Il Threat Insights Report 2020 di Panda Labs dimostra che le soluzioni antivirus basate su firme specifiche e sul rilevamento generico e scientifico non sono più sufficienti ad affrontare la nascita di moltissime varianti di malware altamente sofisticate, che continuano a infettare i sistemi delle aziende con livelli di protezione non adeguati: occorre una protezione multistrato.
Fortunatamente, di pari passo con l’evolversi delle minacce informatiche, viene innovata anche la tecnologia relativa alla cybersecurity. Le soluzioni di sicurezza IT impiegano una serie di funzionalità progettate per impedire che le reti vengano intaccate e per rilevare e fermare comportamenti sospetti, così da anticipare possibili intrusioni. In un panorama con infinite incognite e in continuo mutamento, quale dovrebbe essere il livello adeguato di sicurezza informatica?
Con lobiettivo di elaborare un report delle principali cyber minacce e le tendenze della sicurezza informatica, PandaLabs, il laboratorio di sicurezza di Panda Security, nel 2019 ha registrato e analizzato 14,9 milioni di eventi malware, bloccando 7,9 milioni di programmi potenzialmente indesiderati (PUP), oltre a 76.000 avvisi per gli exploit che intendevano sfruttare le vulnerabilità nelle applicazioni, nelle reti o nell’hardware.
Questi dati rafforzano l’idea alla base del modello di sicurezza informatica di Panda Security: lapproccio reattivo non è più adeguato. Ci sono troppe minacce e troppi vettori di attacco in qualsiasi ambiente IT, tutti elementi che possono causare una violazione. Oggi, le soluzioni di cybersecurity devono essere predittive, proattive e preparate a rispondere a qualsiasi incidente che potrebbe verificarsi.
Le principali tendenze della tecnologia di sicurezza informatica nel primo trimestre 2020
I criminali informatici sono sempre più esperti, approfittano sempre più spesso degli errori, nascondendo i loro movimenti e aggirando le tecnologie di rilevamento, soprattutto nel cloud, attraverso le applicazioni mobili e sulle reti. Essi cercano essenzialmente tre cose:
- Guadagno finanziario, utilizzando il ransomware per estorcere denaro alle loro vittime in cambio del recupero delle informazioni rubate
- Dati, che possono essere venduti nel dark web
- Controllo di infrastrutture, reti o altri sistemi importanti. Questo accesso viene venduto ad entità influenti, come stati nazionali, gruppi politici, fazioni paramilitari e altri.
Come riescono nel loro intento? Già nei primi mesi del 2020 si sono manifestate diverse minacce informatiche, alcune già note, altre nuove.
Il Ransomware, famosa variante del malware, persiste. Basta un solo clic per paralizzare l’intera rete, eliminando i controlli di sicurezza e i backup per ottenere il massimo impatto nel minor tempo possibile. Qualsiasi tipo di azienda può cadere vittima del ransomware e ne è un esempio l’ondata di attacchi che ha colpito istituzioni pubbliche e private in tutto il mondo pochi mesi fa.
Gli attacchi fileless sono in crescita, perché sono più difficili da individuare e rendono più facile per i criminali informatici attaccare furtivamente. Gli hacker stanno cambiando il modo in cui attaccano e le loro strategie non hanno più necessariamente bisogno di un file specifico per penetrare in una rete, come analizzato negli attacchi Living-off-the-Land registrati nel rapporto Panda Labs.
Oggi, la soluzione da adottare è il Threat Hunting proattivo alle minacce, essenziale per riconoscere i comportamenti anomali e maligni che sfruttano applicazioni affidabili.
Le soluzioni di cybersecurity quindi non possono più essere basate su un’unica tecnologia: richiedono un approccio legato ad una versione stratificata, combinata con una strategia zero-trust per fermare possibili violazioni al sistema IT. Tali strumenti forniscono un livello ineguagliabile di controllo, visibilità e flessibilità. Questo è ciò che è necessario nella guerra dinamica contro nemici sconosciuti. Soluzioni certificate come Panda Adaptive Defense sono in grado di verificare se i dispositivi utilizzano applicazioni di sicurezza affidabili per gli endpoint.
Sono sempre più numerosi gli endpoint interconnessi, dalle workstation, ai laptop e ai server. Tutti questi dispositivi richiedono un approccio che combini soluzioni di protezione avanzata degli endpoint (EPP) e di rilevamento e risposta degli endpoint (EDR), basate su una strategia zero-trust, supportata dall’intelligenza artificiale.
L’applicazione di queste tecnologie alla sicurezza informatica è un cambiamento necessario nel modo in cui il settore deve affrontare il problema delle cyber minacce. Questa modalità rafforza ladozione di processi noti, registrati e classificati che possono essere eseguiti alla fine, garantendo che quelli sconosciuti o corrotti vengano bloccati.
Conclusioni: i vantaggi della protezione multistrato
Le minacce più recenti richiedono una sicurezza informatica che si è evoluta da soluzioni a tecnologia singola a quelle multistrato che impiegano – tra le varie funzionalità – il monitoraggio basato sul comportamento, per eliminare i pericoli persistenti, gli attacchi fileless e altre attività dannose.
Questo ha portato a un modello di tecnologia a più livelli combinato con la strategia di sicurezza zero-trust, che non permette a processi sconosciuti di attivarsi sugli endpoint della rete. Questa tecnologia porta due svantaggi:
- I team di sicurezza non hanno effettuato un’analisi approfondita degli alert. Dover eseguire tale verifica manualmente potrebbe significare dover impiegare più personale o lasciare gli avvisi non verificati, con conseguenti elevati rischi per la sicurezza.
- Se un team deve verificare gli alert, il loro MTTD e MTTR (tempo medio di rilevamento/risposta) sarà superiore. Ritardare una decisione anche di pochi minuti potrebbe avere gravi ripercussioni su eventuali azioni di un hacker o di una violazione dei dati.
