Cosa significa advanced threat protection solution e quando un’azienda ne ha bisogno
Cosa si intende per advanced threat protection solution (ATP) e perché oggi le aziende e le Organizzazioni hanno bisogno di soluzioni avanzate per la protezione di reti e dispositivi. Lo spieghiamo in questo articolo.
1. Cosa s’intende per advanced threat protection solution
Le advanced threat protection solution (ATP) sono piattaforme applicative che forniscono una protezione avanzata contro gli odierni attacchi alle reti di aziende, Organizzazioni e Istituzioni scolastiche. Per combattere ad armi pari contro i cybercriminali, non è più sufficiente affidarsi ad applicazioni obsolete come gli antivirus, ma è necessaria una protezione molto più sofisticata.
L’approccio è definito Detection & Response, ovvero affrontando il potenziale pericolo con il monitoraggio costante dei dispositivi (end point) e della rete aziendale, e una risposta immediata. Si dice anche che si è passati da una modalità di protezione passiva, in cui si subisce il danno per poi cercare di metterci una toppa, a una attiva, in cui si punta a prevenire gli attacchi.
Tutti i produttori di soluzioni di sicurezza aziendale hanno aggiornato la loro offerta alle advanced threat protection solution proponendo piattaforme applicative composte da un nucleo centrale e dei moduli aggiuntivi. La maggior parte vengono erogate sotto forma di servizio, ovvero in modalità SaaS (Software as a Service). Ciò significa che l’azienda paga un fisso mensile per l’utilizzo della piattaforma di sicurezza, spesso composta da hardware e software integrata all’interno della sua architettura IT. Ma il servizio può anche essere erogato da remoto e basato su cloud, una volta che si costruisce una connessione continua con la rete aziendale. In questo caso, può anche non servire l’implementazione di una appliance di sicurezza e della relativa piattaforma applicativa nel data center dell’azienda.
I partner IT monitoreranno la rete del cliente 24×7 attraverso il proprio SOC (Security Operation Center) seguendo gli accessi e il traffico sospetto di dati e documenti. Ma, soprattutto, saranno continuamente aggiornati sul numero e sulla natura degli attacchi in tutto il mondo, grazie al collegamento con diversi centri di monitoraggio. In questo modo avranno sempre il polso della situazione e saranno sempre più rapidi nel prendere le misure del possibile attacco.
>> FlashStart ti protegge da una vasta gamma di minacce e vieta l’accesso a siti malevoli ? Richiedi ora un’offerta e Inizia subito la tua prova gratuita
2. Perché oggi ci vogliono soluzioni avanzate di protezione
Oggi gli attacchi dei criminali informatici sono molto diversi da quelli di qualche anno fa. Sono più complessi, più mirati e spesso esplodono dopo mesi di attesa. Gli attacchi più frequenti alle reti aziendali si perpetuano attraverso i malware. Si tratta di piccoli programmi che vengono introdotti nella rete con diversi scopi. Il più comune, il ransomware, è finalizzato al blocco dell’accesso a dati, informazioni e documenti, o al loro furto.
Lo sblocco avviene solo dopo che l’azienda vittima dell’attacco paga il riscatto richiesto in bitcoin. Altri malware sono i trojan, contenuti all’interno di un programma che l’utente ritiene innocuo, e sono in grado di prendere possesso dell’end point. Ancora, ci sono le backdoor, utilizzate per introdursi all’interno di una rete aziendale, il phishing o il cracking delle credenziali di accesso.
Quasi sempre l’attaccante prende il controllo della rete aziendale accedendo da un end point, un computer o uno smartphone di un dipendente o un dispositivo IoT. Lo fa impossessandosi delle credenziali di accesso al dispositivo, alla rete, a un applicativo come Microsoft 365. Per questo, può usare tecniche di social engineering, risalendo a username e password da uno studio delle tracce lasciate in Rete dall’utente o attraverso mail “civetta”, e quindi utilizzando tecniche di phishing e applicativi per il password cracking.
I cybercriminali oggi hanno idee e obiettivi molto chiari. Lo scopo principale di un attacco a una rete aziendale è l’estorsione. Dunque, si punta a mettere le mani su documenti riservati, progetti o, in generale, dati sensibili che possano avere un valore, per la vittima, per un Paese straniero, per un concorrente. E lo si fa “mascherati” da dipendente, introducendosi da un accesso autorizzato. Inoltre, a differenza di ciò che succedeva anni fa, capita regolarmente che il malware sia installato da mesi, in alcuni casi da anni, e rimanga dormiente, in attesa di scatenare l’attacco al transito di dati interessanti.
