[section_title title=Da preda a cacciatore: la sicurezza da reattiva a proattiva – Parte 2]
E quindi, dove iniziamo la caccia? Il segreto è quello di conoscere l’aspetto delle attività considerate normali all’interno di un determinato ambiente. Gli esseri umani sono molto bravi nel riconoscimento dei pattern: se riuscissimo a presentare i dati relativi al traffico di rete e alle tendenze delle minacce in maniera visuale, allora gli utilizzatori di un tale sistema si abituerebbero a riconoscere una condizione ‘normale’ e identificare un cambiamento non appena dovesse emergere. Per riuscire a fare questo in modo efficace dobbiamo tuttavia focalizzarci sui possibili obiettivi che possono interessare chi sferra gli attacchi.
Il primo passo della nostra caccia riguarda l’identificazione dei dati o dei processi che presentano un valore per l’organizzazione che utilizza la rete, come per esempio le transazioni online dei clienti, e dei percorsi che chi attacca potrebbe seguire per raggiungere tali obiettivi. La cosa importante in questo caso è ragionare con la testa di chi sta attaccando. Alcune aziende conservano dati non considerati intrinsecamente di valore ma che potrebbero risultare più utili al di fuori delle aziende stesse e rappresentare quindi un possibile bersaglio. Una volta identificati questi asset e le strade disponibili per raggiungerli, dobbiamo familiarizzarci con i livelli di normale attività. Questo significa esplorare i dati che possediamo in modo da capire cosa ruoti intorno ad essi. Per quanto possiamo non approdare a nulla, già il solo processo di esplorazione ci aiuterà a identificare eventuali attività insolite la prossima volta che gli daremo un’occhiata.
Possiamo anche utilizzare l’intelligence per aiutarci a focalizzare meglio le nostre attività. Se disponiamo di intelligence su un particolare vettore di attacco o possiamo usare precedenti incidenti come riferimento, allora possiamo esplorare i dati a nostra disposizione per accertare che non stia accadendo nulla di sospetto.
Quanto visto sinora fa affidamento su una cosa: la capacità di visualizzare le attività relative alla rete e alle minacce. La tradizionale vista ‘a righe e colonne’ offerta dalle soluzioni per la sicurezza non ci aiuta, né ci aiutano le soluzioni che richiedono molto tempo prima di rispondere alle nostre query. La capacità di investigare ed esplorare i dati visualmente alla velocità del pensiero è essenziale se vogliamo permettere ai nostri team responsabili della sicurezza di diventare maggiormente proattivi.
Le aziende devono ribaltare i ruoli e trasformarsi in cacciatori anziché in prede. Per fare questo devono dipendere meno dalla tecnologia per potersi difendere; inoltre devono sfruttare meglio le loro risorse dedicate più importanti, le persone. È essenziale usare la rete come punto panoramico per raccogliere informazioni sul traffico e sulle attività sospette per poi visualizzarle. Il processo di esplorazione di queste informazioni, se implementato correttamente, risulta molto coinvolgente per gli esperti di sicurezza e può permetterci di scoprire minacce che altrimenti riuscirebbero a filtrare, ridurre il rischio di business e consentire un atteggiamento maggiormente proattivo.
