La “lotta al malware” è stata costretta ad evolversi, nel corso degli ultimi anni, a causa dei grandi cambiamenti che hanno interessato il mondo del lavoro. L’adozione su larga scala di sistemi basati su piattaforma cloud e la diffusione del lavoro flessibile hanno modificato l’ecosistema IT, allargando i confini della rete e facendo evaporare il concetto di perimetro su cui si basavano le tradizionali strategie di cyber security. Ad aumentare la complessità del quadro contribuisce poi l’evoluzione delle strategie dei pirati informatici, che si sono progressivamente professionalizzati e che oggi adottano tecniche di intrusione sempre più difficili da individuare. Il classico schema basato sull’attacco “dall’esterno”, in particolare, è stato ampiamente superato in favore di tecniche più insidiose, come il phishing, che sfruttano tecniche di ingegneria sociale per garantirsi un accesso alla rete aziendale. In questa nuova dimensione, il tradizionale approccio che punta a impermeabilizzare la rete dagli attacchi cyber non è più adeguato a rispondere alle minacce.

Un differente e più evoluto approccio al rilevamento

La logica EDR, basata sulla detection and response, mira a individuare un attacco in corso e applicare immediatamente tutte le operazioni necessarie per bloccare o mitigare l’attività malevola. Se i classici antivirus utilizzavano, prima, un sistema di rilevamento basato sulla comparazione delle firme, cioè sul confronto tra i file o i processi attivi sul computer e un database contenente le minacce conosciute, oggi gli EDR adottano una strategia più evoluta. Il controllo dei file e dei processi è infatti basato su strumenti di analisi comportamentale e, attraverso il machine learning, l’analisi statica del codice in esecuzione. Piuttosto che rilevare le “impronte digitali” dei malware gli EDR di nuova generazione puntano a individuare gli schemi comportamentali che possono indicare la presenza di codice malevolo. Un vantaggio sostanziale, soprattutto nel contrasto di nuove minacce e di malware che sfruttano vulnerabilità zero-day.

Tutto sotto controllo con reportistica in tempo reale

Oltre a rilevare i malware in senso stretto, gli agent installati sugli endpoint sono in grado di individuare anche attività sospette che possono indicare la presenza di un attacco in corso. In altre parole, il ruolo degli EDR non è solo quello di intercettare il malware al momento della sua attivazione, ma anche quello di rilevare gli indicatori di compromissione (IoC) o di attacco (IoA) che avviano le procedure di remediation. Questo tipo di attività genera una reportistica in tempo reale che viene controllata attraverso un sistema centralizzato, in cloud o su sistemi on premise. I dati raccolti sono condivisi tramite dashboard con i responsabili della sicurezza che possono tenere sotto controllo la situazione a livello dell’intero ecosistema IT. Questa impostazione potenzia la capacità di intervento del SOC (Security Operation Center) e permette di intervenire tempestivamente per contrastare eventuali intrusioni, ma non solo: la possibilità di avere una visione di insieme consente anche di individuare tutte le potenziali vulnerabilità negli altri endpoint, consentendo un intervento preventivo per evitare che l’attacco si diffonda.

La risposta automatizzata negli EDR

Se nella gestione di qualsiasi incidente informatico il fattore umano rimane fondamentale, gli EDR di nuova generazione consentono di automatizzare, almeno in parte, l’attività di response. Si tratta, in pratica, sia di schemi predefiniti che avviano processi automatizzati, come l’eliminazione dei file malevoli, sia di strategie più evolute come l’isolamento dalla rete dell’endpoint compromesso. Un’accurata messa a punto dei sistemi automatizzati, in pratica, può ridurre (fino quasi a eliminare) la necessità di un intervento “umano” in fase di response.

L'articolo EDR: il ruolo della detection & response a livello endpoint proviene da Lumit.

1. Prima fase per la microsegmentazione della rete: censimento della rete

Il punto di partenza in una strategia di microsegmentazione della rete è avere ben chiara la struttura della rete e i flussi di comunicazione per poi decidere le regole da applicare. Alcune aziende hanno una situazione abbastanza organizzata, quindi conoscono quello che c’è nella loro rete e come funziona. Magari hanno già un CMDB (Configuration Management Database) molto accurato in cui sono elencate tutte le componenti che fanno funzionare le loro applicazioni. Spesso, però, la situazione è più complessa e la catalogazione richiede molto tempo perché ci sono molte macchine e applicazioni vecchie, installate magari da persone che hanno da tempo lasciato l’azienda, per cui capita che le interazioni tra i vari server per una certa applicazione siano del tutto ignote.

Ricostruita manualmente nel modo più chiaro possibile la topologia della rete, si può partire con la microsegmentazione vera e propria. Va però precisato che è una tecnica di sicurezza che non può essere applicata in blocco a tutto il network aziendale, ma prevede di procedere per gradi, in modo da arrivare ad avere il totale controllo della rete secondo step successivi. Quindi è necessario attribuire delle priorità ai server o alle attività da coinvolgere nella microsegmentazione e procedere di conseguenza. Per esempio, si potrebbe partire proteggendo le applicazioni che elaborano i dati più sensibili e critici, lasciando altri server per una fase successiva.

L’obiettivo di questa fase è creare i tag, cioè le label che saranno associate ai vari server e che sono alla base della microsegmentazione. Queste etichette possono essere ottenute tramite il CMDB o da interviste con il management o con i tecnici IT.

Da questa fase si deve iniziare a fare una sgrossatura sui contenuti delle label e identificare per esempio i server database che contengono dati sanitari, economici o amministrativi.

2. Seconda fase: consolidamento

Dopo aver definito le applicazioni da cui si intende partire, si installano sui relativi server i primi agenti che serviranno per la microsegmentazione. Questi agenti non fanno ancora attività di microsegmentazione, ma consentono di avere visibilità sui server. A volte, ancor prima della microsegmentazione e quindi dell’applicazione delle regole, uno degli obiettivi principali è proprio arrivare a questo livello di visibilità per sapere com’è davvero strutturata la rete. Per esempio, con i dati raccolti dagli agenti, si possono individuare delle comunicazioni non note con altri server che potrebbero anche essere fisicamente esterni all’azienda. Quindi si allarga il perimetro su cui va estesa la sicurezza, perché se uno dei server “sconosciuti” fornisce informazioni indispensabili al funzionamento dell’applicazione presa in esame, dovrà essere protetto e dovrà avere una label relativa a quell’applicazione che vogliamo proteggere.

