3 marzo 2023 – Utilizzare l’intelligence sulle minacce informatiche e la telemetria per scoprire potenziali attacchi prima ancora che possano raggiungere i loro obiettivi. È questa la nuova strategia di difesa che le aziende stanno prendendo in considerazione alla luce dell’aumento esponenziale della criminalità informatica.
Un attacco ransomware, ad esempio, non avviene in modo rapido: gli hacker hanno bisogno di tempo per entrare nella rete aziendale, trovare i database e controllare in quali sono presenti informazioni di valore: soltanto dopo questi passaggi possono tentare di esfiltrare i dati e, infine, distribuire il ransomware all’interno della rete.
Ecco allora alcuni consigli di Cisco Talos - la più grande organizzazione privata di intelligence al mondo dedicata alla cybersecurity - per implementare una strategia di difesa attiva: non solo quindi per prevenire un attacco, ma anche per intervenire sfruttando il tempo che serve agli hacker per portare a buon fine un attacco.
Esercitarsi
Lo svolgimento periodico di esercitazioni “a caccia” di minacce informatiche aumenta le possibilità di rilevamento. In questo modo sarà possibile conoscere quali sono i punti deboli della rete, ottenere maggiore visibilità su ciò che sta accadendo e scoprire dati potenzialmente strategici che non sono protetti in modo adeguato.
Monitorare le query DNS
Il monitoraggio delle query DNS (Domain Name System) fornisce una visione chiara di ciò che sta accadendo nella rete.
L'analisi dei registri DNS e l'individuazione dei sistemi che hanno risolto i domini forniscono un buon punto di partenza. In aggiunta dovrebbe essere eseguita anche l'analisi dei domini dannosi già noti, in modo da offrire visibilità sull'efficacia della cyber difesa.
Creare avvisi ad alta priorità
Impostare degli alert ad alta priorità aiuterà i professionisti della sicurezza a concentrarsi sugli eventi critici.
Questa tipologia di avvisi serve a segnalare tempestivamente comportamenti anomali come, ad esempio, il tentativo di stabilire una connessione non approvata alla rete, la modifica non autorizzata dei privilegi o della password di un account amministrativo.
Analizzare le cause di un attacco
La domanda più importante a cui bisogna cercare di rispondere è questa: cosa non ha funzionato nel nostro sistema di difesa?
Un apparato di cybersecurity deve permettere di condurre un'analisi della causa di un attacco al fine di determinare le falle del nostro sistema e fornire informazioni preziose per migliorare le difese dell’azienda.
.jpg)
