Replay – Managed Threat Response – Affrontare i cambiamenti nello scenario delle cyber minacce con un nuovo approccio alla sicurezza ed alla digital forensics
Il 27 maggio si è tenuta la tavola rotonda dal titolo “Managed Threat Response – Affrontare i cambiamenti nello scenario delle cyber minacce con un nuovo approccio alla sicurezza ed alla digital forensics” durante la Cyber Security Virtual Conference 2021.
- Moderatore: Nanni Bassetti, Consulente Informatico Forense
- Giovanni Giovannelli, Senior Sales Engineer di Sophos
- Cosimo Anglano, Professor of Computer Science at the Computer Science Institute of the Universitá del Piemonte Orientale
- Alessio Setaro, Cyber Security Leader Leroy Merlin Italia e Global CISO Italia per il Gruppo Adeo
Di seguito un breve estratto:
Nanni Bassetti, Consulente Informatico Forense
“Sappiamo che il cybercrime oggi è una filiera. Non c’è più il ragazzino geniale che inventava il virus che girava sui floppy disk ma una vera e propria catena di montaggio, con l’addetto al marketing, l’addetto alla riscossione dei soldi dei riscatti, la costruzione dei software… Un’industria che va veloce.
Bisogna capire quanto riusciremo ad aggiornarci, non solo come software, ma per far capire alle persone una corretta profilassi, stare molto attenti a ciò che fanno, fermarsi cinque secondi a pensare prima di muovere il mouse e non fidarsi di nessuno. Lo zero-trust è un’arma fastidiosa però è un’arma intelligente.”
Cosimo Anglano, Professor of Computer Science at the Computer Science Institute of the Universitá del Piemonte Orientale
“Insegno sia cyber server security che informatica forense nel corso di laurea magistrale in informatica della mia Università, due cose che sono collegate fra di loro da una semplice osservazione che immagino tutti possiamo condividere, e cioè che gli incidenti capitano. Per quanto si possa cercare di prevenirli, capitano. Esiste dunque una fase di remediation che in qualche modo va a impattare sulla riconfigurazione del sistema per chiudere eventuali falle e intraprendere tutte le azioni di protezione necessarie. Questo in qualche modo va a confliggere con la necessità di ottenere sufficienti dati o ricostruzioni fattuali che poi ci consentono di evitare errori futuri ma anche di perseguire eventuali condotte illecite, perché perseguire una condotta è un meccanismo di deterrence, e la deterrenza è uno dei pilastri nella cyber security.
In caso di post incidente, prima di fare la remediation sul sistema occorre acquisire dei dati che ci consentono di effettuare delle inferenze, ovvero rispondere ad alcune domande, ad esempio chi è responsabile dell’incidente, quali risorse sono state compromesse, come è avvenuta la compromissione, quando è avvenuta e perché è avvenuta. Tali domande ci consentono di rispondere meglio in termini di ripristino della sicurezza e, se fatte correttamente, ci consentono anche di avviare delle operazioni di persecuzione dal punto di vista giuridico degli autori della condotta. È proprio questo il problema, cioè come rendere resistenti questi dati e queste deduzioni in un giudizio che viene poi avviato successivamente.”
Giovanni Giovannelli, Senior Sales Engineer di Sophos
“L’aspetto di Deep Learning o di Machine Learning o di intelligenza artificiale in generale, mi aiuta molto nel bloccare le minacce di ultima generazione e nel capire in anticipo se ci si trova sotto attacco. Ma questo non basta, perché molto spesso definiamo tre scenari che dobbiamo affrontare nella cybersecurity e il primo scenario è quello in cui la minaccia viene bloccata automaticamente dai componenti tecnologici installati. Questi componenti tecnologici sono in grado di capire, con intelligenza artificiale o con strumenti diversi, che ci troviamo di fronte a un attacco e lo bloccano, riescono a fare la cosiddetta remediation e quindi a ricreare il sistema di sicurezza che c’era in precedenza.
Nel secondo scenario lo strumento automatico riesce a bloccare l’attacco ma non riesce a fare la remediation e quindi c’è bisogno dell’intervento umano per ripristinare lo stato di sicurezza e capire se eventualmente ci sono dei punti di debolezza su cui lavorare. Anche qui quindi sono necessarie le competenze, perché lo strumento deve essere in grado di darmi eventualmente le informazioni per fare questo tipo di analisi.
Il terzo caso è quello più complicato, quello in cui non si hanno evidenze perché lo strumento automatico non le fornisce. E se questo succede, un team di analisti (o comunque le persone che sono che sono preposte alla parte difensiva) deve interrogare l’infrastruttura per capire se ci si trova di fronte a un possibile scenario di attacco. Un pò quello che nella parte di Threat Hunting viene definito come differenza tra il Lead-Driven Threat Hunting e Leadless Threat Hunting, cioè il fatto di potere con le lead-driven capire quali sono le tracce di un attacco e eventualmente intervenire, con il leadless invece capire se l’ambiente è fertile per un eventuale attacco successivo. Di nuovo si tratta di competenze che devono essere molto specifiche.”
Alessio Setaro, Cyber Security Leader Leroy Merlin Italia e Global CISO Italia per il Gruppo Adeo
“La complessità che i sistemi hanno raggiunto e che continueranno a raggiungere richiede il supporto tecnologico. Non è più possibile pensare di fare un’analisi dell’incident soltanto col quadernino segnando la timeline. I SIEM di oggi ci danno delle grosse capacità di immagazzinare, di analizzare, di correlare i processi di Machine Learning. Ci forniscono la possibilità di scremare, filtrare, verificare e l’IDS (Intrusion Detection System) e l’IPS ci danno la possibilità di beccare un grosso ventaglio di minacce su cui l’intervento umano è ancora e sarà sempre necessario. Non dimentichiamoci che se da un lato la tecnologia di difesa corre, dall’altro lato c’è il “lato oscuro della forza” che corre forse alla doppia velocità essendo adesso il cybercrime diventato sempre più business industrializzato. Esistono gruppi che fanno analisi del ROI e dello stato tecnologico di interi settori per poi andare a targettizzare i loro attacchi su quei settori in cui magari riescono ad avere più appeal, riescono ad avere un ritorno sull’investimento maggiore. Non possiamo quindi pensare di riempirci di ammennicoli e di strumenti tecnologici e poi abbandonarli a loro stessi, perché si tratta di una falsa protezione. Abbiamo potuto vedere che dietro un’attività di analisi c’è un lavoro immenso che chiedere un expertise specifico. Non si può più pensare al fai da te, a comprare delle soluzioni e a far fare tutte le soluzioni. Bisogna costruire la propria security come un processo, prendere mattone per mattone e andare a trovare il miglior strumento, la miglior persona con la migliore esperienza che è più adatta all’ambiente in cui io devo operare, il miglior partner, e andare a coprire tutto il ventaglio dei possibili rischi e qui il rischio diventa sempre di più un faro che illumina su dove si deve andare a indirizzare il proprio effort, budget e azioni. Bisogna cercare di avere tutte le possibilità e tutte le capacità necessarie per andare a mitigare quei rischi. Ciò è possibile unendo la tecnologia con la conoscenza e il knowledge umano.”