Anche al primo deploy di label dovrà seguire un affinamento, una rianalisi della fase precedente, e quindi l’eventuale creazione di altre label. La procedura potrebbe anche essere ripetuta tre o quattro volte, fino a ottenere una visibilità dell’applicazione che ci interessa, con tutti gli attori coinvolti e dove ciascuno avrà una propria label.

Questo processo si ripete poi per le altre applicazioni/server secondo la priorità definita inizialmente. In altre parole, il lavoro di microsegmentazione procede secondo ondate successive: dopo aver protetto in una prima fase ciò che è più importante, si eseguono degli affinamenti sempre più accurati.

L’obiettivo è raggiungere una situazione stabile, una fase di controllo totale sulle applicazioni e sulla rete che assicuri che non ci possa essere niente che non sia già stato considerato. In pratica si arriva a una sorta di stato altamente consolidato.

Possiamo dire che la prima fase (quella di censimento) e la seconda fase (quella di consolidamento) siano strettamente collegate.

3. Terza fase: visibilità sulla rete

Con la fase precedente si raggiunge la piena visibilità sulla rete e sulle interazioni tra le varie macchine che consentirà di evidenziare eventuali anomalie oppure controllare le variazioni. Proprio perché le reti non sono statiche e cambiano nel tempo, come anche le applicazioni, è difficile che rimanga qualcosa uguale per più di sei mesi.

4. Quarta fase: definizione delle regole

Ottenuta la piena visibilità della propria rete di comunicazione tra le proprie applicazioni, si sfrutteranno le label per definire le regole di segregazione. L’ideale sarebbe partire con una logica zero trust, ma questo bloccherebbe l’attività aziendale perché si dovrebbero fermare tutti i server. Solitamente si procede accertandosi anzitutto di “chi parla con chi” e con quali protocolli/processi. Stabilite le varie connessioni, si controlla il flusso del traffico dati e quindi si impongono delle regole: per esempio si permette un determinato flusso dati tra i soli server con label ‘Amministrazione’.

In questo modo è come se si andasse a inserire un firewall all’interno di ogni macchina: bisogna pertanto agire cautamente per evitare di bloccare l’attività e fare in modo che si crei la minore turbativa possibile per gli utenti, dal momento che tutto il traffico dati che non sarà stato autorizzato in maniera specifica risulterà totalmente bloccato.

Step conclusivo: monitoring

La microsegmentazione è completata, d’ora in poi va eseguita una sorta di monitoring continuativo. Con gli strumenti che un software di microsegmentazione rende disponibili si può averel’analisi della quantità di traffico o del tipo di traffico all’interno delle macchine, con la segnalazione automatica di eventuali alterazioni. Nel caso ciò accada si può stabilire quale azione seguire. Se il cambiamento è lecito, perché avvenuto per esempio a fronte dell’aggiornamento di un’applicazione, si potrà modificare la baseline di controllo e si avrà quindi un nuovo standard di riferimento. Se invece la causa dovesse risultare qualcosa di diverso, si avrà la possibilità di effettuare un’analisi per individuare il motivo dell’inaspettata variazione e, nel caso di malware, di intervenire istantaneamente su ogni server in modo adeguato, tramite il controllo centralizzato offerto dallo strumento di microsegmentazione.

L'articolo Microsegmentazione della rete: come si fa nella pratica proviene da Lumit.

Cos’è un Continuous Penetration Testing

Per rinforzare la sicurezza del perimetro digitale aziendale i team specialistici della cyber security dedicano molte ore ad analizzare e studiare le strategie degli hacker per poterne così anticipare gli attacchi. Questa prassi, se pur necessaria, non costituisce comunque una linea di difesa sufficiente nella maggioranza delle aziende.

Bisogna considerare che spesso l’infrastruttura IT è composta da applicativi molto complessi e strutturati, in quanto risultato di modifiche del codice stratificate nel corso degli anni e passate di tecnico in tecnico. Non è dunque raro che il sistema difensivo messo in atto possa presentare delle falle che sfuggano al controllo di chi si occupa della messa in sicurezza (ma che invece potrebbero non sfuggire a chi vuole introdursi nella rete aziendale per scopi illeciti).

Ecco perché la nuova frontiera della sicurezza informatica si basa sul Continuous Penetration Testing, monitorando in modo attivo l’infrastruttura. L’obiettivo di questi strumenti è aiutare le aziende a identificare eventuali falle di cui gli hacker si potrebbero avvalere per ottenere il controllo della rete.

La complessità che le organizzazioni devono affrontare, il numero crescente di dispositivi non gestiti, la struttura eccessivamente articolata delle reti interne e la crescita di minacce avanzate, rendono il Continuous Penetration Testing uno strumento essenziale che dovrebbe essere aggiunto a qualsiasi strategia di sicurezza. Poiché le minacce informatiche non smettono mai di evolvere, i test continuativi assicurano che un’organizzazione sia sempre all’avanguardia riducendo il rischio complessivo.

Fino a qualche anno fa si effettuavano degli attacchi simulati basandosi su vulnerabilità note, ma al giorno d’oggi gli attacchi non sono più “pattern-based”. Quindi la soluzione è effettuare dei penetration testing.

Come si esegue il Continuous Penetration Testing

Il Continuous Penetration Testing si basa sull’inserimento, in posizioni strategiche della rete, di apparati che simulano un attacco hacker al fine di scoprire le potenziali falle, dare visibilità dei possibili danni e segnalarne la gravità.

Il test viene effettuato continuativamente in periodi di tempo prefissati mediante tool automatici. L’impiego dell’automazione riduce il margine di errore e rende questo strumento più sicuro rispetto al classico Penetration Testing, dove l’attacco viene simulato da un team di Ethical Hacker.

Il secondo vantaggio nell’effettuare un attacco schedulato è che, mentre prima molti team tecnici effettuavano dell’hardening infrastrutturale solamente nei periodi degli attacchi, oggi il Continuous Penetration Testing riesce a garantire un controllo continuo e granulare dell’infrastruttura, dando evidenza anche di vulnerabilità “temporanee”.

Da sottolineare che i Penetration Testing sono attacchi basati sia su pattern sia su potenziali falle dei sistemi operativi. Questo li differenzia dal Vulnerability Scanning (o Vulnerability Assessment) che si basa su attacchi pattern-based, mitigabili quindi da un qualsiasi apparato infrastrutturale di sicurezza.

Quali aziende possono beneficiare del Continuous Penetration Testing?

