La Threat Detection and Response (TDR) è una forma di difesa proattiva, un costrutto strategico utile alla rapidità nell’identificare, analizzare e rispondere alle cyber minacce.
Non può essere intesa come una panacea ma, considerando la costante celerità con cui il cyber crimine si fa scaltro e smaliziato, la TDR dovrebbe essere considerata un imperativo.
Qui ci soffermiamo sulle tecnologie e sui capisaldi che le danno forma, tipicamente processi e strategie tese alla riduzione dei rischi a cui ogni azienda è naturalmente esposta.
Basta pensare all’enorme quantità di dati che è necessario esaminare per prevenire o scovare le minacce prima che il danno possa compromettere l’operatività e l’immagine aziendale per comprendere quanto la cyber difesa può essere complessa.
Indice degli argomenti
La Threat Detection and Response vista da vicino
La TDR è un insieme di tecnologie organizzate in diverse macro-famiglie, ossia quelle deputate al rilevamento delle minacce, quelle dedite alla risposta alle medesime e una terza orientata all’analisi:
Il rilevamento delle minacce è la Threat Detection propriamente detta e si compone di:
- Monitoraggio continuo per la raccolta di dati dall’infrastruttura IT, incluse le reti, i software e gli endpoint.
- Threat intelligence che include le informazioni delle minacce note.
- Analisi per identificare attività anomale (si pensi a usi inusuali della rete, con picchi di traffico al di fuori dei valori consoni).
C’è poi la risposta alle minacce rilevate (Threat Response) che fa leva su:
- Remediation, la rimozione della minaccia e il ripristino dei sistemi. Fanno parte della remediation anche tutte le misure attuate o migliorate al fine di prevenire attacchi futuri.
- Automazione per la risposta automatica in caso di attacchi in corso oppure per l’isolamento dei sistemi compromessi.
- Incident response team,il gruppo interdisciplinare di esperti di cyber security che analizzano l’incidente.
Questo ultimo punto richiama anche la necessità di analisi approfondite post-mortem utili a migliorare le difese.
Le tecnologie per la Threat Detection and Response
La TDR non è una tecnologia unica, ma un insieme di strumenti uniti da una cultura del dato a tratti maniacale. Tra questi strumenti figurano:
- Sistemi Endpoint Detection and Response (EDR), votati alla protezione degli endpoint in un’ottica di Data Loss Prevention. Secondo Gartner, la filosofia EDR lascerà sempre più spazio ai servizi Managed Detection and Response (MDR), deputati al monitoraggio continuo delle infrastrutture IT al fine di rilevarne le criticità.
- Sistemi Extended Detection and Response (XDR) che identificano le minacce nascoste e quelle più avanzate migliorando così la velocità di rilevamento.
- Security Orchestration, Automation and Response (SOAR), capace di connettere sistemi di sicurezza diversi, avendo così una visione di insieme più ampia che ha benefici sia sulle attività di analisi dei dati raccolti e sulle procedure di risposta automatizzate.
Queste tecnologie fanno dei dati il carburante essenziale le cui raccolta e analisi trovano cristallizzazione nei sistemi Security Information and Event Management (SIEM) e nelle Threat Intelligence Platform. I primi, in breve, analizzano i dati dei log di diverse fonti, mentre le altre sono deputate alla raccolta di informazioni relative alle cyber minacce, rendendo così più facile comprendere a quali di queste è esposta una certa azienda.
I vantaggi della Threat Detection and Response
I vantaggi immediatamente spendibili sono tali da non garantire la sicurezza nella sua interezza, ma utili a ridurre le chance che le offensive dei criminal hacker vadano a buon segno:
- Visibilità ampliata: la TDR unisce i dati di diversi sistemi hardware e software e restituisce una visualizzazione completa dell’intera infrastruttura IT.
- Rilevamento rapido delle minacce con conseguente capacità di rispondere prima che i danni diventino gravi.
- Proattività: il monitoraggio e l’apprendimento continui permettono di anticipare le minacce future.
Tra i vantaggi meno immediati, quelli che vanno al di là della continuità del business, ci sono la possibilità di automatizzare task e quindi lasciare tempo ai SoC di concentrarsi su altri aspetti fondamentali dei rispettivi compiti e, non di meno, rientrano anche tutte le misure utili a ridurre i rischi di un incidente, le cui ricadute si protraggono nel tempo, infatti, oltre a rappresentare costi ingenti, si configurano anche in perdita di credibilità e affidabilità dell’organizzazione colpita.
I presupposti per sfruttare al meglio la TDR
Non è sufficiente dotarsi di sistemi TDR per auto-annoverarsi tra le organizzazioni attente al cyber crimine. Le forme di auto-celebrazione possono fare bene al marketing e alla pubblicità, ma sono poco efficaci nei meandri della cyber security.
Per trarre il meglio dalla TDR occorre agire su cinque leve, non tutte tecnologiche e non tutte visibili di primo acchito.
- Formare tutto il personale: i dipendenti e i collaboratori devono sempre essere aggiornati sulla diffusione delle minacce e sulle misure da attuare per una corretta postura.
2. Sposare le tecniche di monitoraggio continuo: è impensabile proteggere le infrastrutture IT senza centralizzare le informazioni al fine di rilevare i rischi e anticiparli.
3. Incentivare la collaborazione tra dipartimenti aziendali: gli strumenti TDR sono pensati per coinvolgere le unità aziendali per ottenere un approccio alla cyber security integrato.
4. Automatizzazione: qualsiasi task, processo o flusso automatizzabile deve essere svolto da script e algoritmi utili alla reazione immediata a fronte di una minaccia presunta.
5. Creare un piano di risposta: rilevare le minacce ha un senso compiuto solo nella misura in cui un’organizzazione sia in grado, tramite procedure chiare ed efficaci, di agire al fine di ridurre i tempi di risposta. Tutte questioni che non possono essere demandate unicamente ai software e che devono essere validate da operatori umani.
La TDR non è una panacea
La cyber security è un insieme di processi e tecnologie che non possono prescindere dall’uomo. Credere che la TDR, per quanto complessa, possa sfoltire i SoC è fuorviante.
Ci sono alcune criticità anche nell’uso dei sistemi TDR come, per esempio:
- I falsi positivi: i sistemi possono identificare delle minacce che in realtà non sono tali. Solo l’operatore umano è in grado di riconoscere in modo altamente realistico quali minacce devono essere approfondite.
- Analisi dei dati: esaminare in modo costante ingenti quantità di dati necessita di infrastrutture hardware e software adeguate.
- Competenze: i sistemi TDR tendono a essere complessi da gestire, ancora una volta torna la necessità di avere persone competenti al servizio delle imprese.
Il costo dei sistemi Threat Detection and Response è rilevante, ciò non toglie che – e questo vale per la cyber security intesa come processo aziendale – si tratta di un investimento per garantire la sopravvivenza dell’impresa e, come tale, può ammettere risparmi a patto però che non inficino sulla sua continuità e sulla sua efficacia.
