Come misurare l’efficacia dei controlli di sicurezza in 4 step

La difesa contro gli attacchi informatici è cambiata radicalmente. Rispetto a qualche anno fa oggi richiede un approccio più attivo, capace di evolversi insieme agli aggressori e alle loro tattiche in continuo miglioramento. Le organizzazioni devono valutare continuamente l’efficacia dei propri controlli di sicurezza, identificando potenziali punti deboli, vulnerabilità, problemi di conformità e altre criticità.

Determinare l’efficacia di questi strumenti, però, non è sempre facile anche perché i dirigenti aziendali avrebbero bisogno di informazioni aggiuntive rispetto al semplice modo in cui le soluzioni di sicurezza affrontano le minacce. Vorrebbero infatti capire il valore fornito dagli strumenti e se stanno generando un ROI sufficiente a giustificarne l’uso continuo, ROI che può essere difficile da misurare in termini specifici e quantificabili. A nostro avviso, le organizzazioni interessate a valutare le performance delle loro soluzioni di sicurezza dovrebbero concentrarsi sulle aree chiave di seguito indicate.

1. Consapevolezza sulla superficie di attacco

Bloccare al 100% le minacce è impossibile: uno o più cyber criminali riescono comunque a entrare. Ciò significa che la sicurezza deve passare dalla protezione perimetrale al rilevamento all’interno della rete e, per difendersi, le organizzazioni dovrebbero conoscere nel dettaglio quali sono le credenziali esposte, le configurazioni errate, i potenziali percorsi di attacco e ogni altra vulnerabilità che gli aggressori potrebbero sfruttare.

Sono molteplici gli strumenti a supporto. Si parte dagli strumenti EDR (Endpoint Detection and Response) che forniscono visibilità sugli attacchi agli endpoint, mentre l’XDR (Extended Detection and Response) amplia le capacità integrandosi con altre soluzioni. Gli aggressori cercheranno quasi sempre di compromettere l’Active Directory, notoriamente difficile da proteggere quindi sono indispensabili tool di rilevamento in grado di identificare query AD sospette e altre potenziali attività di attacco.

Anche la sicurezza delle identità è sempre più critica. Mentre i tradizionali EDR e le soluzioni di sicurezza per l’AD non offrono la protezione dell’identità necessaria negli ambienti odierni, le soluzioni ITDR (Identity Threat Detection and Response) sono efficaci per rispondere a questa esigenza.

Tutto è legato alla protezione della superficie. Le organizzazioni devono valutare il livello di conoscenza della propria rete. I controlli alle identità senza protezioni degli endpoint possono lasciare le reti pericolosamente vulnerabili, così come mettere a rischio la sicurezza dell’AD. Inoltre, vista la diffusione del cloud, i nuovi ambienti possono ampliare ulteriormente la superficie di attacco. Garantire un’adeguata visibilità sull’intera rete è il primo passo per valutare l’efficacia degli strumenti di protezione.

2. Indagini su autorizzazioni e diritti

L’overprovisioning è oggi un problema serio anche perché in media i team IT non vogliono interferire con le funzionalità aziendali, per cui è più semplice fornire agli utenti interni ed esterni più autorizzazioni di quelle necessarie. Gli utenti si ritrovano quindi con profili che superano le autorizzazioni di cui avrebbero bisogno per svolgere il lavoro e, quando i cybercriminali compromettono questi utenti, riescono ad accedere a molti più dati.

L’implementazione di una Zero Trust Architecture (ZTA) consente di vincere questa sfida, fornendo alle identità solo il livello minimo di accesso di cui hanno bisogno per operare e convalidando continuamente che siano chi o cosa dicono di essere. A tal fine, le organizzazioni hanno bisogno di strumenti per identificare le autorizzazioni eccessive e altre potenziali vulnerabilità nella rete, assicurandosi di verificare e aggiornare regolarmente le autorizzazioni per garantire che rimangano appropriate. Quanti permessi eccessivi sono stati rilevati? Quante credenziali obsolete sono state eliminate? L’adeguata consapevolezza su tutta la rete può aiutare i team IT a valutare l’efficacia della gestione delle autorizzazioni.

3. Misurare e migliorare l’accuratezza del rilevamento

Gli avvisi di sicurezza sono utili e indicano se gli strumenti di sicurezza funzionano correttamente e rilevano le minacce. Purtroppo, però, non è sempre così e spesso le attività sospette si rivelano essere innocue, dando luogo a falsi allarmi che fanno perdere tempo con indagini dispendiose che invece oscurano le minacce reali da risolvere.

Il monitoraggio del tasso di segnalazione dei falsi positivi (FPRR) aiuta il team di sicurezza a capire la qualità dei propri avvisi. Se il FPRR è alto, potrebbe essere utile cercare strumenti più precisi. Le odierne tecnologie di rilevamento sono dotate di funzionalità di AI e ML che consentano di ampliare la conoscenza e identificare i falsi avvisi prima di trasmetterli al team interno, per potersi concentrarsi solo sulle minacce reali anziché inseguire i fantasmi.

4. Capire l’efficacia dell’automazione

L’automazione è utile non solo per ridurre i falsi allarmi ma anche per correlare le informazioni sugli attacchi provenienti da fonti diverse e per visualizzarle in un’unica dashboard per la valutazione del rischio. Creando playbook per determinati tipi di attività di attacco, questi strumenti possono rimediare automaticamente a minacce specifiche prima ancora di portarle all’attenzione di un responsabile sicurezza. Questa automazione accelera e semplifica la risposta agli incidenti, affrontando le minacce non appena vengono rilevate e bloccandole prima che possano aggravarsi e diffondersi nella rete.

Il volume di risposta agli incidenti è un buon modo per valutare l’efficacia dei controlli e, il numero di incidenti segnalati come aperti, chiusi o in sospeso può fornire indicazioni sull’efficacia degli strumenti automatizzati nel gestire le minacce. Un numero eccessivo di incidenti aperti o in sospeso non è di buon auspicio, ma un numero significativo di casi chiusi in modo verificabile significa che il sistema sta facendo il suo lavoro.

Conclusioni

Le minacce odierne sono di ampia portata e gli aggressori non si concentrano più solo sulle grandi imprese. Tutti sono a rischio e le organizzazioni piccole e grandi devono disporre di protezioni adeguate e di conoscenze e risorse necessarie per valutarne l’efficacia. Fortunatamente, la valutazione di aspetti quali la visibilità della rete, la gestione dei diritti e la segnalazione di incidenti e falsi allarmi può aiutare le organizzazioni a determinare la salute complessiva della rete e il livello di efficacia delle difese.

Queste informazioni possono aiutare i team di sicurezza a ottenere un maggiore consenso da parte di CISO e consigli di amministrazione delle aziende per migliorare e capire come anticipare i criminali informatici. Considerando che nel 2021 il costo medio di una violazione dei dati è salito a 4,24 milioni di dollari, le soluzioni di sicurezza efficaci non sono mai state così importanti.

Per ulteriori informazioni consultare www.sentinelone.com