Secureworks, azienda statunitense di cyber security parte del gruppo Dell Technologies, è operativa in Italia da qualche mese e sta lavorando alla rete di distributori e partner. Nei Paesi in cui è presente processa 340 miliardi di eventi di data security ogni giorno, per tutelare gli oltre 4.200 clienti sia nell'attività di prediction/prevention che in quella di incident response.

In un evento per la stampa italiana ha approfittato della presentazione dell'Incident Response Insights 2020 Report per presentare ufficialmente Antonio Pusceddu, Enterprise Account Executive, e Andrew Nind, Senior Manager - Incident Response.

Il report si propone di analizzare gli effetti che la crisi sanitaria sta avendo sulla capacità di risposta agli incidenti informatici. Lo scenario di partenza è quello ormai noto: la forza lavoro, costretta a lavorare da remoto, ha cambiato il paradigma della cyber security e ampliato la superficie di rischio. Sono incrementati gli attacchi ransmoware e le campagne di phishing, che sfruttando l'argomento COVID traggono in inganno le vittime portandole a cliccare su email fraudolente di vario genere.

Nello specifico, Andrew Nind ha fatto riferimento a quelle che si definiscono Business email fraud, che comprendono attacchi BEC, attacchi di credential stuffing e altre frodi rivolte specificatamente contro le aziende. L'altro comparto critico è quello delle email con allegati malevoli, in particolare con malware come Trickbot e Emotet, quasi sempre impiegati per scatenare attacchi ransomware.
Antonio Pusceddu, Enterprise Account ExecutiveIl primo dato che sottolinea Secureworks è che la pandemia, con tutto quello che è seguito, è stata una ghiotta opportunità, che i cyber criminali hanno saputo sfruttare al meglio. L'aspetto positivo della situazione contingente è la crescita della consapevolezza delle aziende sull'importanza della cyber security. In particolare, ha finalmente iniziato a prendere piede la logica delle soluzioni valide nel lungo periodo, progettate per sostenere strategicamente lo sviluppo dell'azienda.

Le criticità

Perno dell'analisi è lo smart working, perché è stato di fatto il cambiamento che ha introdotto un anello debole nella catena della sicurezza. I motivi sono ormai ben noti: i dipendenti operano fuori dal perimetro di sicurezza, usando spesso sistemi BYOD. Anche l'accesso alle applicazioni SaaS bypassando i controlli aziendali costituisce un problema noto, così come i ritardi nel patching, sistemi con varie vulnerabilità dovute alla mancanza di aggiornamenti e l'assenza di soluzioni di sicurezza consolidate come l'autenticazione a più fattori e la VPN.

Guardando strettamente all'Incident Response, sono tre gli ambiti critici: le persone, i processi e le tecnologie. Oltre a quanto già indicato, sono critici le password deboli, i piani di Incident response non disponibili o non adeguati, la necessità di mettere fisicamente mano ai prodotti per risolvere i problemi e la mancanza di visibilità totale sugli asset. Si aggiungono poi i protocolli RDP esposti, la mancanza di tool EDR o la loro configurazione scorretta, i ritardi nel rilevamento dei problemi di cyber security.

Threat Detection e Response Security Analytics

La soluzione che Secureworks propone è Threat Detection e Response Security Analytics, un'applicazione cloud-native di analisi della sicurezza che si propone come alternativa alle soluzioni SIEM. Punta su capacità di rilevamento e ripristino, basate e arricchite da informazioni sulle minacce e apprendimento automatico.

TDR supporta inoltre l’integrazione e la normalizzazione di un elenco crescente di fonti di dati, tra cui Endpoint, Network, Cloud e Business System, e prevede l’ampliamento delle capacità necessarie per supportare ulteriori fonti di dati in fase di investigazione sugli incidenti.

Supporta la raccolta e l’archiviazione di dati grezzi da qualsiasi fonte basata su syslog per indagini, reportistica e attività di arricchimento. Inoltre, dispone di potenziate capacità di ricerca e reporting per aiutare responsabili e amministratori di sicurezza a trovare rapidamente i dati di cui hanno bisogno e condividerli più facilmente all’interno dell’organizzazione.