Il Continuous Penetration Testing è utile per evidenziare le falle di sicurezza utilizzabili anche durante una qualsiasi infezione Cryptolocker ecc. Gli attacchi oggi sono ormai “2.0” quindi studiati per massimizzare i danni e diminuire la visibilità. E negli ultimi anni sono di tipo “silenti”. Gli hacker possono restare fermi anche per molti mesi in attesa del momento in cui la potenza di attacco è massima (in cui possono infettare, per esempio, anche il 60% della rete). Per questo motivo, il Continuous Penetration Testing è consigliato a tutte le tipologie di aziende di dimensioni medio-grandi, in quanto la piattaforma può avere costi rilevanti e il suo impiego è pensato per la sicurezza di infrastrutture piuttosto articolate.

Il Continuous Penetration Testing può essere adattato man mano che l’azienda matura la sua posizione nel programma di sicurezza. Le metriche uniche riguardano le seguenti categorie:

• tempo medio di riparazione;
• analisi costi-benefici rispetto al pentesting tradizionale;
• miglioramenti del personale IT;
• maturità delle difese;
• tendenze e dati storici.

Come si struttura un’analisi delle falle di sicurezza

Gli attacchi sono suddivisi in due parti: la parte iniziale, come detto, è pattern-based, quindi costruita su attacchi conosciuti e segnalati nelle CVE; la seconda parte dell’attacco è invece basata principalmente su metodologie poco conosciute e su alcune più note basate sul progetto OWASP. A esclusione del collegamento degli apparati di attacco alla rete interna del cliente, gli attacchi vengono poi effettuati completamente da remoto.

Attualmente i sistemi più supportati per questi attacchi sono Windows-based, che è la piattaforma più usata e più sensibile. Nell’ultimo anno, però, il perimetro si sta allargando anche a piattaforme Linux-based.

L'articolo Continuous Penetration Testing, cos’è e che vantaggi offre proviene da Lumit.

Differenza fra automation e orchestration

Obiettivo di automation e orchestration è far funzionare i complessi processi IT aziendali riducendo al minimo la necessità dell’intervento umano. In pratica, più carichi di lavoro si gestiscono, più il ricorso a queste tecniche è utile ed efficace, indipendentemente dalla strategia IT seguita.

Più in dettaglio, ricorrere all’IT automation significa devolvere alle macchine l’esecuzione di uno o più compiti che in precedenza erano eseguiti da una persona. Il risultato che si ottiene è di rendere più efficienti e affidabili i processi manuali che tradizionalmente richiedono molto tempo e non portano valore come, per esempio, la distribuzione e l’integrazione delle app, la protezione degli endpoint o la manutenzione, abbattendo i tempi di esecuzione.

Dal canto suo, l’IT orchestration consente di ottimizzare e semplificare i carichi di lavoro interconnessi, i processi ripetibili e le operazioni. In pratica, rende possibile automatizzare la gestione di sistemi informatici, middleware e servizi all’interno del proprio ambiente IT, e amministrare i processi automatizzati per supportare flussi di lavoro più ampi. Per esempio, orchestrare un’app significa non solo distribuire tale applicazione, ma anche collegarla alla rete in modo che possa comunicare con gli utenti e le altre app. Quindi, mentre l’IT automation si riferisce a un singolo compito, l’orchestration organizza i compiti per ottimizzare un flusso di lavoro.

I 6 vantaggi che rendono indispensabile l’IT automation e orchestration

I moderni team IT sono spesso responsabili della gestione di centinaia o migliaia di applicazioni e server. In questi casi non è possibile operare manualmente per soddisfare le attuali esigenze di mercato. L’orchestration è un modo per assicurarsi che determinate attività avvengano nel giusto ordine, con le giuste regole di sicurezza e secondo i permessi in atto, sollevando il personale IT da oneri gravosi.

In commercio si trovano diversi strumenti che permettono di attuare sia l’automation sia l’orchestration dell’IT, ma spesso non si adattano pienamente alle singole realtà aziendali. Per cui il risultato migliore lo si ottiene avvalendosi di strumenti personalizzati, tarati su necessità specifiche che permettono di procedere per gradi sia nell’automation sia nell’orchestration dell’IT. Con strumenti di questo tipo si possono ottenere diversi vantaggi che permettono davvero di far svoltare azienda e IT. Vediamo i 6 principali.

1. Massima rapidità

Il cloud è già tutto automatizzato: se si deve creare un’istanza basta premere un pulsante. On premise le cose vengono fatte manualmente all’interno di una struttura gerarchica solitamente divisa in unità di lavoro. Quando si crea una necessità in una di tali unità si deve avviare una richiesta che, per raggiungere chi può soddisfarla, deve percorrere un certo iter, spesso irto di imprevisti o ritardi. Risultato: la richiesta viene evasa in tempi lunghi e questo può comportare una perdita importate in termini di produzione o di business. Con un sistema automatizzato, invece, si opera in modo rapido perché si effettua la richiesta al sistema che, ottenuti i dati necessari, fa in modo di soddisfare tale richiesta in pochi secondi attraverso un dialogo machine-to-machine.

2. Liberare del tempo per attività a valore

Non ha senso competere in velocità con una macchina per un procedimento algoritmico. Ha invece senso utilizzare le facoltà cognitive umane per attività a valore aggiunto. Avvalendosi dell’automation e dell’orchestration dell’ITsi libera del tempo da poter impiegareper ottimizzare delle procedure, pereffettuare l’analisi dei dati al fine di prendere decisioni strategiche, per compiti legati al business o anche per la formazione.

3. Limitare gli errori

Più le attività sono svolte manualmente, maggiore è la probabilità che siano commessi degli errori. Magari non sono grandi errori, masicuramente hanno un costo che si riflette sul lavoro, anche solo per il fatto che certe cose andranno semplicemente rifatte. Senza contare poi che certi errori che riguardano l’IT aziendale possono portare a un ritardo, se non addirittura a un blocco, della produzione o del business. Per esempio, la mancata installazione di una patch di sicurezza può spalancare le porte della rete aziendale ai cyber criminali, con conseguenze disastrose sia economiche sia di immagine.

4. Ridurre le interruzioni

Tutti i dipartimenti aziendali fanno riferimento a un’unica divisione IT, che ha un proprio programma di lavoro, ma che spesso viene interrotto perché in una o più delle altre divisioni aziendali è sorto un problema. Così arrivano richieste del tipo: “mi crei una macchina, mi crei un IP, mi apri la regola firewall, mi metti questa VLAN” e via dicendo. Per soddisfarle si deve interrompere quello che si sta facendo, per poi riprenderlo una volta evasa la richiesta. Invece, con un sistema di automazione è possibile stabilire a priori quali esigenze potrebbero avere i vari reparti e quindi fornire interfacce controllate agli utenti tramite le quali possono richiedere l’intervento necessario direttamente al sistema. Questa automazione comporta una drastica diminuzione delle interruzioni delle attività dell’IT, che interverrà di persona solo quando sarà realmente necessario.

