logo

CybergON Blog

Advancing the State of Cybersecurity.

The Theory of Average Security: una strategia di difesa efficace per la tua azienda

Nel nostro Almanacco abbiamo visto come gli eventi che hanno caratterizzato il mondo della Cybersecurity nel 2019 indichino l’avvengo di numeri e trend impressionanti per i prossimi due anni. E’ purtroppo un dato di fatto che le minacce di Cybersecurity continuino a crescere. La difesa deve quindi obbligatoriamente essere considerata un processo continuo, che si adatti in tempo reale ai cambiamenti di scenario, siano essi interni o esterni. Come possono le organizzazioni prepararsi con un efficace piano di difesa?

Il Business Model Canvas: un modello per la security

Facciamo un passo indietro: con il Business Model Canvas: dark edition abbiamo cercato di costruire un modello in grado di evidenziare la presenza di target specifici. Per farlo, ci serve ragionare in modo visuale e andare alla ricerca di un motivo per cui qualcuno avrebbe interesse a forzare i nostri sistemi. Se il risultato della ricerca è negativo, allora dobbiamo considerarci un target generico. Questo significa che non siamo appetibili tanto per i nostri asset (dati, informazioni) ma per le nostre vulnerabilità stesse, a causa delle quali possiamo diventare un obiettivo utile per i cyber criminali. Non è possibile escludere che i nostri dati possano assumere col tempo importanza e quindi suscitare maggiore interesse, però è quantomeno improbabile. E’ quindi consigliabile concentrarsi sul plausibile.

Cybercrime: i guadagni di un mercato in crescita

Non possiamo non tenere in considerazione alcuni fatti. Il Cybercrime è costantemente un passo avanti all’industria della Cybersecurity, dal momento che quest’ultima lavora sempre rincorrendo la ‘falla’ da chiudere. Chi opera in questo contesto deve superare il paradigma dell’identificazione e della successiva risoluzione della problematica, che risulta troppo lento e macchinoso di fronte a degli opponenti che sono sia innovatori che early-adopters; persone competenti, curiose, affamate e non soggette alle stesse regole delle aziende delle economie occidentali. I dati che le aziende custodiscono sono preziosi e hanno valore, un valore non potenziale ma reale: esiste un borsino con delle quotazioni e dei siti dove comprarli. Inoltre i tool di attacco o gli attacchi stessi sono disponibili a chiunque: un malintenzionato non deve essere un tecnico competente: può acquistare il codice o assoldare persone che lo sviluppino per lui.

A supporto ci sono diversi studi molto interessanti - ad esempio “Hypercrime: The New Geometry of Harm” di Michael McGuire - dai quali sappiamo che il mercato del Cybercrime si attesta sui 5 mila miliardi di euro: una cifra che, per quanto approssimativa, fa impressione ed è naturale chiedersi come possa essere composta. Ad esempio, i riscatti per avere le chiavi di decrittazione di un ransomware ammontano a circa 1 miliardo di dollari. Una cifra che si riferisce ad un anno di attività e che ha ritmi importanti di crescita. Ma lo stesso ransomware è, spesso, solo una copertura: dopo aver forzato un sistema e avuto accesso alle informazioni, gli attaccanti decidono di coprire le proprie tracce con un ransomware. Forse non tutti pagheranno il riscatto, di certo, però, dovranno ripartire da un backup; azione che inesorabilmente cancella tutte le tracce che un intruso lascia mentre le informazioni sottratte sono già in vendita da qualche parte.

Un buon quadro informativo lo fornisce Bromium, di cui ti consigliamo di leggere il report: è molto interessante e permette di capire perché la comprensione del fenomeno passa necessariamente dai modelli di business.

Come difendersi dagli attacchi? Una buona indicazione viene da una delle tante applicazioni della Legge di Pareto.

Essere sicuri non è possibile: prendiamone atto e lavoriamo invece sul rischio, cercando un buon compromesso tra quanto possiamo investire e i risultati che ci aspettiamo da questo investimento. Lavoriamo per prima cosa sui processi interni, ossia sul modo in cui i sistemi vengono utilizzati, prima ancora che sulla tecnologia stessa. Ci sono tante cose da fare che non hanno un costo eccessivo o proibitivo. Poniamoci come obiettivo il fatto che il successo di attacco sia antieconomico per chi lo lancia. In questo modo si presume che l’attaccante rivolga le sue attenzioni ad altri perché più facili da colpire. Un approccio pratico, consapevole, necessario. Per farlo lavoriamo sulla sua vista prospettica.

Cosa vede un attaccante di una organizzazione? Semplice: le vulnerabilità che espone. Se anche solo una di queste può essere sfruttata con un exploit già in suo possesso ecco che l’attacco avrà costi bassi e alte possibilità di successo. Il numero di vulnerabilità di un’organizzazione si riduce proporzionalmente con l’aumentare degli investimenti, senza però chiudersi mai. In sostanza ci saranno sempre delle vulnerabilità: ad esempio le “zero-day” o più semplicemente quelle relative a sistemi non aggiornabili per vincoli applicativi. È ipotizzabile, quindi, che lo schema sia ancora una volta regolato della Legge di Pareto, in particolare il corollario che enuncia l’impossibilità o l’anti-economicità di raggiungere il 100% di qualunque insieme, e pone il livello ottimale all’80%.

Average-security-pareto-difesa
Legge di Pareto applicata alla difesa

Si ottiene l’accesso nell’area di attacco anti-economica con gli investimenti giusti, siano essi processi, best practice, cultura o tecnologia, traducibili in un constante monitoraggio dei sistemi e in un processo di incident management. La componente tecnologica, complementare a quella culturale e che deve sempre essere proporzionale alle capacità dell’organizzazione, l’abbiamo schematizzata sulla base di una crescente adozione di funzionalità atte ad aumentare la capacità di difesa.

La mappa delle difese

Average-security-mappa-difese
Mappa delle difese

Il grafico che abbiamo prodotto rappresenta gran parte delle funzionalità che compongono un’efficace strategia di difesa, tali funzionalità sono state pensate e proposte in ottica di complessità crescente, partendo da destra e propagandosi verso sinistra. La linea rossa demarca le componenti che fino a qualche anno fa erano sufficienti. Purtroppo la crescente complessità degli attacchi di oggi li ha resi necessari ma non più sufficienti.

Man mano che si va verso l’esterno del grafico la specializzazione in Cybersecurity aumenta. Partendo infatti dal classico antivirus, si passa attraverso i cosiddetti “next-generation” firewall e si arriva alle attività ben più complesse di Cybersecurity e Cyber Intelligence: ne è un esempio il SIEM (Security Information and Event Management), la combinazione di servizi e tecnologie utili alla raccolta di dati e alla normalizzazione degli stessi per fare analisi e correlazione di eventi.

Il governo di tutte le difese passa attraverso un Security Operation Center, la cui efficacia poggia su quattro pilastri:

  • La Cyber Intelligence per comprendere e ove possibile prevenire le minacce;
  • Il costante monitoraggio delle vulnerabilità;
  • La raccolta e la correlazione di tutte le informazioni sensibili per la sicurezza e la loro analisi al fine di identificare anomalie e incidenti;
  • La gestione dell’incidente e i piani di emergenza in caso di attacchi gravi;

Il tutto inserito in un contesto dove i Remediation Plan e i Mitigation Plan si susseguano incessantemente. I primi risolvono un rischio concreto e imminente, i secondi elevano costantemente il livello di sicurezza dell’infrastruttura. Ecco che, come abbiamo detto all’inizio, la difesa deve essere un processo continuo e deve adattarsi ai cambiamenti di scenario, interni o esterni.