Mandiant mette in guardia gli utenti sui rischi informatici e cerca di renderli consapevoli di cosa sia realmente importante.

rischi informatici

Nel corso degli ultimi anni il panorama delle minacce, tra continue violazioni ed eventi cyber globali, si è modificato e decisamente ampliato. Le aziende continuano a provare ad adattarsi al cambiamento, così come lo fanno però gli attaccanti.
I team che si occupano di sicurezza informatica devono sostenere quotidianamente il business aziendale e allo stesso tempo devono essere costantemente preparati per affrontare possibili rischi informatici che mettono in pericolo i loro sistemi. Bilanciare le criticità derivanti dalle responsabilità operative con la preparazione della risposta è difficile e anche i team più preparati si possono trovare a volte in difficoltà.

I team di sicurezza lavorano quindi per mantenere in equilibrio il business e le misure di sicurezza per gli asset aziendali, ma spesso si trovano a lottare per restare al passo con gli attaccanti, affrontare tempestivamente tutte le minacce e i rischi informatici diventano i problemi principali. Nel report “14 Cyber Security Predictions for 2022 and BeyondMandiant ha mostrato come gli aggressori ransomware abbiano incrementato ritmo e obiettivi applicando pressioni aggiuntive tramite diversi metodi di estorsione.

Osservando le aziende colpite da incidenti cyber di alto profilo, gli executive e i membri dei board aziendali chiedono ora di comprendere meglio dove e quali siano, nella loro azienda, i maggiori impatti in caso di un incidente cyber e allo stesso tempo chiedono di agire per ridurre i rischi informatici”, dichiara Gabriele Zanoni, Consulting Country Manager Mandiant Italia.

Le organizzazioni si stanno rendendo conto che un programma di sicurezza focalizzato sui “Crown Jewels” aiuta a rafforzare la sicurezza generale e a concentrarsi sulla protezione delle risorse più critiche per l’azienda e che, di conseguenza, sono anche di maggior interesse per gli attaccanti.

Questo significa ottenere una migliore gestione dei rischi informatici, possedere un processo decisionale in materia di risorse e di investimenti per gli asset di alto valore e una migliore prevenzione degli incidenti cyber che potrebbero creare i danni maggiori.

Come progettare un programma di sicurezza focalizzato sui Crown Jewels

Mandiant suggerisce di iniziare sempre da quattro aree chiave quando si progetta un approccio Crown Jewels contro i rischi informatici:

  1. Individuazione dei rischi informatici
  • Quali sono i sistemi che supportano gli scopi e gli obiettivi chiave dell’azienda?
  • Quali informazioni vengono memorizzate su tali sistemi?
  • Sono presenti dati personali dei dipendenti? Dati dei clienti? Proprietà Intellettuale?
  1. Minacce
  • Quali sono le minacce interne ed esterne che potrebbero avere gli impatti più significativi sul singolo Crown Jewel?
  • Quale sistema sarebbe l’obiettivo più probabile per attaccare un determinato Crown Jewels?
  • Quali sono le motivazioni che possono spingere un attaccante a colpire un certo sistema?
  1. Vettori
  • A quali vettori di attacco si è intrinsecamente vulnerabili?
  • Quale sarebbe l’impatto in caso di compromissione?
  • Che tipo di impatto ci sarebbe? (finanziario, operativo, di compliance, reputazionale etc.).
  1. Contromisure
  • Quali sono le contromisure di prevenzione, di rilevamento e di risposta all’incidente per minimizzarne i rischi informatici?
  • Quali sono le contromisure basate su tattiche, tecniche e procedure degli attaccanti?

Un approccio Crown Jewels offre alle organizzazioni una prospettiva unica al di fuori della tecnologia che aumenta la visibilità sul business e migliora l’impegno di tutti i team aziendali nella protezione delle risorse e allinea le priorità in tutta l’organizzazione.

Quando le organizzazioni decidono consapevolmente di sviluppare o migliorare il loro programma di sicurezza adottando pratiche più precise e allineate alla gestione dei rischi informatici, noi raccomandiamo sempre di seguire un processo strutturato”, aggiunge Gabriele Zanoni.

Quando si progetta un approccio Crown Jewels è necessario:

  • Essere certi che il modello Crown Jewels non sia solo un piano di continuità aziendale;
  • Combinare standard per la gestione dei rischi informatici che tengano non solo conto di parametri come importanza, probabilità e impatto ma anche di concetti basati sull’intelligence quali le diverse tipologie di aggressori e le loro motivazioni;
  • Avere la consapevolezza che un consistente utilizzo di certe applicazioni non significa necessariamente che tali applicazioni abbiano un grande valore per l’attaccante;
  • Essere sicuri che minacce come phishing e malware non dominino i modelli;
  • Evitare di considerare Crown Jewels asset aziendali come processi o team di sicurezza;
  • Controllare se i sistemi afferenti i Crown Jewels siano solo quelli con un impatto economico elevato;
  • Non avere paura di rivedere il modello.

L’importanza di applicare la Threat Intelligence

Gli IoC sulle minacce aiutano le organizzazioni ad affrontare attaccanti noti e le loro infrastrutture, mentre applicare la threat intelligence significa avere una comprensione completa degli aggressori che prendono di mira un certo settore e le sue risorse. Comprendere motivazioni e comportamenti degli attaccanti e realizzare quindi un profilo della minaccia basato sulle tattiche, tecniche e procedure (TTP) è fondamentale per iniziare a profilare efficacemente i rischi informatici di un’organizzazione.

Includere la threat intelligence in un approccio Crown Jewels significa guardare più in profondità, richiedendo alle organizzazioni di considerare non solo il valore dei sistemi/risorse per l’azienda stessa ma anche quello che possono avere per un attaccante”, conclude Gabriele Zanoni. “La gestione del rischio, la business continuity e/o i piani di disaster recovery non tengono conto della motivazione per cui un aggressore prende di mira un’organizzazione. Un approccio Crown Jewels arricchito dalla threat intelligence consente alle aziende di includere le risorse critiche nella pianificazione dei rischi informatici, oltre a sviluppare protocolli di risposta agli incidenti che siano più allineati e meglio focalizzati su ciò che conta di più”.

Non tutte le aziende sono organizzate allo stesso modo e i programmi di sicurezza devono essere dimensionati correttamente a seconda del modello operativo aziendale e per il proprio profilo di rischi informatici.
Mandiant ha collaborato con numerose organizzazioni, utilizzando un approccio misurato per definire le perdite accettabili, il rischio residuo e per condividere come i team si possano ridurre con efficacia gli impatti di un incidente attraverso contromisure e controlli adeguati. I risultati derivanti da questo programma sono un elemento di differenziazione all’interno di un programma di sicurezza e fanno la differenza tra un incidente di minore importanza e una grande violazione.

La capacità di distinguere dove sia necessario prevedere degli investimenti per controlli di sicurezza maggiori rispetto a un approccio basato esclusivamente sulla compliance contribuisce a superare la sfida dei “controlli generici” che vengono applicati indiscriminatamente in tutta l’organizzazione, cosa che può portare ad avere programmi di sicurezza difficili da mantenere e sostenere.

Questo approccio equilibrato è ciò che rende un programma Crown Jewels prezioso per aziende di ogni settore e dimensione.