5. Velocità di risposta

A fronte di determinate impostazioni di automation e orchestration, l’IT può fronteggiare autonomamente certe situazioni con tempi nettamente inferiori rispetto a quelli che richiederebbe una reazione umana. Un esempio in questo senso è quello di un cyber attacco. Un sistema IT può individuare i segnali tipici di un certo tipo di minaccia e attivare le adeguate contromisure in tempi infinitesimali rispetto a quelli che richiederebbe il riconoscimento della minaccia da parte del personale IT e la conseguente reazione.

6. Massima flessibilità

Introdurre l’automation e l’orchestration dell’IT in modo massivo può comportare alcuni inconvenienti, dall’apprendere una nuova modalità di lavoro allo scoprire di aver automatizzato anche cose non era necessario fare. Sarebbe meglio procedere per gradi, partendo dalle attività che potrebbero trarre i maggiori benefici. Come detto, puntare su soluzioni personalizzate consente di decidere dove e come agire e di implementare un modello di automation e orchestration IT adatto alle proprie necessità, che quindi non sia eccessivo ma neanche troppo limitato.

L'articolo IT automation e orchestration: i 6 vantaggi che fanno svoltare azienda e IT proviene da Lumit.

Dall’on premise al cloud, un cambio di paradigma nella sicurezza

L’adozione del cloud e delle applicazioni basate sul cloud ha portato grandi benefici alle aziende, fornendo nuovi livelli di produttività e flessibilità e consentendo di fare un salto di qualità nella gestione delle attività di business e nella riduzione dei costi. La migrazione tecnologica dall’on premise al cloud comporta però alcune importanti trasformazioni. Una di queste riguarda l’aspetto della sicurezza.

Quando l’infrastruttura IT è tutta in azienda, la sicurezza è sotto il controllo del CISO, per cui sono stabilite precise policy ed è ben chiaro chi fa cosa. Con la migrazione sul cloud si modifica questo paradigma e, per la sicurezza, assume più rilevanza la parte di sviluppo. In pratica, per la gestione dell’architettura in cloud si segue un modello più attinente a quello DevOps.

Così se on premise la sicurezza della rete è data da regole che riguardano un firewall, una subnet e i permessi per chi può o meno accedere a quella subnet, in cloud la sicurezza di rete è legata all’identità che hanno i singoli oggetti.

Una funzione serverless, un database o un container nel cloud sono entità a cui vengono attribuite delle identità e determinate policy. E sono queste policy a stabilire se è consentito l’accesso ad altre entità, altri database, altri segmenti di rete o ad altri domini. Di tutto ciò solitamente si occupano gli sviluppatori che creano le risorse. Spesso accade però che tali attività siano separate su più team, che possono anche essere geograficamente molto distanti, e non è detto che abbiano un dialogo diretto. Tutti gli oggetti creati, il cui numero può essere molto rilevante, devono poter “parlare” fra loro e quindi sorge un problema di configurazione.

A ciò si può aggiungere un ulteriore fattore di complessità: un’azienda può avere data center su più cloud, uno in AWS, uno in Azure e uno in Google. Di base consentono di fare cose simili, anche se ciascuno ha peculiarità specifiche, ma usano differenti processi di configurazione e metodologie. Quindi, per avere il massimo livello in termini di sicurezza sarebbe necessario avere un’ottima conoscenza di tutte e tre le piattaforme cloud.

In questo nuovo paradigma, si moltiplicano le occasioni che possono portare a creare configurazioni non adeguate in termini di sicurezza (o addirittura a dimenticarsi di pensare alla sicurezza).

Per evitare che questo crei delle opportunità per i cybercriminali, si può ricorrere all’impiego delle soluzioni per il Cloud Security Posture Management.

Sicurezza cloud: come funziona il Cloud Security Posture Management

In estrema sintesi, come ha affermato Gartner, una soluzione di Cloud Security Posture Management verifica che tutte le configurazioni siano corrette e che tutte le policy siano rispettate. Nel caso di infrastrutture e applicazioni cloud il numero di policy e di configurazioni da controllare può anche arrivare a essere di alcune migliaia, quindi una verifica manuale è impensabile. Invece, una soluzione di CSPM richiama le API e, tramite queste, va a scandagliare meticolosamente e automaticamente tutte le risorse alla ricerca di quelle misconfiguration che, secondo l’AWS Cloud Security Report 2020, sono la causa del 49% dei problemi di sicurezza sul cloud di Amazon. Nel caso siano individuati degli errori, sono subito segnalati insieme alla modifica da apportare e nel rispetto di NIST, GDPR, PCI, ISO 27001 e altre normative.

In alcuni casi, le soluzioni diCloud Security Posture Managementutilizzano algoritmi di machine learning per fare in autonomia una valutazione dei rischi e fornire anche una scala di segnalazioni in base alla gravità delle configurazioni. Alcune policy prevedono anche dei metodi di auto-remediation per cui, avendo accesso alle API dei cloud, è possibile ottenere anche la modifica diretta da parte degli strumenti di CSPM.

Da sottolineare, infine, che il Cloud Security Posture Management consente di andare oltre l’aspetto sicurezza. Permette, infatti, di avere anche utili indicazioni sulla conformità dei carichi di lavoro basati sul cloud, una cosa impossibile da raggiungere con gli strumenti tradizionali e i processi on premise.

L'articolo Sicurezza cloud verso l’automazione con il Cloud Security Posture Management proviene da Lumit.

Come si applica l’approccio Zero Trust

Zero Trust non è una tecnologia e non è un prodotto, è una sorta di approccio filosofico alla sicurezza abilitato dalla tecnologia che si basa sul fatto che in qualsiasi momento qualcosa potrebbe andare storto e si potrebbe subire un attacco. Anche una persona di grande fiducia potrebbe fare cose malevole o, meglio, potrebbe essere sfruttata per fare cose malevole perché gli hacker hanno preso il controllo del suo computer o del suo account.

Da quando esiste l’informatica, si sono sempre considerati dei livelli di fiducia. Il computer in ufficio non protetto da password che chiunque può usare è una dimostrazione di fiducia nei confronti degli utenti presenti in azienda, ma è molto lontano dallo Zero Trust. Un approccio Zero Trust implica che ogni utente che utilizza quel computer condiviso debba avere credenziali proprie e che ci siano delle policy che gli permettano di usare solo i software o le funzioni di sua competenza. Siccome di base non ci si fida, qualsiasi cosa un utente faccia su quel computer deve essere loggata da qualche altra parte e in maniera non alterabile, così da avere, in ogni momento, una traccia delle azioni svolte.

