SHARE
Uncategorized / July 27, 2015

Inverti i ruoli tra attaccante e difensore

Nel mondo della sicurezza informatica, il rapporto tra il ruolo dell’attaccante e il ruolo del difensore è altamente asimmetrico. Il difensore deve tutelarsi in tutti i possibili punti che possono essere violati, mentre l’attaccante deve solo sfruttare una vulnerabilità. Questa asimmetria favorisce fortemente l’attaccante.

Molte delle attuali implementazioni di protezione informatica sono basate su un modello perimetro-centrico che mira a limitare le possibilità che hanno malware e minacce di violare il perimetro, mantenendo utenti e attività all’interno di una zona protetta. Questo modello esemplifica perfettamente l’asimmetria che avvantaggia l’attaccante. Di conseguenza, tale modello non è riuscito a raggiungere il proprio obiettivo. I risultati sono evidenti in termini sia di volumi sia di conseguenze legate a molte delle recenti violazioni.

È importante notare come la natura stessa di queste violazioni sia evoluta nel corso degli ultimi anni. A differenza dei virus e dei worm di pochi anni fa, che si propagavano rapidamente lasciando una scia di distruzione, molte delle violazioni odierne sono finalizzate alla raccolta di grandi volumi di informazioni riservate per lunghi periodi di tempo. Molte di queste violazioni si articolano su più fasi, con un comportamento estremamente furtivo. Ad esempio, una volta che un malware ha violato il sistema di un utente, può propagarsi “silente e inesorabile” in tutta l’organizzazione. In altre parole, il malware tenta di eludere il rilevamento con l’obiettivo di diffondersi ampiamente e profondamente all’interno dell’organizzazione. Durante questo processo possono stabilirsi dei canali di comunicazione “backdoor” con centri di comando e controllo. Leggi il white paper “Affrontare la minaccia dall’interno: ripensare la distribuzione della sicurezza di rete” per ulteriori dettagli. Questa propagazione silente e inesorabile può impiegare settimane o mesi. La raccolta e l’estrazione di grandi quantità di dati riservati inizia solo in un secondo momento. In molti casi l’organizzazione si accorge della portata della violazione ad estrazione avvenuta.

Per tentare di invertire l’asimmetria tra attaccante e difensore è fondamentale comprendere questo fenomeno. Vi è un crescente consenso sul fatto che occorre passare da un modello perimetro- e protezione-centrico, che favorisce fortemente l’attaccante, a un modello che presuppone che gli avversari irromperanno nella rete. In altre parole, occorre evolvere verso un modello di rilevamento e contenimento. Tale evoluzione del modello di sicurezza offre la migliore opportunità per invertire l’asimmetria. Una volta che l’attaccante ha violato l’organizzazione, al fine di massimizzare l’impatto deve adottare tutte le precauzioni possibili per evitare il rilevamento. Vice versa, il difensore deve cercare di rilevare qualsiasi indizio che segnali la presenza dell’attaccante. Di conseguenza, fasi quali il movimento laterale del malware all’interno dell’organizzazione, i tentativi di stabilire canali di comunicazione backdoor e le manovre di estrazione dei dati, rappresentano la migliore opportunità per individuare e contenere la minaccia, rispristinando l’equilibrio in favore del difensore.

Ciò richiede la definizione e la creazione di sistemi sempre più focalizzati che permettano di rilevare le minacce dall’interno. Tuttavia, nell’ambito dell’infrastruttura dell’organizzazione, i volumi di dati che devono essere esaminati sono enormi. Il crescente ricorso alla crittografia e la mobilità di utenti/dispositivi/applicazioni generano dei punti ciechi aggiuntivi e comportano delle imprevedibilità in termini di accesso ai dati pertinenti.

Di conseguenza, l’evoluzione dalla prevenzione al rilevamento richiede un nuovo modello di implementazione dei sistemi di sicurezza: un modello capace di garantire l’accesso costante ai dati pertinenti provenienti da sistemi fisici e virtuali, indipendentemente dalla loro posizione o dall’uso di tecnologie di crittografia. GigaSECURE, la secuirty delviery platform di Gigamon, offre la prima soluzione di questo genere. Essa adotta un approccio basato su piattaforma per l’implementazione simultanea di una vasta gamma di soluzioni di protezione conforme a questo nuovo contesto di sicurezza informatica, sempre più focalizzata sul rilevamento e sul contenimento. Per maggiori dettagli vedere qui.


Back to top