Il parere di SentinelOne

Risponde Paolo Ardemagni, Area VP Southern Europe Middle East & Africa di SentinelOne

Autore: Redazione SecurityOpenLab

Perché oggi è fondamentale rilevare tutti dispositivi mobile e IoT collegati alla rete aziendale, poterne valutare le vulnerabilità e realizzare di conseguenza una valutazione del rischio cyber?

I tempi in cui la sicurezza informatica era una questione tecnica di cui si occupava solo qualche specialista da laboratorio sono lontani, oggi CISO e CIO sono parte integrante del consiglio direttivo. Serve quindi che l'azienda sia pronta a gestire anche i rischi informatici e le potenziali implicazioni, allineando il profilo di rischio alle esigenze aziendali.

Di sicuro bisognerebbe partire sfatando alcuni falsi miti come, ad esempio, che la sicurezza informatica è prioritaria solo per alcune aziende, che non si può fare nulla contro i malware o che non sia necessario preoccuparsi degli attacchi alla supply chain. Da ricordare che, mentre un'organizzazione riesce a tenere al sicuro il proprio software, qualsiasi altro fornitore di servizi può, inconsapevolmente, facilitare l'accesso degli hacker alla rete. Basta ricordare il recente attacco alla supply chain di SolarWinds, dove gli hacker hanno compromesso le reti attraverso l'aggiornamento del software di SolarWinds, oppure l'incidente di Kaseya, dove i malintenzionati hanno preso di mira i server Kaseya VSA, comunemente utilizzati dagli MSP e dalle società di gestione IT, per infettare i clienti con il ransomware.

Questi attacchi sono molto redditizi perché la compromissione di un anello debole consente l'accesso a un portfolio completo di clienti che utilizzano lo stesso software. Di certo, quello che i SentinelLabs hanno rilevato negli ultimi anni è che gli obiettivi degli hacker sono:

  • Aggredire software poco sicuro utilizzato per realizzare sistemi o piattaforme di aggiornamento.
  • Puntare a chi sviluppa internamente o al codice/firmware specializzato.
  • Utilizzare certificati rubati per firmare le app, facendole passare per un prodotto affidabile.
  • Sfruttare dispositivi vulnerabili, da quelli della rete ai sistemi IoT, per veicolare malware preinstallato.

Da non dimenticare poi che i nuovi dispositivi che eseguono iOS, Android e ChromeOS su palmari, tablet, pad e Chromebook sono ovunque e, secondo il rapporto Mobile Security Index 2021 di Verizon, più della metà degli intervistati ha subito violazioni sui propri dispositivi mobile. Poiché i dispositivi mobile sono sempre più utilizzati per l'autenticazione Zero Trust e per l'accesso alle risorse della supply chain aziendale, è indispensabile che anche questi siano inseriti nei protocolli di sicurezza.

Molte organizzazioni hanno risposto alla sfida imponendo l'uso di soluzioni di Mobile Device Management (MDM) ma, come sappiamo, l'MDM non fornisce protezione dagli attacchi ma si limita ad assicurare la gestione dei dispositivi e la sicurezza di base. In sintesi, ritengo che gli hacker cerchino guadagni facili, seguendo il criterio “minimo sforzo massima resa” e per questo gli attacchi alla supply chain restano nei loro radar.

Il contesto si complica quando pensiamo che nove aziende su dieci oggi sviluppano software in open-source. Si aggiunga poi l'uso crescente di dispositivi IoT per auto e negli elettrodomestici, in antifurti e termostati, così come l’adozione di tool intelligenti nella sanità e nell'industria/energia e si ottiene l’esposizione infinita delle superfici di attacco. È essenziale che le organizzazioni rivedano i criteri di cybersecurity, acquisiscano visibilità sulle dipendenze della supply chain e siano preparate con strumenti e policy adatti a contenere e prevenire i futuri attacchi.

Quali tecnologie e prodotti servono per prevenire e identificare gli attacchi condotti attraverso i dispositivi mobile e IoT, e ottenere una risposta agli incidenti il più veloce ed efficace possibile?

Come proteggersi da un attacco? Ritengo importante che vendor di software e sviluppatori adottino chiare policy di sicurezza, evitando di valutare le soluzioni che non rispettano gli standard. Successivamente, è necessario adottare una valida soluzione EDR (Endpoint Detection & Response), come quella sviluppata da SentinelOne, fornitore leader di una piattaforma di cybersecurity con capacità di autonomous response, in grado di rilevare e porre rimedio in modo automatico alle attività sospette e in tempo reale.

Quando si valuta una soluzione EDR serve assicurarsi che questa soddisfi i criteri fondamentali per la propria azienda ed è importante affidarsi al modello MITRE ATT&CK quando si confrontano i prodotti.

Alcuni criteri sono:

  • In che modo l’EDR protegge gli asset?
  • Prevede o meno l’uso di Agent?
  • Quante tipologie di policies sono necessarie per ampliare la sicurezza a tutti i sistemi operativi?
  • La soluzione EDR è adatta alle piattaforme cloud?
  • Quali funzionalità di automazione sono incluse nell’EDR e sono previste integrazioni con altri sistemi?
  • Per quanto tempo si possono conservare i dati con l’EDR?

Oltre a implementare la soluzione EDR più efficace occorre valutare anche l'utilizzo di una piattaforma di sicurezza aperta e flessibile che possa massimizzare la visibilità dei sistemi. Una piattaforma XDR (Extended Detection & Response) può infatti offrire flessibilità, visibilità e tranquillità sapendo di avere un unico punto di riferimento in caso di attacco ai sistemi, assicurando anche un migliore ROI. Serve poi promuovere una cultura interna incentrata sulla cybersecurity, in modo da responsabilizzare le persone, amplificare il concetto della sicurezza a tutti i processi aziendali e definire e gestire un network con tutte le parti coinvolte nelle attività (manager, enti governativi, vendor e consulenti).

Non ultimo occorre: potenziare gli strumenti di security per i developer con attenzione a mantenere l’infrastruttura sicura per la gestione degli update e le fasi di sviluppo; non ritardare mai l’installazione delle patch; richiedere controlli di integrità obbligatori; imporre l'autenticazione a più fattori; sviluppare un piano di Incident Response (IR) per gli attacchi alla supply chain, creare un runbook e testarlo effettivamente con simulazioni di attacchi.

In conclusione, ritengo che le organizzazioni dovrebbero implementare soluzioni alimentate da strumenti di AI comportamentale per offrire protezione, rilevamento e risposta autonomi alle minacce per tutti i dispositivi mobile, con soluzioni da poter gestire in totale autonomia, senza la necessità di interventi dei system integrator. Il compito di noi vendor è dunque quello di sviluppare soluzioni facili da installare e gestire, in modo tale che quando vengono rilasciate nuove release, tutti gli utenti possano ricevere una notifica per il download della patch, senza dover aspettare l’intervento di un responsabile interno oppure di un partner.