L’approccio Zero Trust si può riflettere su tantissimi altri aspetti. Prendiamo per esempio le VPN. Sono uno strumento fondamentale, utilizzato praticamente da tutte le aziende: con lo smart working hanno permesso di salvare il lavoro nell’ultimo anno. Le VPN sono delle porte che permettono di entrare nel network aziendale ovunque ci si trovi, come se si fosse collegati con il cavo di rete. Questo, se non sono attive delle policy, permette di muoversi liberamente all’interno della rete stessa.

L’approccio Zero Trust impone che si implementino soluzioni affinché ogni persona che si collega possa raggiungere solo e unicamente quei server dell’azienda necessari per il suo lavoro. In pratica, si crea una microsegmentazione applicativa per utenti, dove ogni utente può accedere a un numero limitato di applicazioni. Se necessario, gli si può proporre una finestra di autenticazione in più per verificare la sua identità, attendendo magari come risposta una notifica sul cellulare che mostra il suo volto. In pratica, è un’autenticazione a due fattori come quella proposta quando si fa un’operazione bancaria.

4 software per introdurre in azienda l’approccio Zero Trust

Come detto, Zero Trust non è una tecnologia e quindi non esistono prodotti basati sullo Zero Trust. Però ci sono vendor che hanno fatto di questa filosofia il loro modo d’essere e quindi hanno creato prodotti o interi ecosistemi di sicurezza che si basano interamente sull’approccio Zero Trust. Ecco i 4 più interessanti.

1. L’ecosistema Zscaler

Uno di tali prodotti è Zscaler, che si compone di un intero ecosistema di soluzioni in cloud che consentono di portare la filosofia Zero Trust in azienda. Zscaler include un meccanismo per proteggere la navigazione web e, quindi, controllare tutto ciò che le persone fanno per andare su Internet. In questo senso, ispeziona tutto il traffico, fa detonare eventuali file in sandbox, gestisce i login ed effettua un monitoring globale. Il tutto passando attraverso una soluzione in cloud chiamata Zero Trust Exchange, che è un punto di scambio Zero Trust. In questo modo, da un lato c’è la gestione Zero Trust della navigazione, mentre dall’altro c’è una soluzione paragonabile alla VPN, ma che non è VPN. È invece un Private Access, un accesso privato alle applicazioni interne dell’azienda. Qui, al contrario di quanto accade con una VPN, passando attraverso lo Zero Trust Exchange e configurando precise policy aziendali, si concede alle persone di accedere ai servizi che gli competono all’interno dell’azienda, ma non gli si fornisce una presenza in rete tale da poter fare tutto quello che ritengono opportuno.

Insieme, tutte le soluzioni che fanno parte dell’ecosistema Zscaler portano ad avere un ambiente realmente Zero Trust.

2. Autenticazioni sotto controllo con Okta

Zscaler fa molto, ma non fa tutto. Per esempio, non amministra l’autenticazione. Per questa attività si appoggia su altri servizi. In tal senso, una soluzione che permette di applicare la filosofia dello Zero Trust sulle applicazioni è Okta. Si tratta di un prodotto di identity management, che consente l’autenticazione e l’accesso alle applicazioni attraverso un monitoring centralizzato e l’impiego di specifiche policy aziendali. Grazie al dialogo fra diverse soluzioni, verifica che tutto proceda in modo regolare. Se viene individuato qualcosa di anomalo, è richiesta un’autenticazione più rigorosa per verificare che la persona che sta operando sia veramente quella in oggetto.

3. Microsegmentazione evoluta con Guardicore

Per svolgere questo compito ci sono soluzioni ancora più evolute, come per esempio Guardicore. Il principio di funzionamento si basa sull’attivazione di una serie di agenti su tutti i server, per permettere di configurare ogni connessione consentita, stabilendo quindi quale processo di un determinato server potrà parlare con un altro processo di un altro server. Questo meccanismo ha un incredibile potere nel limitare, per esempio, i “movimenti laterali”, un passaggio fondamentale di qualsiasi attacco hacker.

4. L’EDR secondo Crowdstrike

Passando invece all’endpoint protection, dove un endpoint può essere sia un computer sia un server, tra le soluzioni più orientate allo Zero Trust troviamo Crowdstrike che è un EDR, un endpoint detection and response. Si tratta sempre di un agente, un processo “invisibile” attivato sul computer che controlla cosa viene fatto e quando. Se individua dei pattern che possono corrispondere a segnali di attacco, di azioni di hacker o di agenti malevoli comunica la sua detection all’IT aziendale. Crowdstrike può anche fare un’azione di prevention e quindi impedire che tale attacco possa propagarsi.

L'articolo Approccio Zero Trust, come si fa nella pratica e 4 software che servono proviene da Lumit.

Il software e le infrastrutture possono oggi essere efficienti e sicuri, indipendentemente dalla loro complessità storica. Al di là di mode e nomi che si danno agli approcci, infatti, la soluzione è una corretta impostazione basata sulla competenza fin dall’inizio. Risparmiare sperando nella fortuna può portare, al contrario, a una compromissione della sicurezza aziendale e dell’efficienza dei processi.

Parlando di ICT e sicurezza, i sistemi informativi moderni propongono sempre gli ambienti cloud-native sicuri come punto di riferimento per qualsiasi infrastruttura. Le varie ondate di sistemi legacy vengono oggi trattate con varie tecniche che le rendano compatibili con il cloud.

A sua volta, il cloud amplia il perimetro dei controlli di sicurezza, richiedendo granularità differenziate per ottenere una difesa realistica. Anche lo smart working ha ampliato il perimetro di controllo, inserendosi – come il cloud – in una più ampia spinta innovativa: l’iperconnettività.

Fino a pochi anni fa la sicurezza era gestita monoliticamente a valle del processo di sviluppo e la manutenzione di software e sistemi era eseguita secondo regole che oggi farebbero sorridere.

Nelle condizioni attuali, invece, la sicurezza è centrale e deve diventare il punto di partenza dello sviluppo di software e infrastrutture. La devops security si basa su una pipeline con controllo continuo e richiede granularità costante.

