Una solida postura di sicurezza aziendale passa attraverso molteplici fattori, uno dei quali è senza dubbio il rilevamento tempestivo delle minacce, parte integrante di un approccio virtuoso fondato sulla prevenzione del rischio cyber.
Viviamo in un’era contraddistinta dall’aumento esponenziale delle minacce alla sicurezza informatica, al punto che secondo il Clusit (2023) gli attacchi gravi sono cresciuti del 60% (in Italia) negli ultimi 5 anni. Fortunatamente, complici soprattutto temi di compliance (GDPR e regolamentazione di settore) e un incremento di consapevolezza sui rischi, è ormai molto difficile trovare un’azienda che non investa, in modo più o meno adeguato, in misure di sicurezza cyber, e in particolare nel rilevamento delle minacce e nella risposta.
Rilevamento delle minacce: la parola chiave è monitoraggio
Oggi, la tematica del rilevamento delle minacce passa attraverso il monitoraggio di tutti gli elementi che, all’interno di ecosistemi IT sempre più complessi e distribuiti, rappresentano o possono rappresentare una vulnerabilità. Parliamo quindi di monitoraggio degli apparati e del traffico di rete, dei server, degli endpoint, ma anche degli accessi ai dati e ai sistemi, con contestuale impiego di tecniche avanzate di analisi per rilevare minacce e attacchi in corso, facendo perno sulla conoscenza di tecniche e di percorsi d’attacco anche molto sofisticati. Tutto ciò si somma alla difesa dai potenziali errori umani - una delle cause più frequenti di data breach – e, più in generale, dalle minacce interne.
Nel panorama appena descritto, entra in gioco un vero e proprio arsenale di soluzioni e di piattaforme dedicate, ognuna delle quali basata su un elevato livello di specializzazione. Queste piattaforme, tra cui quelle dedicate alla protezione degli endpoint (Endpoint Protection & Response, EDR), i sistemi di rilevamento delle intrusioni (Network Detection & Response, NDR) e i sistemi di correlazione degli eventi di sicurezza (SIEM) non possono essere considerate singolarmente, come un tempo si faceva con l’antivirus, ma come tasselli sinergici di una strategia di sicurezza, centrata e gestita da un servizio SOC, basata proprio sull’orchestrazione di diversi sistemi e soluzioni.
L’obiettivo è far sì che, raggiungendo un giusto bilanciamento tra sicurezza e produttività, le anomalie vengano rilevate in modo tempestivo, analizzate e, nel caso rappresentino effettivamente una minaccia, bloccate all’istante facendo perno sull’automazione che contraddistingue le soluzioni moderne.
Il rilevamento delle minacce come servizio e il SOC
Uno degli elementi trainanti della sicurezza moderna è l’orchestrazione sinergica di diverse soluzioni, piattaforme e tecnologie. Il tema è molto complesso e, per quanto le soluzioni moderne possano e debbano fare ricorso all’automazione, la gestione corretta dell’intero ecosistema richiede comunque competenze specialistiche e tanta esperienza.
Per tutti questi motivi, la cybersecurity intesa come fornitura e utilizzo di prodotti sta lasciando il terreno a quella basata su servizi erogati da partner con competenze dedicate. Il pilastro del rilevamento delle minacce (e della loro gestione a tutto tondo) è il servizio di monitoraggio e risposta erogato 24/7 dal Security Operations Center (SOC), il cui ruolo è proprio quello dell’orchestrazione di tutti i sistemi di detection & response (EDR, NDR, Managed Detection & Response…) finalizzata ad intercettare minacce reali, a filtrare i falsi positivi (di solito, tramite l’intervento umano) e ad avviare all’istante misure di protezione e di risposta.
Security Culture: il cuore della protezione aziendale dalle minacce Cyber
La creazione e la diffusione di una vera e propria security culture è l’elemento più importante per il rafforzamento della protezione aziendale in un’era in cui buona parte delle minacce passa ancora dalle persone.
Nell’ottica del rafforzamento a tutto tondo della postura di sicurezza, le misure (tecniche) di rilevamento delle minacce devono andare di pari passo con un innalzamento nativo delle barriere di sicurezza, includendo anche le persone. A completare un quadro anche se tecnicamente ineccepibile, è quindi importante valutare i rischi dalle attività di social engineering o phishing e l’attivazione di percorsi di security awareness per creare consapevolezza delle minacce e per stimolare lo sviluppo di comportamenti virtuosi nella vita di tutti i giorni.
