L’intero processo di Cyber Defence può essere riassunto in tre fattori che ne determinano l’esito qualitativo: persone, tecnologie e processi. La mancanza di una di queste componenti può compromette i risultati dell’intero processo difensivo aziendale.

Porre l’attenzione esclusivamente su alcuni aspetti della difesa dell’azienda, per esempio l’aspetto tecnologico, rende inefficace l’intera postura difensiva dell’azienda stessa.

In altri casi invece, gli investimenti fatti su tutte le componenti vengono resi inefficaci dalla difficoltà di rendere funzionali i meccanismi che governano questi 3 elementi. Come risultato, un Data Breach è tanto un fallimento organizzativo quanto il fallimento di una tecnologia, persona o processo.

Rendendo operative le funzioni di sicurezza principali, è possibile definire come gli strumenti, il team e i processi dovrebbero coesistere e collaborare per garantire che il centro operativo di sicurezza funzioni in modo efficiente, efficace e rapido.


Le attività strategiche


1. Monitoraggio di Sicurezza

Il monitoraggio degli eventi di sicurezza è chiaramente il primo passo da compiere. In effetti non si può combattere ciò che non si vede. Ecco perché le attività di Security Monitoring (svolte da un Security Operation Center) sono il fondamento per una concreta difesa dell’Azienda.

Allo stesso tempo, aziende di diverse dimensioni devono affrontare sfide diverse:

  • Aziende di piccole e medie dimensioni: mancanza di risorse e budget:
    • Fortgale MDR, la soluzione flessibile per ottenere protezione;
  • Aziende medie e di grandi dimensioni: troppi flussi da monitorare:
    • Fortgale Hybrid-SOC, per potenziare le funzioni/attività del SOC.

Per saperne di più sulla possibilità di attivare i nostri servizi, scrivi a fort@fortgale.com

2. Risposta ed Eradicazione

Avviate le attività di monitoraggio, l’Azienda deve essere in grado di rispondere alle minacce identificate. La sfida di questi giorni non è rappresentata dalla sola identificazione dell’anomalia, o dall’implementazione di soluzioni di sicurezza (AntiVirus, Firewall, ecc..). Ad oggi la sfida è comprendere e reagire correttamente ai Cyber-Attack a cui tutti i business sono esposti.

In questo senso risulta necessario creare un piano di risposta agli incidenti informatici che definisca i ruoli, modalità e metodi per la gestione delle minacce, il recupero e il ripristino delle funzionalità operative aziendali.

Questo può essere fatto concentrando l’attenzione sui problemi che si verificano più spesso, documentando i flussi di lavoro e aggiornando il piano giornalmente.
Il piano dovrebbe delineare non solo i processi e funzioni interne, ma anche il ruolo e le attività dei partner esterni.

Spesso si rischia di commettere l’errore di creare un piano e poi abbandonarlo finché non si presenterà il bisogno. E’ consigliabile verificare regolarmente il piano per assicurarsi che tutti conoscano i propri ruoli e siano preparati nel momento di necessità.

3. Vulnerability Management

Questo è chiaramente una delle attività quotidiane svolte dai team della sicurezza informatica. Più immediata ed efficace è l’applicazione delle patch, migliore sarà la qualità della postura difensiva nei confronti di cyber-attack.

Per garantire un’applicazione efficace delle patch, è necessario creare una strategia di gestione delle vulnerabilità che definisca l’intero processo, e impostare una pianificazione regolare per la distribuzione.
Alcuni sistemi legacy possono richiedere valutazioni specifiche rispetto ai sistemi moderni, ma ciò non significa di poterli escludere. Risulta importante intervenire su ciò che è possibile tenendo traccia di ciò che manca in modo da poterlo valutare nel tempo.

Il ruolo del Threat Hunting e della Cyber Threat Intelligence

Per andare a caccia di minacce informatiche sconosciute non basta quanto elencato finora. Per fare questo serve introdurre due aspetti strategici, Intelligence e Hunting.
Entrambe dovrebbero avvenire solo quando le prime tre funzioni hanno raggiunto una certa maturità all’interno dell’organizzazione. Per le attività di Threat Hunting solitamente si parte con la semplice ricerca di minacce tramite IOC, per poi sviluppare quest’attività in operazioni più complesse e automatiche nel tempo.

Le attività di Cyber Threat Intelligence sulle minacce aiutano le aziende a comprendere il rischio di un attacco da minacce potenziali e attuali. Indispensabile filtrare le informazioni sulle minacce in modo da trarre un effettivo valore aggiunto.

Capire quali sono le minacce specifiche relative al settore di riferimento e i tipi di avversari che il tuo settore affronta più spesso risulta strategico per una migliore protezione.

Soluzioni Fortgale – MDR

Come Security Service Provider, Fortgale aiuta le Aziende a proteggere i propri asset e dati, proponendo attività di monitoraggio, rilevamento e risposta, integrando le funzioni di Cyber Threat intelligence e Threat Hunting descritte in questo articolo.

Altre risorse