CI/CD e IT Automation

Una tendenza dello sviluppo di software moderno è l’automazione spinta applicata al codice. Ridurre i carichi di lavoro sugli sviluppatori grazie alla riscrittura dei processi in modo da aumentare le parti sviluppate in automatico è una necessità dei sistemi d’oggi. L’automazione è anche una procedura che aumenta la sicurezza, in quanto il codice generato in automatico è facilmente analizzabile e la sua documentazione, anch’essa scritta in automatico, permette una gestione lunga nel corso degli anni. Ecco perché l’IT Automation è oggi essenziale per robustezza e durata del ciclo di vita della security by design.

L’automazione della pipeline è il volano che fa girare tutti i meccanismi. La scelta degli strumenti più adatti va fatta considerando l’intero ciclo di produzione. La base è certo in ambienti noti come Github e Gitlab, ma molte alternative stanno guadagnando l’interesse del mercato e tra queste WhiteSource, Snyk e Checkmarks.

Ciascuna di queste soluzioni ha una sua mappa di applicazione, per cui bisogna conoscere bene sia loro sia le necessità dell’azienda. Spesso Checkmarkx viene confrontata con Netsparker, ma a leggere le specifiche si tratta di prodotti molto differenti per livello di applicazione e prezzo. Per una prima valutazione sulla carta è talvolta utile il tool Gartner Peer Insights. Anche Qualis e Wallarm vanno considerati nella fascia di Netsparker, ma spesso le competenze interne non bastano.

Zero trust: la granularità dev’essere costante

Per essere efficace, il monitoring continuo richiede lo stesso livello di attenzione per servizi, controlli e sviluppo.  Ancor oggi, la vecchia sicurezza informatica propone soluzioni locali con granularità molto diverse. Per esempio, l’applicazione è protetta da un suo firewall con una soluzione WAF. Svariati attacker oggi usano tecniche indirette che permettono loro di studiare i sistemi dal di dentro e trovare un punto di attacco diverso da quello di ingresso. Più sono i punti da difendere, più è difficile difendere un sistema complessivo.

In condizioni di iperconnettività l’azienda non può aver fiducia in nessun dispositivo (hardware o software). Questa filosofia si chiama Zero Trust, appunto fiducia. Una strategia d’implementazione è la microsegmentazione, una tecnica di data center che suddivide in modo logico il data center in segmenti di sicurezza, scendendo fino al singolo carico di lavoro: in questo modo le possibilità di attacco sono ridotte e il controllo complessivo anche dei devops security manager aumenta.

Managed services per la gestione della sicurezza

Reingegnerizzare i processi per poterne sviluppare il software in modo automatico permette ai DevSecOps di concentrarsi sul core business dal quale dipendono competitività e sopravvivenza dell’azienda.

La stessa cosa avviene in alcune aree della gestione dei servizi ICT. Laddove dimensioni e interessi dell’azienda lo richiedano, ci si può affidare a servizi gestiti da consulenti, i managed service provider.

In quest’area troviamo anche i servizi di managed security. Un team specializzato può fare monitoring gestito, con interventi programmati che evitano a priori l’insorgere di gran parte dei problemi di sicurezza che si verificherebbero altrimenti.

L'articolo Devops security, come si fa e i migliori strumenti per metterla in pratica proviene da Lumit.

Ma facciamo un passo indietro: che cosa è la Multi Factor Authentication? L’autenticazione a più fattori implica l’aggiunta di un ulteriore livello di sicurezza rispetto all’autenticazione standard (un nome utente associato a una password semplice e complessa), richiedendo agli utenti l’inserimento di più di un’informazione per la loro identificazione e autenticazione.

Non tutti i produttori di software hanno pensato a come applicare la Multi Factor Authentication in aggiunta al controllo accessi standard, ma se fino a qualche tempo fa questa semplice misura standard di controllo dell’accesso poteva bastare, oggi i sistemi che prevedono semplici combinazioni di nome utente e password sono violati con sempre maggiore facilità, provocando un aumento dei casi di effrazione digitale.

In questa situazione, l’autenticazione a più fattori può svolgere un ruolo importante per la Cyber Security aziendale, in quanto richiede agli attaccanti un impegno e una quantità di tempo che non tutti possono permettersi. Infatti, se la password utente viene rubata, il livello di protezione aggiuntivo offerto da una soluzione di Multi Factor Authentication impedisce all’attaccante di completare l’accesso, costringendolo/a a esporsi maggiormente per recuperare più informazioni e per violare più dispositivi.

Multi Factor Authentication come applicarla nei diversi modi e metodi

Per capire come applicare la Multi Factor Authentication al meglio è necessario conoscere le diverse modalità multi-fattore.

Sono noti i metodi di:

• password monouso basata sul tempo (OTP – One Time Password);
• servizio di messaggi brevi (SMS);
• posta elettronica (E-mail);
• notifiche push, ma in aggiunta possono essere adottati anche Token fisici o digitali;
• sistemi di domande rivolte all’utente a cui dovrebbe saper rispondere solo lui.

Di ultima generazione anche l’introduzione di riconoscimento biometrico e/o della profilazione dell’utente correlata al tipo di computer da cui esegue il login, la località dove si trova, l’IP da cui si collega, tutti elementi questi che corrispondono a un profilo caratteristico dell’utente che può essere controllato come componente aggiuntivo del processo di autenticazione. 

Questi metodi, da soli o combinati fra loro, possono incidere nel processo di identificazione e di autenticazione dell’utente, per poi garantire l’autorizzazione se e solo se tutti i fattori scelti si verificano contemporaneamente.

Tipicamente si parla di autenticazione a doppio fattore se, oltre a login e password, è previsto almeno un altro metodo di riconoscimento dell’utente. Naturalmente si possono aggiungere più livelli di riconoscimento nei casi di applicazioni aziendali particolarmente critiche, o che trattano dati sensibili o secretati.

Uno dei più grandi errori è pensare che non serva aggiungere la Multi Factor Authentication, ma sia sufficiente fortificare le password, utilizzandone di più complesse e lunghe (l’hardening delle password è una prassi che richiede di introdurre maiuscole, caratteri speciali o frasi lunghe come password utente n.d.r.). Purtroppo, è ampiamente accertato che l’attacco Brute force su qualsiasi password, pur complessa, dopo un certo periodo di tempo riesce sempre ad avere successo. Invece, introducendo la MFA si complica la quantità di informazioni che l’attaccante deve avere per poter riuscire a completare i molteplici step di riconoscimento al posto dell’utente e quindi si allungano i tempi di cracking. Con il risultato che molti desistono e altri non sono in grado di procedere. Dunque, un successo della difesa.

