Sempre più enti e aziende sono vittima di cyber attacchi. Le minacce aumentano ed è per questo che occorre predisporre un’efficace difesa. Qui entrano in gioco i sistemi di threat protection
Threat protection significa protezione dalle minacce. Quali siano è presto detto: sono quelle cyber, in costante aumento. Come si legge dal recente rapporto Clusit 2022 sulla sicurezza ICT in Italia,
lo scorso anno si è registrato nel mondo un incremento del 10% dei cyber attacchi rispetto al 2020. Non solo sono più numerosi, progressivamente più gravi. “Le nuove modalità di attacco dimostrano che i cyber criminali sono sempre più sofisticati e in grado di fare rete con la criminalità organizzata”, scrivono gli autori del report dell’Associazione Italiana per la Sicurezza Informatica. In particolare, per quanto riguarda l’evoluzione dell’e-mail security in Italia, “le minacce si fanno più subdole e che le tecniche di attacco evolvono in direzioni più difficili da monitorare”.
Malware (47%) e ransomware (42%) sono in cima alla lista dei pericoli per la cyber security, secondo l’analisi condotta da Menlo Security. La stessa riporta che solo il 27% di enti e aziende hanno una protezione avanzata dalle minacce in atto su ogni dispositivo endpoint utilizzato per accedere ad applicazioni e risorse aziendali.
Prima di spiegare nel dettaglio cos’è la threat protection (spesso citata come Advanced Threat Protection – ATP), è bene cercare di comprendere cosa sia la threat: è un evento o una condizione che ha il potenziale per causare la perdita di un asset e le conseguenze o l’impatto indesiderato di tale perdita, specifica NIST, che definisce anche cosa siano le cyber minacce: ne fa parte qualunque circostanza o evento con il potenziale di avere un impatto negativo sulle operazioni organizzative (compresa la missione, le funzioni, l’immagine o la reputazione), le risorse organizzative, gli individui, altre organizzazioni o la nazione attraverso un sistema informativo tramite accesso non autorizzato, distruzione, divulgazione, modifica delle informazioni o negazione del servizio.
Cos’è la Threat Protection
Threat protection riguarda la protezione da tutte le minacce relative alla sfera IT. In particolare, si riferisce a una categoria di soluzioni di sicurezza che difendono dal malware o dagli attacchi basati sull’hacking che prendono di mira i dati dell’azienda. Le soluzioni avanzate di protezione hanno un insieme di agenti per gli endpoint, gateway e-mail, sistemi di cyber protezione, dispositivi di rete e una console di gestione centralizzata che collega gli avvisi e gestisce le difese adeguate.
Malware, ransomware, minacce interne e anche gli errori degli utenti costituiscono continui fonti di pericolo alle organizzazioni, i cui file e i cui dati sono tutti potenziali obiettivi di corruzione, modifica o distruzione. Formulare una difesa contro questi problemi richiede due cose: una conoscenza approfondita delle risorse all’interno dell’azienda e la protezione di queste risorse contro virus informatici e altri pericoli.
Spesso, con threat protection si identificano soluzioni aziendali dedicate alla protezione da virus e minacce informatiche. Il fine è sempre quello: proteggersi da varie insidie, tra queste il furto d’identità, proteggere la propria azienda e il business (un terzo degli attacchi mirati sono rivolti alle piccole e medie imprese), implementare elementi chiave della sicurezza come sistemi anti-virus e firewall avanzati, sistemi a protezione dal furto di password, un problema in costante crescita, dato che gli hacker adottano metodi come il keylogging (pratica di registrare segretamente i segnali di input in un computer da una tastiera in modo da registrare di tutto ciò che si digita sul dispositivo) e il phishing.
Come funziona
I dati sensibili sono l’obiettivo delle minacce, e oggi i dati sensibili sono esposti ovunque, con i titolari dei dati spesso inconsapevoli del numero di pericoli che stanno potenzialmente affrontando.
Per porvi rimedio, le soluzioni threat protection lavorano in vari modi, ma essenzialmente per:
- cercare di identificare le insidie nascoste;
- identificare gli attacchi di phishing;
- individuare i domini compromessi o infetti dando priorità e investigando le minacce che contano.
Ci sono tre obiettivi primari della protezione avanzata: rilevamento tempestivo (rilevare i potenziali pericoli prima che abbiano l’opportunità di accedere a dati critici o violare i sistemi), protezione adeguata (la capacità di difendersi rapidamente dalle insidie rilevate) e risposta (la capacità di mitigare le minacce e rispondere agli incidenti di sicurezza).
Un efficace strumento di threat protection comprende sistemi per bloccare tracker (sistemi di tracciamento della cyber navigazione di un utente), tentativi di phishing, pubblicità intrusiva, siti web dannosi e file infetti.
Un buon sistema di protezione dalle minacce scandaglia anche le e-mail, in particolare link e allegati che arrivano nelle caselle di posta per assicurarsi che non siano dannosi.
Tutti i contenuti sospetti vengono analizzati utilizzando, per esempio, la tecnologia di analisi comportamentale del malware (lo analizza per vedere se appare dannoso) per identificare se c’è qualche attività sospetta. Tutti gli allegati che sono ritenuti non sicuri sono isolati dall’ambiente. Il destinatario non sarà quindi in grado di aprire l’allegato.
Alcuni sistemi predispongono un report che permette di individuare anche chi nell’organizzazione aziendale è stato preso di mira con attacchi informatici.
Cosa bisogna proteggere?
Un sistema ATP si riferisce a una categoria di soluzioni di sicurezza che difendono da malware o attacchi basati sull’hacking che prendono di mira i dati sensibili. Le soluzioni di protezione avanzata dalle minacce possono essere disponibili come software o come servizi gestiti.
Come detto, ci sono tre obiettivi primari di advanced threat protection: rilevamento tempestivo protezione adeguata e risposta. Per raggiungere questi obiettivi, i servizi e le soluzioni ATP devono offrire diversi componenti e funzioni.
A questo scopo, devono offrire diversi componenti e funzioni per una copertura completa. Innanzitutto, devono assicurare una visibilità in tempo reale. Senza di essa e senza un monitoraggio continuo, i pericoli spesso vengono rilevati troppo tardi, con conseguenze pesanti per l’azienda.
Per una vera efficacia della sicurezza, i threat alert devono contenere il contesto adatto per consentire ai team di sicurezza di dare priorità e organizzare la risposta in modo efficace. Inoltre serve avere consapevolezza dei dati. È impossibile determinare le minacce realmente in grado di causare danni senza avere prima una profonda comprensione dei dati aziendali, della loro sensibilità, del loro valore e di altri fattori che contribuiscono alla formulazione di una risposta adeguata.
Le minacce sono in genere classificate in base al danno potenziale e alla classificazione o alla sensibilità dei dati a rischio. Una buona threat protection (o ATP) dovrebbe: arrestare gli attacchi in corso o mitigare virus & C. prima che possano violare i sistemi; interrompere l’attività in corso o contrastare le azioni che si sono già verificate a seguito di una violazione; arrestare il ciclo di vita dell’attacco per garantire che la minaccia non sia in grado di avanzare o procedere.
