Replay – Managed Threat Response – Affrontare i cambiamenti nello scenario delle cyber minacce con un nuovo approccio alla sicurezza ed alla digital forensics

A cura di:Redazione Ore

Il 27 maggio si è tenuta la tavola rotonda dal titolo “Managed Threat Response – Affrontare i cambiamenti nello scenario delle cyber minacce con un nuovo approccio alla sicurezza ed alla digital forensics” durante la Cyber Security Virtual Conference 2021.

  • Moderatore: Nanni Bassetti, Consulente Informatico Forense
  • Giovanni Giovannelli, Senior Sales Engineer di Sophos
  • Cosimo Anglano, Professor of Computer Science at the Computer Science Institute of the Universitá del Piemonte Orientale
  • Alessio Setaro, Cyber Security Leader Leroy Merlin Italia e Global CISO Italia per il Gruppo Adeo

Di seguito un breve estratto:

 

Nanni Bassetti, Consulente Informatico Forense

“Sappiamo che il cybercrime oggi è una filiera. Non c’è più il ragazzino geniale che inventava il virus che girava sui floppy disk ma una vera e propria catena di montaggio, con l’addetto al marketing, l’addetto alla riscossione dei soldi dei riscatti, la costruzione dei software… Un’industria che va veloce.
Bisogna capire quanto riusciremo ad aggiornarci, non solo come software, ma per far capire alle persone una corretta profilassi, stare molto attenti a ciò che fanno, fermarsi cinque secondi a pensare prima di muovere il mouse e non fidarsi di nessuno. Lo zero-trust è un’arma fastidiosa però è un’arma intelligente.”

 

Cosimo Anglano, Professor of Computer Science at the Computer Science Institute of the Universitá del Piemonte Orientale

“Insegno sia cyber server security che informatica forense nel corso di laurea magistrale in informatica della mia Università, due cose che sono collegate fra di loro da una semplice osservazione che immagino tutti possiamo condividere, e cioè che gli incidenti capitano. Per quanto si possa cercare di prevenirli, capitano. Esiste dunque una fase di remediation che in qualche modo va a impattare sulla riconfigurazione del sistema per chiudere eventuali falle e intraprendere tutte le azioni di protezione necessarie. Questo in qualche modo va a confliggere con la necessità di ottenere sufficienti dati o ricostruzioni fattuali che poi ci consentono di evitare errori futuri ma anche di perseguire eventuali condotte illecite, perché perseguire una condotta è un meccanismo di deterrence, e la deterrenza è uno dei pilastri nella cyber security.
In caso di post incidente, prima di fare la remediation sul sistema occorre acquisire dei dati che ci consentono di effettuare delle inferenze, ovvero rispondere ad alcune domande, ad esempio chi è responsabile dell’incidente, quali risorse sono state compromesse, come è avvenuta la compromissione, quando è avvenuta e perché è avvenuta. Tali domande ci consentono di rispondere meglio in termini di ripristino della sicurezza e, se fatte correttamente, ci consentono anche di avviare delle operazioni di persecuzione dal punto di vista giuridico degli autori della condotta. È proprio questo il problema, cioè come rendere resistenti questi dati e queste deduzioni in un giudizio che viene poi avviato successivamente.”

 

Giovanni Giovannelli, Senior Sales Engineer di Sophos

“L’aspetto di Deep Learning o di Machine Learning o di intelligenza artificiale in generale, mi aiuta molto nel bloccare le minacce di ultima generazione e nel capire in anticipo se ci si trova sotto attacco. Ma questo non basta, perché molto spesso definiamo tre scenari che dobbiamo affrontare nella cybersecurity e il primo scenario è quello in cui la minaccia viene bloccata automaticamente dai componenti tecnologici installati. Questi componenti tecnologici sono in grado di capire, con intelligenza artificiale o con strumenti diversi, che ci troviamo di fronte a un attacco e lo bloccano, riescono a fare la cosiddetta remediation e quindi a ricreare il sistema di sicurezza che c’era in precedenza.
Nel secondo scenario lo strumento automatico riesce a bloccare l’attacco ma non riesce a fare la remediation e quindi c’è bisogno dell’intervento umano per ripristinare lo stato di sicurezza e capire se eventualmente ci sono dei punti di debolezza su cui lavorare. Anche qui quindi sono necessarie le competenze, perché lo strumento deve essere in grado di darmi eventualmente le informazioni per fare questo tipo di analisi.
Il terzo caso è quello più complicato, quello in cui non si hanno evidenze perché lo strumento automatico non le fornisce. E se questo succede, un team di analisti (o comunque le persone che sono che sono preposte alla parte difensiva) deve interrogare l’infrastruttura per capire se ci si trova di fronte a un possibile scenario di attacco. Un pò quello che nella parte di Threat Hunting viene definito come differenza tra il Lead-Driven Threat Hunting e Leadless Threat Hunting, cioè il fatto di potere con le lead-driven capire quali sono le tracce di un attacco e eventualmente intervenire, con il leadless invece capire se l’ambiente è fertile per un eventuale attacco successivo. Di nuovo si tratta di competenze che devono essere molto specifiche.”

