriche chiave che possono aiutare a valutare la capacità di difesa da un attacco informatico:
- il tempo impiegato per identificare un’intrusione
- il tempo impiegato per analizzare l’attacco, comprendere l’entità del problema o la sua portata, definire le contromisure necessarie
- il tempo impiegato per rispondere all’intrusione, rimuovere il nemico informatico e adottare le misure necessarie per prevenire i danni.

La regola del 1-10-60

Qual è la tempistica ideale per identificare, contenere e scongiurare un attacco? Le istituzioni e le aziende che si avvalgono delle più recenti tecnologie sono quelle in grado di rispondere più prontamente: esse hanno la capacità di identificare un’intrusione in meno di un minuto, eseguire un’analisi completa in meno di dieci minuti e rimuovere il nemico informatico dal sistema in meno di un’ora. La formula del 1-10-60 che ne deriva dovrebbe diventare uno standard utile a combattere le minacce informatiche in modo efficiente.

Le aziende e le organizzazioni che mettono a punto la regola del 1-10-60 saranno in grado di eliminare il nemico dal sistema più velocemente, ancor prima che l’attacco informatico lasci il punto di accesso originale per espandersi nella rete aziendale. Questo processo consente di minimizzare significativamente i danni e di prevenire ulteriori escalation. Inoltre, è altrettanto cruciale creare un certo livello di trasparenza all’interno della rete, per identificare le minacce note e quelle ignote che possono verificarsi più velocemente.
Molti nemici informatici sono in grado di comportarsi naturalmente, come parte della rete stessa. L’utilizzo di tecnologie innovative e la combinazione di machine learning, soluzioni di rilevamento e programmi anti-virus di nuova generazione permettono, ad esempio, di identificare velocemente un criminale informatico e di combatterlo efficacemente.

Pensare come il nemico

Quali sono gli obiettivi che un nemico informatico potrebbe perseguire? Quali sono le vulnerabilità che un hacker potrebbe sfruttare? Quali sono gli asset digitali di suo interesse e come potrebbe procedere? Per comprendere al meglio il rischio informatico è opportuno che i dirigenti aziendali rivedano il proprio approccio e cambino il proprio modo di pensare. Molti cyber-criminali prendono di mira le risorse, ma acquisiscono anche il controllo dei sistemi critici.

In alcuni casi agiscono anche attraverso applicazioni, record e persone in remoto che consentono loro di accedere ad altri sistemi critici da diverse angolazioni. Bisogna tener presente che i nemici informatici persistenti mettono regolarmente in pericolo i singoli computer sfruttando vulnerabilità note o sconosciute oppure facendo leva su semplici attacchi di ingegneria sociale.

Questa è un’altra ragione per cui un‘adeguata formazione e la sensibilizzazione di specialisti e del management sono due nodi fondamentali per implementare una strategia di cybersecurity di successo. L’unico elemento di incertezza è l’essere umano: ci saranno sempre coloro che aprono e-mail sospette, cliccheranno su link casuali o inseriranno dati sensibili su siti sconosciuti. La formazione può fonire un valido aiuto, ma tali comportamenti non possono essere eliminati completamente.

Supponi di subire un attacco informatico

Posso prevenire un attacco informatico? In alcuni casi è semplicemente impossibile. Piuttosto bisognerebbe chiedersi quanto impiega un criminale informatico ad avere accesso a risorse sensibili. Nel momento in cui è in grado di farlo, quello che sarebbe stato un piccolo evento di sicurezza si trasformerà in un serio attacco informatico che richiederà una risposta lunga e complessa. È necessario fermare i criminali informatici prima che raggiungano il loro obiettivo finale.
Ecco spiegato perché la velocità è un elemento cruciale per la salvaguardia tecnica di tutti gli endpoint e per il monitoraggio continuo del sistema. La formula 1-10-60 consente di misurare la preparazione o il livello generale dei sistemi di sicurezza, oltre a fare in modo che i manager non esperti in materia di Information Technology siano in grado di comprendere e valutare le performance della loro struttura dedicata alla sicurezza informatica.

E anche se inizialmente un’azienda, un’agenzia o un’altra istituzione non possono raggiungere un tempo di risposta così rapido, la regola del 1-10-60 è un benchmark utile a determinare, ad esempio su base trimestrale o mensile, se il trend si stia muovendo nella giusta direzione. Insieme al Breakout Time, essa rappresenta un chiaro parametro di riferimento per misurare la resistenza di un’azienda alle complesse minacce informatiche odierne.

Luca Nilo Livrieri è Manager for Southern Europe Sales Engineers di CrowdStrike

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.