|
Attacchi informatici: prevenire è
meglio di curare Una difesa attiva come approccio fondamentale per
proteggersi dalle principali minacce informatiche Utilizzare l’intelligence sulle minacce
informatiche e la telemetria per scoprire potenziali attacchi prima ancora
che possano raggiungere i loro obiettivi. È questa la nuova strategia di difesa
che le aziende stanno prendendo in considerazione alla luce dell’aumento esponenziale
della criminalità informatica. Un attacco ransomware, ad esempio, non avviene
in modo rapido: gli hacker hanno bisogno di tempo per entrare nella rete
aziendale, trovare i database e controllare in quali sono presenti informazioni
di valore: soltanto dopo questi passaggi possono tentare di esfiltrare i dati
e, infine, distribuire il ransomware all’interno della rete. Ecco allora alcuni consigli di Cisco Talos - la più
grande organizzazione privata di intelligence al mondo dedicata alla cybersecurity
- per implementare una strategia di difesa attiva: non solo quindi per
prevenire un attacco, ma anche per intervenire sfruttando il tempo che serve
agli hacker per portare a buon fine un attacco. Esercitarsi Lo svolgimento periodico di esercitazioni “a caccia”
di minacce informatiche aumenta le possibilità di rilevamento. In questo modo
sarà possibile conoscere quali sono i punti deboli della rete, ottenere maggiore
visibilità su ciò che sta accadendo e scoprire dati potenzialmente
strategici che non sono protetti in modo adeguato. Non esiste una formula
magica, ma la ripetizione periodica di questi processi aiuta a migliorare
l'ambiente IT e ad acquisire maggiore consapevolezza. Monitorare le query DNS Il monitoraggio delle query DNS (Domain Name System)
fornisce una visione chiara di ciò che sta accadendo nella rete.
L'analisi dei registri DNS e l'individuazione dei sistemi che hanno risolto i
domini forniscono un buon punto di partenza. In aggiunta dovrebbe essere
eseguita anche l'analisi dei domini dannosi già noti, in modo da offrire
visibilità sull'efficacia della cyber difesa. Infine, se si è verificata una
compromissione, i registri possono procurare una buona fonte di informazioni
sulle azioni dei criminali informatici e sull'entità delle loro attività
dannose sulla rete. Creare avvisi ad alta priorità Impostare degli alert ad alta priorità aiuterà i
professionisti della sicurezza a concentrarsi sugli eventi critici. Questa
tipologia di avvisi serve a segnalare tempestivamente comportamenti anomali
come, ad esempio, il tentativo di stabilire una connessione non approvata alla
rete, la modifica non autorizzata dei privilegi o della password di un account
amministrativo. È consigliabile inoltre impostare avvisi di sicurezza su tutti
i sistemi critici dell’azienda per rilevare tempestivamente le attività
dannose. Analizzare le cause di un attacco La domanda più importante a cui bisogna cercare di
rispondere è questa: cosa non ha funzionato nel nostro sistema di difesa? Un apparato di cybersecurity deve permettere di
condurre un'analisi della causa di un attacco al fine di determinare le falle
del nostro sistema e fornire informazioni preziose per migliorare le difese
dell’azienda. Migliorare la visibilità Avere una buona visibilità su ciò che sta accadendo
nell'ambiente IT è il primo passo per contrastare una minaccia informatica e
per scoprire i punti deboli della rete. Spesso però le aziende non hanno i
mezzi per implementare un sistema di rilevamento completo sull'intero ambiente
IT. Tuttavia, ciò non significa che non debba essere eseguito alcun tipo di
controllo. I file log, ad esempio, possono essere estremamente utili durante la
fase di ripristino di una compromissione per scoprire quando e come si è
verificato un attacco. Utilizzare account su più livelli È consigliabile implementare account di
amministrazione che vengano utilizzati solo su sistemi specifici, e non per
accedere a tutte le applicazioni dell’azienda, soprattutto se si tratta di
account con privilegi elevati. Questi tipi di account possono avere gli stessi
privilegi, ma dovrebbero essere suddivisi in base alle loro funzioni: in questo
modo sarà possibile impostare avvisi ad alta priorità che si attivano quando
viene rilevato un comportamento anomalo. Cisco Cisco (NASDAQ: CSCO) è leader tecnologico mondiale che
dal 1984 è il motore di Internet. Cisco stimola nuove possibilità
re-immaginando le vostre applicazioni, proteggendo i vostri dati, trasformando
la vostra infrastruttura e potenziando i vostri team per un futuro globale e
inclusivo. Scopri di più su The
Network e seguici su Twitter @CiscoItalia.
Digitaliani: l'impegno Cisco per la Digitalizzazione del Paese
|