 

Alessio Setaro, Cyber Security Leader Leroy Merlin Italia e Global CISO Italia per il Gruppo Adeo

“La complessità che i sistemi hanno raggiunto e che continueranno a raggiungere richiede il supporto tecnologico. Non è più possibile pensare di fare un’analisi dell’incident soltanto col quadernino segnando la timeline. I SIEM di oggi ci danno delle grosse capacità di immagazzinare, di analizzare, di correlare i processi di Machine Learning. Ci forniscono la possibilità di scremare, filtrare, verificare e l’IDS (Intrusion Detection System) e l’IPS ci danno la possibilità di beccare un grosso ventaglio di minacce su cui l’intervento umano è ancora e sarà sempre necessario. Non dimentichiamoci che se da un lato la tecnologia di difesa corre, dall’altro lato c’è il “lato oscuro della forza” che corre forse alla doppia velocità essendo adesso il cybercrime diventato sempre più business industrializzato. Esistono gruppi che fanno analisi del ROI e dello stato tecnologico di interi settori per poi andare a targettizzare i loro attacchi su quei settori in cui magari riescono ad avere più appeal, riescono ad avere un ritorno sull’investimento maggiore. Non possiamo quindi pensare di riempirci di ammennicoli e di strumenti tecnologici e poi abbandonarli a loro stessi, perché si tratta di una falsa protezione. Abbiamo potuto vedere che dietro un’attività di analisi c’è un lavoro immenso che chiedere un expertise specifico. Non si può più pensare al fai da te, a comprare delle soluzioni e a far fare tutte le soluzioni. Bisogna costruire la propria security come un processo, prendere mattone per mattone e andare a trovare il miglior strumento, la miglior persona con la migliore esperienza che è più adatta all’ambiente in cui io devo operare, il miglior partner, e andare a coprire tutto il ventaglio dei possibili rischi e qui il rischio diventa sempre di più un faro che illumina su dove si deve andare a indirizzare il proprio effort, budget e azioni. Bisogna cercare di avere tutte le possibilità e tutte le capacità necessarie per andare a mitigare quei rischi. Ciò è possibile unendo la tecnologia con la conoscenza e il knowledge umano.”

 

Condividi sui Social Network:

Articoli simili

Syrian Electronic Army: l’hacker Peter Romar si dichiara colpevole d’appartenenza al gruppo che fece tremare gli Stati Uniti

Syrian Electronic Army: l’hacker Peter Romar si dichiara colpevole d’appartenenza al gruppo che fece tremare gli Stati Uniti

A cura di:Redazione Ore Pubblicato il

All’inizio di quest’anno uno degli hacker più ricercati dall’FBI è stato arrestato in Germania, arriva ora la confessione di Peter Romar. Peter Romar, 37 anni, si è dichiarato colpevole Mercoledì in una corte federale di Alessandria delle accuse di estorsione ed hackeraggio in quanto membro del celeberrimo gruppo di hacking “Syrian Electronic Army” (SEA). SEA…

L’amministratore di sistema nella nuova privacy europea

L’amministratore di sistema nella nuova privacy europea

A cura di:Emilio Souberan Ore Pubblicato il

Con l’approssimarsi della piena entrata in vigore del nuovo regolamento europeo sulla Privacy (GDPR – General Data Protection Regulation) del prossimo maggio si parla sempre più spesso di figure centrali quali, ad esempio, il titolare del trattamento o il responsabile della protezione dei dati – Data Protection Officer – ma poco o nulla si dice…

Evoluzione del Financial Cybercrime, tra innovazione tecnologica e politiche di sicurezza

Evoluzione del Financial Cybercrime, tra innovazione tecnologica e politiche di sicurezza

A cura di:Redazione Ore Pubblicato il

Pur rappresentando un’enorme opportunità per il settore, servizi e prodotti finanziari abilitati dall’innovazione digitale portano con sé significativi problemi di cybersecurity. Evoluzione del mondo Finance e novità regolamentari Digitalizzazione, disintermediazione, accesso da remoto ai servizi bancari e finanziari sono soltanto alcuni degli elementi che hanno delineato un quadro di settore profondamente diverso rispetto a solamente…

Gamification e cyber security

Gamification e cyber security

A cura di:Michelangelo De Bonis e Matteo De Simone Ore Pubblicato il

Introduzione Oggi i dipendenti delle aziende sono diventati sempre più l’anello debole nella difesa contro gli attacchi informatici. La regola base del buon senso non può essere l’unico elemento di difesa contro tecniche di attacchi sempre più sofisticate. Inoltre gli attacchi provengono spesso da vere e proprie organizzazioni strutturate, di natura criminale o di natura governativa…

Cybersecurity nei dispositivi biomedicali: linee di azione e ambiti di intervento

Cybersecurity nei dispositivi biomedicali: linee di azione e ambiti di intervento

A cura di:Fabio Bonanni Ore Pubblicato il

Un’indagine condotta da Deloitte nel 2016 in 24 strutture pubbliche e private dislocate in 9 Paesi nell’area EMEA, inclusa l’Italia, ha confermato che il tema della cybersecurity nei dispositivi biomedicali connessi in rete è quanto mai attuale. Le segnalazioni di problemi di sicurezza su tali dispositivi, con potenziali rischi per la salute dei pazienti, sono…

ePrivacy, l’integrazione del GDPR

ePrivacy, l’integrazione del GDPR

A cura di:Francesco Maldera Ore Pubblicato il

Il GDPR, una norma da integrare 25 maggio 2018: ecco il GDPR, il nuovo regolamento europeo sulla protezione dei dati personali. In realtà, i regolamenti che dovevano nascere quel giorno, nelle intenzioni del legislatore europeo, erano due: gemelli eterozigoti. Diversi ma uguali nelle finalità, l’uno più corpulento, l’altro più acuto ma bisognoso di essere sostenuto….