Proteggere l’infrastruttura contro il ransomware – Leader di pensiero

Di Dr. Aviv Yehezkel, co-fondatore e CTO, Cynamics

Dagli ospedali alle scuole agli impianti di lavorazione della carne, nessun settore è insignificante per gli attaccanti di ransomware. Il ransomware costerà alle aziende statunitensi 3,68 miliardi di dollari quest’anno solo. Gli operatori di rete e sicurezza hanno bisogno di una copertura di rete di alto livello per prevenire e mitigare gli attacchi di ransomware. La crescente complessità delle architetture – che include componenti legacy on-premises, virtuali e cloud in esecuzione sulla rete – ha reso quasi impossibile ottenere una visibilità completa. Lo status quo non funziona. È necessario un nuovo approccio.

Le soluzioni attuali non possono soddisfare le esigenze della rete

In aggiunta alla crescente complessità, le reti sono anche aumentate in termini di dimensioni, scala e volume. In tutti i settori, queste reti gestiscono enormi quantità di dati che continuano a crescere in volume e coinvolgono più endpoint, più connettività (interna ed esterna) e più siti di rete (fisici e/o logici). Mentre le reti aumentano esponenzialmente in scala e complessità, la maggior parte delle soluzioni di sicurezza si basa ancora su approcci tradizionali come appliance e agenti. E questi non sono progettati per livelli di complessità e volumi di dati di questo tipo.

Le soluzioni di rilevamento e risposta della rete (NDR) attuali si basano ancora su un approccio pensato per reti di un’epoca più semplice. Le soluzioni sono laboriose, costose da implementare e sempre meno efficaci. Richiedono il posizionamento di appliance, sensori e/o sonde che raccolgono e analizzano i dati di rete. Tuttavia, non è possibile coprire l’intera rete con questi appliance. Richiedono l’analisi del 100% dei dati di rete – il che non è pratico. Ciò costringe le aziende a compromettere ogni giorno limitando la copertura e il rilevamento a piccole porzioni della rete, lasciando la maggior parte della rete come un punto cieco vulnerabile.

Inoltre, la maggior parte dei fornitori di NDR utilizza un approccio basato su appliance che utilizza porte di tap o span per analizzare il traffico di rete. Ciò non si scala facilmente e amplia la superficie di attacco di un’organizzazione come una porta di ingresso diretta al cuore della rete del cliente, come è stato notato così tante volte l’anno scorso con gli attacchi “pandemici” della catena di approvvigionamento. Nell’ambiente digitale interconnesso di oggi, questo approccio non fornisce una trasparenza sufficiente attraverso reti intelligenti sempre più complesse e lascia le organizzazioni vulnerabili ai punti ciechi.

Problemi di visibilità e novità

La maggior parte degli attacchi di ransomware inizia con una violazione della rete che è solitamente resa possibile tramite una vulnerabilità nel perimetro della rete. E gli attori malintenzionati inizieranno a muoversi attraverso la rete e cercheranno di massimizzare i danni, saltando da un posto all’altro, fino a infettare sufficienti host per essere utilizzati per l’attacco. Troveranno i punti ciechi che non sono monitorati – quando si lasciano aree non coperte, si crea molto spazio per i cybercriminali per infiltrarsi.

C’è un altro problema significativo: con la maggior parte delle soluzioni di rilevamento, la novità passa inosservata. Sono state addestrate per cercare firme e regole molto specifiche associate a attività di ransomware note. Ma nuove variazioni e tipi di attacchi di ransomware vengono sviluppati tutto il tempo – e anche un piccolo cambiamento dalle firme che questi strumenti sono stati addestrati a rilevare e segnalare può causare l’attacco a passare inosservato.

Il ruolo dell’AI e del ML

Gli analisti umani, per quanto intelligenti e capaci possano essere, semplicemente non possono monitorare le reti di oggi da soli – e non è possibile coprire la rete completa con appliance e agenti. Ma lasciare porzioni della rete non coperte non è un’opzione. Gli attaccanti e i cybercriminali sono sempre alla ricerca di modi per infiltrarsi e introdursi.

Come è possibile superare queste sfide? Le tecniche di intelligenza artificiale (AI) e apprendimento automatico (ML) possono svolgere un ruolo chiave nel rilevamento e nella risposta della rete. Il ML può essere utilizzato per dedurre il comportamento del 100% del traffico di rete, in base a un campionamento di una piccola frazione dei dati di rete. E poi, può imparare automaticamente se un modello di rete è legittimo o sospetto e “comprendere” autonomamente le tendenze in evoluzione nella rete.

Ciò che rende il ML e l’AI così utili è la loro capacità di rilevare i modelli nascosti che segnalano gli attacchi – per rivelare cosa sta realmente accadendo nelle reti in tempo reale. Ciò elimina la necessità impratica e costosa di coprire l’intera rete. Ciò aiuta anche ad affrontare il problema notato sopra sull’evoluzione continua di nuove forme di attacchi di ransomware.

È richiesta l’innovazione

Il ransomware è implacabile. È ovvio a questo punto che le soluzioni di sicurezza legacy non funzionano o non tengono il passo con il panorama delle minacce in evoluzione. È una piaga che costa alle organizzazioni miliardi di dollari; sembra inarrestabile, eppure deve essere fermato. Ma è più facile a dirsi che a farsi quando la maggior parte delle reti diventa sempre più complessa e include una miscela di componenti legacy e nuovi.

I cybercriminali stanno sfruttando al massimo l’AI, quindi gli operatori di rete devono fare lo stesso. Una nuova strategia di sicurezza dovrebbe includere un rilevamento e una risposta della rete (NDR) guidati dall’AI e basati su campionamento. Le soluzioni di questo tipo utilizzano una piccola porzione del traffico di rete per imparare cosa è normale per l’intera rete, abilitando una visibilità che non è altrimenti possibile. È un esempio delle soluzioni innovative necessarie per stare al passo con il ransomware e le molte altre minacce della rete in funzione oggi.