Da quanto abbiamo scritto, è evidente che contro questi attacchi le soluzioni di protezione tradizionali non sono sufficienti ma ci vogliono, appunto, advanced threat protection solutions. In particolare, è fondamentale porre l’attenzione su due contesti: l’accesso dagli end point e il monitoraggio costante del traffico di rete. Sottolineiamo, inoltre, che nessuna azienda, di qualsiasi dimensione o mercato verticale, può ritenersi immune da un attacco.
Questo perché sempre più spesso l’architettura IT di un fornitore di un produttore di auto, per esempio, è connessa a quella del produttore stesso. Ciò significa che l’attaccante può sfruttare le vulnerabilità del fornitore per introdursi nella rete del produttore. E, ricordiamo anche questo, il GDPR può ritenere direttamente responsabile dell’attacco anche il fornitore, se non dimostra di avere un livello di protezione avanzato.
3. Come funzionano le soluzioni di protezione moderne
Le advanced threat protection solution (ATP) eseguono prima di tutto il monitoraggio costante del traffico di rete. Si controlla chi accede alla rete aziendale e che attività svolge. Questo controllo è supportato da algoritmi di intelligenza artificiale, in particolare di machine learning e di automazione. Si dice che questo nucleo della piattaforma è di tipo XDR (extended detection & response). E raccoglie e correla automaticamente i dati tra più livelli di sicurezza: email, dispositivi remoti, server e gli applicativi in cloud e rete.
Il machine learning aiuta le advanced threat protection solutions a comprendere le abitudini degli utilizzatori, in modo da accorgersi immediatamente di un comportamento anomalo. Per esempio: come mai un dipendente che fino a quel momento si era sempre collegato da Milano accede improvvisamente da Saigon? Gli algoritmi di automazione, invece, servono a eseguire delle attività automatiche per una protezione immediata. L’invio di un alert, per esempio, ma anche il blocco dell’IP da cui è partito un traffico anomalo e altre attività più sofisticate.
Le piattaforme ATP, inoltre, eseguiranno un pieno controllo delle porte di una rete aziendale, generalmente attraverso una appliance da installare nel data center aziendale. Infine, altra componente presente in una piattaforma ATP è la sandbox. Si tratta di un luogo virtuale nascosto e protetto in cui vengono fatti transitare tutti i file sospetti che transitano in rete. Appena viene individuato, il file viene preso in ostaggio e ribaltato come un calzino. Nel caso di un allegato di posta elettronica ricevuto da un dipendente, il file sarà analizzato in tempo reale e non sarà possibile aprirlo fino a che la piattaforma non ha dato il suo ok.
Altro contesto caldo è la gestione degli accessi. È fondamentale, per esempio, attivare la multifactor authentication, ovvero l’accesso tramite una doppia autenticazione, per esempio via smartphone. Ma, soprattutto, gestire con precisione i privilegi di accesso: cosa può fare un utente all’interno della rete aziendale, a quali documenti e dati può accedere, è proprio necessario che abbia piena libertà d’azione? Ebbene, tutto questo è possibile con l’utilizzo degli strumenti appositi di una piattaforma ATP.
4. Che tipo di soluzione scegliere
In definitiva, che tipo di advanced threat protection solution scegliere? Per quanto abbiamo detto finora, il cybercrime non fa prigionieri. Qualsiasi azienda, di qualsiasi dimensione e mercato, qualsiasi Organizzazione, Scuola o Istituzione è potenzialmente in pericolo. Anzi, sono proprio le più piccole e più deboli le aziende che diventano i cavalli di Troia per accedere a strutture più importanti. E se non corrono ai ripari rischiano, oltre ai danni diretti anche quelli indiretti, su aziende clienti, partner e fornitori, e sanzioni in rapporto al fatturato, come indica il GDPR.
Quindi, è indubbio che si debba scegliere una piattaforma ATP tra quelle rese disponibili dai produttori leader di mercato. Tenendo conto che le soluzioni più diffuse si equivalgono abbastanza e che la stessa tecnologia è disponibile as a service per “grandi” come per i “piccini”, ciò che è consigliabile fare è affidarsi a un partner IT specializzato in sicurezza.
Sarà il partner a scegliere la soluzione per il cliente, sarà lui a definire il prezzo del servizio in base alle funzionalità da attivare, agli utenti connessi alla rete, alla tipologia di documenti da proteggere. E sarà il partner a fornire tutto il supporto in fase di installazione e configurazione. I più strutturati, infine, erogheranno il servizio completo attraverso il proprio SOC, sollevando l’azienda da ogni preoccupazione.
>> Richiedi ora un’offerta e Inizia subito la tua prova gratuita
Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.