Multi Factor Authentication come applicarla e dove

Ma al di là delle tecniche e dei metodi software per realizzare un sistema di autenticazione a multi-fattore, il vero limite è dato dalla mancanza di conoscenza da parte dei decisori su come applicare la Multi Factor Authentication rispetto ai vari luoghi digitali. In altre parole, troppo spesso non si valuta correttamente il rischio di effrazione digitale sui sistemi aziendali, dal più semplice ed esposto come può essere un sito web, fino al più interno e critico come potrebbe essere un database o un sistema di gestione dei processi core aziendali. Inoltre, solitamente i decisori c-level sono portati a pensare che la protezione MFA sia adeguata agli ambiti bancari e applicazioni loro affini di tipo finanziario, senza considerare che anche App aziendali di altro genere o che prevedono sistemi di pagamento o rendicontazione, possono avere l’esigenza di essere dotate di MFA. Per esempio, le App convenzionate con l’azienda per ordinare cibo che prevedono dati di pagamento possono essere oggetto di interesse di attaccanti che sfruttano la violazione della “supply chain” per intromettersi nei processi aziendali e rubare dati o monetizzare mediante ricatto. È necessario quindi identificare tutti gli ambiti digitali aziendali, ovvero tutti i punti di accesso alla rete e alle applicazioni aziendali, comprese quelle in comune con i fornitori, in cui un controllo accessi meno attento potrebbe favorire l’accesso all’attaccante.

Multi Factor Authentication come applicarla con Okta

Okta è una piattaforma adattiva per l’implementazione della MFA. Un potenziale cliente può centralizzare l’autenticazione su Okta, ma anche se ha un altro gestore delle identità può sempre aggiungere la Multi Factor Authentication. Di fatto Okta aumenta la MFA di secondo fattore ovunque. È realizzata mediante una piattaforma in cloud (Saas) capace di centralizzare le autenticazioni in modo sicuro e in linea con le attuali normative. La soluzione è dotata di un numero elevato di certificazioni che consentono di adottarla anche in ambiti critici.

Come applicare la Multi Factor Authentication? È semplice perché la soluzione è full agentless e quindi non richiede installazioni locali di alcun componente SW (o agent), inoltre è integrabile con qualsiasi piattaforma parli nel linguaggio SAML. Attualmente sono circa 7128 le applicazioni compatibili con cui Okta può interfacciarsi e introdurre un metodo aggiuntivo di autenticazione utente oltre a login e password. La soluzione dispone di una metodologia di threat protection per cui, se riscontra che uno dei client che ha sotto controllo ha comportamento anomalo o se esistono condizioni di rischio aumentato, automaticamente introduce fattori aggiuntivi di protezione degli accessi costringendo l’eventuale attaccante a un estenuante lavoro di ricerca informazioni per la violazione di più elementi. Tutta la soluzione è personalizzabile sia nel tipo di policy che si possono applicare, sia per la granularità con cui possono essere applicate. Infine, nei casi di migrazione in cloud Okta garantisce una implementazione leggera e veloce.

L'articolo Multi Factor Authentication come applicarla (anche dove non pensavi di poterlo fare) proviene da Lumit.

La Muti Factor Authentication opera per contrastare i criminali informatici richiedendo all’utente informazioni o credenziali aggiuntive, ovvero due o più fattori di verifica, per ottenere l’accesso a una risorsa digitale: un’applicazione, un account online, una VPN o un sito. L’introduzione di fattori di verifica aggiuntivi, come componente fondamentale di una forte policy di gestione di identità e accessi (IAM), riduce la probabilità di successo di un attacco informatico. Ma vediamo di considerare tutte le possibili caratteristiche di una Multi Factor Authentication per capire come scegliere le più utili al proprio caso.

I sistemi di Multi Factor Authentication non sono tutti uguali

La Multi Factor Authentication è una componente fondamentale di una forte policy di gestione di identità e accessi (IAM). In particolare, la Multi Factor Authentication può essere sia una soluzione stand alone che si associa a una piattaforma di IAM già in uso in un sistema informativo, sia una parte integrante e nativa di una piattaforma di IAM.

Uno dei fattori MFA più comuni riscontrati dagli utenti sono le password monouso, le cosiddette One Time Password (OTP). Le OTP sono codici a 4-8 cifre ricevute tipicamente tramite e-mail, SMS o App mobile. Con le OTP viene generato un nuovo codice ogni volta che viene inoltrata una richiesta di autenticazione. Più in generale, i fattori multipli di autenticazione passano per tre caratteristiche legate all’utente:

• “una cosa che sa”, la conoscenza di qualcosa di noto all’utente, una password o un PIN;
• “una cosa che possiede”, ovvero il possesso dell’utente di un badge o uno smartphone o di un token fisico;
• “una cosa che è”, definita come inerenza, cioè una caratteristica fisica, un’impronta biometrica, il riconoscimento vocale, retinico ecc.

Al posto di una password o di un PIN, spesso difficili da ricordare, recentemente sono state introdotte le domande personali di sicurezza che rappresentano informazioni molto specifiche e note solo all’utente e, teoricamente, difficili da intercettare per i criminali. Purtroppo, grazie alla vita personale esposta in rete a mezzo social, gli hacker hanno affinato anche le modalità per acquisire la conoscenza di dati personali e di abitudini, profilando i propri obiettivi di attacco. In questi casi gli utenti diventano “prevedibili” nelle loro risposte alle domande di sicurezza.

Un’ulteriore peculiarità dei sistemi di Multi Factor Authentication riguarda l’introduzione di informazioni geo-referenziate da associare alle abitudini utente. Possono essere basate sulla posizione o sull’indirizzo IP di un utente. I dati possono essere utilizzati per bloccare semplicemente l’accesso di un utente se le informazioni della sua posizione non corrispondono a quanto specificato in una white list, o potrebbero essere impiegate come forma aggiuntiva di autenticazione, oltre ad altri fattori come una password o una OTP, per confermare l’identità di quell’utente.

I requisiti distintivi di una soluzione di Multi Factor Authentication

Nell’eterno inseguimento fra guardie e ladri a colpi di mezzi di difesa sempre più efficaci e di tecniche di attacco sempre più elaborate, vi sono caratteristiche considerate irrinunciabili per un sistema di Multi Factor Authentication.

La prima fra queste è quella di essere una soluzione che non richiede installazioni specifiche sugli endpoint o sui dispositivi per i quali garantisce la protezione di accesso. In questo senso le soluzioni in Cloud che sono serverless assolvono al requisito. L’altra caratteristica fondamentale è l’integrabilità rispetto a qualsiasi altro sistema che gestisca gli accessi mediante login e password, permettendo di dotare appunto di Multi Factor Authentication un sistema che ne era sprovvisto. Infine, è cruciale poter intervenire sulla granularità della configurazione di politiche di MFA, sia per scegliere le App e i metodi di autenticazione da applicare, sia per garantire soglie di sicurezza e protezione dalle minacce mediante forzatura dinamica dell’uso di Multi Factor Authentication in situazioni ad alto rischio.

