I sistemi informatici sono fallibili, meglio costruire una difesa basata sull’individuazione dei movimenti anomali. La tecnologia lo rende possibile
Autore: Redazione SecurityOpenLab
“Contrastare la criminalità informatica è un affare altamente strategico e tattico”. Nella battaglia che contrappone i criminali informatici e i difensori, questi ultimi devono sempre partire dal principio che l’attacco avverrà, inevitabilmente. Non perché chi difende è sfortunato o ha commesso degli errori, ma perché il nostro campo di gioco è diventato troppo grande, soprattutto a causa dell’infinito universo SaaS in cui operiamo.
Questo sembra una visione negativa e demotivante alla security ma Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI, spiega perché è al contrario costruttivo e motivante. Il suo approccio è estremamente pragmatico, a partire dall’analisi del contesto: le superfici di rischio sono troppo ampie, i tipi di attacchi sono talmente tanti, e coloro che li sfruttano sono così numerosi, abili e rapidi, che è impossibile nella pratica impedire tutti gli incidenti informatici.
Che fare allora? Semplicemente cambiare tattica: “smettere di credere di poter anticipare tutto ed evitare gli attacchi. Dobbiamo partire dal principio che l’attacco avverrà, e che in fondo questa è una buona notizia perché una volta che l’aggressore è entrato nel sistema, può essere individuato. Perché tecnicamente abbiamo i mezzi per rilevare i suoi movimenti laterali, le ricerche che farà, il suo comportamento. Perché l’Intelligenza Artificiale e il Machine Learning ci permettono di osservarlo distintamente prima di metterlo fuori gioco”.
Questa è la filosofia. La pratica consiste nell’inseguire l’aggressore seguendo le sue orme, “giocare” con il nemico, lasciando che sia lui a venire da noi. Galvagna consiglia di “adottare una tattica difensiva e punitiva, perché qualsiasi attacco è necessariamente rumoroso quando si propaga all’interno del sistema informatico. Per questo è fondamentale disporre di un buon sistema di rilevamento automatico degli attacchi informatici. Grazie a esso, il SOC manager può individuare in tempo reale il minimo comportamento anomalo, fare una semplice telefonata all’utente e rendersi conto che non è lui, ma un cybercriminale a muoversi all’interno dei sistemi”.
Peraltro, così facendo ci si pone in una posizione di forza perché “il nemico non potrà mai essere combattuto meglio di quando si trova nel nostro territorio”, ossia all’interno della propria infrastruttura, che il SOC interno o chi per esso dovrebbe conoscere come le proprie tasche. In quest’ottica Galvagna lancia la provocazione: “State subendo un attacco informatico? Rallegratevi!”, perché in effetti la tecnologia attuale, se gestita da personale altamente formato e specializzato, permette un efficiente rilevamento dei movimenti laterali e di conseguenza consente di bloccare gli attaccanti dopo che sono entrati nell’infrastruttura target, ma prima che causino elevati danni finanziari, operativi e di altro genere.