CrowdStrike è stata nominata leader nella sicurezza degli endpoint nel The Forrester Wave: Endpoint Security, Q4 2023 per le soluzioni di sicurezza informatica fornite dalla piattaforma unificata CrowdStrike Falcon, che ha incassato il punteggio più alto possibile in 15 dei 25 criteri di valutazione. L’EDR in effetti è il prodotto che ha segnato l’esordio dell’azienda, con un agent unico leggero, che non appesantisce i sistemi e attorno a cui orbita tutta una serie di servizi di protezione dell’endpoint.

Protezione che nel tempo si è evoluta, come ha spiegato a Security Open Lab Luca Nilo Livrieri, Sales Engineering Director Southern Europe in occasione del Cybertech Europe 2023. Il panorama in ambito cybersecurity infatti si è evoluto fino a trasformare il computer in un workload in cui di fatto si produce un'interazione fra utente, il dato e l'identità. I focus sulla security quindi oggi vedono principalmente tre direttive: la cloud security, la identity security e la data security.

Sul fronte cloud Livrieri ha spiegato che “a noi piace dire che non esiste un problema di virus o di malware, esiste un problema di attaccanti, ossia di gruppi criminali che attaccano le nostre infrastrutture e che noi cerchiamo di ricondurre a una metodologia, per distinguere attivisti, APT e altri”. Per CrowdStrike la cloud security parte della conoscenza e dalla comprensione di tecniche, tattiche e procedure degli attaccanti nei confronti delle infrastrutture cloud. Di conseguenza, l'intervento verterà su quelle che sono le modalità di attacco nei confronti del cloud, che nella maggior parte dei casi sono legate allo sfruttamento di configurazioni errate.

Luca Nilo Livrieri, Sales Engineering Director Southern Europe

Un altro problema ricorrente – sottolinea Livrieri - è quello dell’attacco alle credenziali degli utenti, preferibilmente di quelli privilegiati in ambito cloud, da cui i criminali informatici partono per l’esplorazione della infrastruttura attraverso movimenti laterali, fino ad arrivare a una vera e propria esfiltrazione dei dati quando non si tratta di cifratura degli stessi. Secondo i dati di CrowdStrike la tendenza anno su anno è quella di una crescita esponenziale degli attacchi al cloud (si parla di un +180% anno su anno), con Amazon e Azure che sono i servizi più colpiti. Per questo CrowdStrike esegue un monitoraggio alla ricerca dei servizi cloud esposti, concentrandosi sulle attività di intelligence. In questo frangente l’azienda dispone di un'offerta di threat intelligence e di servizi focalizzati sulla threat response.

L’altro focus di CrowdStrike è la data security, che si riallaccia al discorso precedente e al fatto che le identità sono il veicolo di attacco per il furto di credenziali più o meno privilegiate dell'utente. Questo approccio è mirato a ridurre in maniera determinante il tempo in cui l'attaccante in media avvia il movimento laterale, che al momento è nell'ordine dei 79 minuti. A questo proposito bisogna tenere conto delle fasi sequenziali con cui si muovono gli attaccanti, che partono dall’Initial Access Broker e che si sviluppano velocemente. Per bloccarli bisogna quindi proteggere identità e dati, sia in ambiente cloud che on-premises. CrowdStrike svolge questo compito dando visibilità su tutti questi frangenti e usando la threat intelligence per individuare le cause, le tecniche e gli obiettivi degli avversari, perché è da ricordare che dietro a ogni attacco c'è un gruppo criminale con un intento ben specifico.

Per agevolare questa successione di azioni CrowdStrike ha recentemente lanciato l’intelligenza artificiale generativa. L’AI “normale” è da sempre presente nei prodotti dell’azienda, quella generativa consente di porre domande in linguaggio naturale e di fornire risposte in tempo reale corredate di dati telemetrici, Log e tutto quello che occorre per permettere la gestione di un attacco anche al personale meno esperto.