In che modo la Multi Factor Authentication aiuta a prevenire le violazioni della sicurezza?

Una soluzione di Multi Factor Authentication (MFA), affiancata o nativamente integrata a una o più piattaforme di Identity and Access Management (IAM), supporta la prevenzione di alcuni dei più comuni e insidiosi attacchi informatici:

• Phishing;
• Spear phishing;
• Keyloggers;
• Credential stuffing;
• Attacchi a forza bruta o a forza bruta inversa;
• Attacchi Man-in-the-middle (MITM).

In tutte questi casi, il criminale tenta di sottrarre “user name” e “password” della vittima per poi usarli a suo vantaggio ai fini di frodi, furti di identità, sottrazione di dati da rivendere. Ma l’utilizzo dell’autenticazione forte mediante Multi Factor Authentication rende l’attacco molto più impegnativo e costoso per il criminale digitale. Per i furti di stampo classico il fattore tempo è determinante: maggiore sarà il tempo e i mezzi sofisticati richiesti al ladro per forzare una serratura, una porta o un sistema di allarme e maggiore sarà il rischio che il ladro possa essere scoperto e magari catturato. Nei crimini informatici vige la medesima regola e introdurre un sistema multi-fattore di sicurezza per l’autenticazione dell’utente (Multi Factor Authentication) rende “la vita difficile” al criminale digitale perché richiede maggiore investimento di tempo e di risorse (anche economiche) per violare l’articolato sistema di accesso, con il rischio per il criminale di lasciare delle tracce o di essere “beccato” durante l’azione criminosa.

Machine learning e MFA

Nei casi più evoluti di Multi Factor Authentication la scelta del doppio fattore può essere dinamicamente selezionata dal sistema stesso (secondo configurazioni preimpostate o mediante sistemi di machine learning) e proposta all’utente rispetto a dei parametri prefissati legati agli “scenari di sicurezza” che caratterizzano livelli bassi, medi o alti di affidabilità dell’intero contesto da proteggere. Nei casi di possibile compromissione, ovvero quando un sistema di Multi Factor Authentication riconosce condizioni di alta probabilità di violazione informatica nel sistema, potrebbe introdurre dinamicamente richieste di accesso multi fattore per ogni singola risorsa del sistema stesso, di fatto “ingessando” i tentativi del criminale di arrivare alle risorse a cui ambiva, fino a bloccare l’utenza in uso, richiedendo un tempo esagerato per la violazione e allo stesso tempo allertando i team di security che lo stato della sicurezza è stato alterato. Tutto ciò aumenta i rischi di permanenza in quel sistema e di fatto vanifica gli sforzi dell’attaccante, portandolo a desistere.

L'articolo Multi Factor Authentication: perché serve e come potenzia le piattaforme IAM (Identity and Access Management) proviene da Lumit.

L’importanza della DNS security a livello di intelligence

Nella nuova filosofia della “detection and response”, infatti, il ruolo degli strumenti di protezione va ben oltre l’analisi dei processi per identificare eventuali indizi legati ad attività malevole. Una delle criticità è quella di riuscire a individuare le tecniche di attacco di nuova generazione, le cui caratteristiche non sono ancora classificate dai software antivirus e dai sistemi firewall. L’approccio orientato alla DNS security consente di sfruttare una prospettiva diversa: piuttosto che analizzare ciò che viene fatto, concentra l’attenzione sull’origine e la destinazione delle comunicazioni. In altre parole, l’allarme non scatta sulla base del tipo di operazioni che vengono compiute, ma sui soggetti che sono coinvolti nelle stesse. L’esempio più banale riguarda l’individuazione di una trasmissione di dati diretta a un server esterno che è stato segnalato come “sospetto” dalla community dei ricercatori di sicurezza. Una soluzione che permette, nello scenario attuale, di ottenere un vantaggio significativo nei confronti degli attacchi più “evoluti” come quelli messi in atto dai gruppi APT (Advanced Persistent Threat).

Uno sguardo a 360 gradi

Il vantaggio di soluzioni come Infoblox, in grado di analizzare le comunicazioni su DNS, è quello di fornire agli esperti di sicurezza il contesto in cui si collocano eventuali attività anomale e la possibilità di capire immediatamente se le operazioni in questione possano rappresentare un indizio di attività malevola. Nell’ottica del contrasto alle minacce sconosciute, questo tipo di analisi offre un vantaggio strategico soprattutto nel nuovo quadro delineato dalle reti IT che comprendono risorse esterne (come quelle erogate attraverso piattaforme cloud) o dispositivi che non consentono di utilizzare sistemi di protezione endpoint tradizionali, come i device IoT. In questo scenario, infatti, il monitoraggio del trasferimento dati assume un ruolo primario a livello di controllo della cyber security. La capacità di mappare tempestivamente qualsiasi comunicazione diventa, di conseguenza, un fattore strategico nel contrasto degli attacchi informatici che prendono di mira questa tipologia di dispositivi. Non solo: l’analisi dei protocolli DNS consente di bloccare tipologie particolari di attacchi basati, per esempio, su tecniche omografiche che sfruttano la capacità di alterare a livello di visualizzazione l’indirizzo di collegamento per indurre le vittime a considerare affidabili i collegamenti malevoli.

Quanto conta il fattore tempo

L’implementazione di strumenti di DNS security non permette solo di coprire gli “angoli ciechi” della sicurezza informatica, ma ha anche un rilevante impatto sul livello di protezione complessivo delle infrastrutture digitali. Le funzionalità di analisi e monitoraggio delle comunicazioni DNS, infatti, possono essere integrati per migliorare i tempi di reazione del team di security, garantendo di conseguenza una migliore efficacia di tutti gli strumenti di difesa. L’adozione di tecnologie di intelligenza artificiale e Machine Learning, inoltre, consentono di aggiornare con estrema efficacia il database relativo alle informazioni sulle minacce informatiche. In questo modo, l’analisi a livello DNS alimenta anche le soluzioni SOAR (Security Orchestration, Automation and Response) e permette di ridurre i tempi per indagare e porre rimedio alle minacce informatiche, ottimizzare le prestazioni dell’intero ecosistema di sicurezza e ridurre il costo totale della difesa dalle minacce aziendali.

L'articolo DNS security: come garantire protezione, sicurezza e visibilità proviene da Lumit.