Cigni neri: prepararsi alle minacce ignote

Cigni neri: prepararsi alle minacce ignote

Cigni neri: prepararsi alle minacce ignote

Teoria del cigno nero:

Definizione: è una metafora che rappresenta un evento improbabile e che risponde ai seguenti criteri:

  • Non può essere previsto
  • Porta con sé un grande impatto organizzativo
  • Una volta che si è verificato si cerca di razionalizzarlo solo a posteriori.

La teoria del cigno nero è qualcosa per cui non ci sono precedenti, rendendo la pianificazione quasi impossibile. Gli attacchi dell’11 settembre, la crisi del mercato immobiliare del 2008 e il disastro nucleare di Fukushima dovuto al terremoto/tsunami del 2011 in Giappone sono tutti esempi di recenti eventi di cigno nero che colpiscono tutti, dalle organizzazioni agli individui. Nessuno era preparato ad affrontare questi eventi o le loro ricadute.

Gli eventi più critici, di portata mondiale, possono essere visti come cigni neri. Nassim Nicholas Taleb, autore di The Black Swan, afferma che “un piccolo numero di cigni neri sia alla radice di ogni sconvolgimento della storia e sia in grado di spiegare quasi tutto il nostro mondo”. “Secondo Taleb, il “normale” è molto spesso irrilevante. È qui che le organizzazioni tendono a concentrare le energie perché è qui che hanno gli strumenti per prepararsi. Ma non riescono a prepararsi per i valori anomali, principalmente perché questi scenari non possono essere previsti o pianificati.

Fatti ignoti che non sappiamo (unknown unknowns)

Nella sicurezza – sia militare che informatica – abbiamo un concetto simile, quello di “ unknown unknowns “. Sebbene vi siano minime differenze di significato, l’idea alla base di entrambe è che questi sono eventi che alterano la vita / situazione che la “vittima” non ha previsto, né avrebbe potuto prevedere. Quando si tratta di incognite sconosciute, siamo nella proverbiale oscurità; non sappiamo nulla su come prepararci per questi eventi o quando potrebbero accadere, lasciandoci alla mercé dei nostri avversari.

Cryptojacking è un ottimo esempio. Prima che diventasse un exploit comune, sarebbe stato difficile affermare che un giorno, in futuro, gli aggressori avrebbero potuto cercare di rubare la potenza della CPU su Internet per estrarre bitcoin. In questo modo, le vittime sono state lasciate indifese contro il furto della CPU quando sono iniziati gli attacchi. Eppure, proprio con il senno di poi, criptare ora sembra il risultato logico di rapido aumento dei valori delle valute virtuali.

Proteggersi dal “normale”

Invece di concentrarsi su incognite sconosciute, in genere proteggiamo le reti contro minacce “normali” più comuni – i “fatti conosciuti” e “fatti conosciuti ma a noi sconosciuti”.

I “fatti conosciuti” come vengono chiamati sono le minacce più basilari. Quando la rete era agli inizi, minacce come worm e virus affliggevano le organizzazioni. I firewall sono stati progettati per filtrare elementi noti per essere dannosi e sono diventati uno strumento indispensabile per proteggere i dati. Insieme a soluzioni antivirus (AV), hanno formato un forte strato di base di protezione perimetrale contro malware noti. Con i fatti conosciuti, gli analisti sapevano cosa cercare e come difendersi da loro.

Ma con il progredire della tecnologia, la complessità e il numero di minacce aumentarono rapidamente. Vedendo che i firewall erano in grado di catturare minacce poco complesse, gli sviluppatori di malware iniziarono a creare nuove minacce sofisticate, più difficili da rilevare. Gli analisti hanno iniziato a incorporare strumenti più avanzati come sandbox e filtri URL. Questi strumenti hanno familiarità con questo tipo di minaccia “conosciuta, ma sconosciuta”; potrebbero non riconoscerle pienamente, ma ne sanno abbastanza da diffidare del profilo generale e possono fornire un livello di protezione.

Cigni neri e minacce irriconoscibili

Oggi ci troviamo di fronte a varianti molto più sofisticate e sfuggenti: questi sono i cigni neri delle minacce informatiche; le incognite sconosciute che le organizzazioni non possono prevedere e quindi, apparentemente, contro cui non possono armarsi. Oggi Internet è incontrollato, con minacce mai viste in rapida evoluzione e irriconoscibili. Approcci tradizionali euristici e basati sulla firma che, come detto sopra, dipendono dal riconoscimento del modello di minaccia, sono impotenti a sconfiggere queste varianti altamente complesse. Queste minacce sconosciute possono oltrepassare AV, sistemi di rilevamento / prevenzione delle intrusioni, filtri di rete e, ovviamente, firewall.

Prevenire il prossimo evento con la navigazione remota isolata

Se è impossibile prevenire o rilevare minacce sconosciute, che cosa può essere fatto per impedire loro di entrare nelle reti e creare danni all’organizzazione?

La verità è che non c’è nulla che un individuo o un’organizzazione possa fare per impedire che incognite sconosciute accadano. Inoltre, l’attenzione non dovrebbe essere quella di cercare di rendere conto di ogni evento di cigno nero / incognita sconosciuta che potrebbe verificarsi – non c’è il tempo, non è economicamente vantaggioso e comunque non funzionerà.

Invece, le organizzazioni hanno bisogno di un approccio che sia proattivo e non dipenda dal riconoscimento delle minacce. Con la navigazione remota isolata, nessun codice eseguibile trasmesso da browser raggiungerà mai le reti o i dispositivi dei dipendenti, quindi la tua organizzazione è protetta da tutte le minacce: note, sconosciute ma note e persino incognite sconosciute.

Lo fa eseguendo tutto il codice in un contenitore monouso isolato, situato in cloud o nella DMZ, lontano dall’end point e dalle reti. Un flusso di dati pulito consente all’utente di interagire con qualsiasi sito Web di cui ha bisogno, senza la minaccia di varianti malware sconosciute. Quindi, quando la sessione è finita o l’utente interrompe la navigazione, il contenitore viene eliminato insieme a tutti i suoi contenuti. Qualsiasi cosa malevola, anche gli zero-day exploit, che potrebbero essersi introdotti in quella sessione di navigazione vengono gettati via e distrutti.

Ci saranno sempre minacce basate su browser che semplicemente non possono essere anticipate. Gli aggressori hanno già appreso che queste incognite sconosciute sono gli strumenti più potenti nel loro arsenale e ci sono buone possibilità che le minacce irriconoscibili diventino meno prevedibili col passare del tempo. Ecco perché la migliore forma di protezione è quella che non ha bisogno di “sapere” nulla su un exploit per impedirgli di danneggiare le tue reti.

 

Fonte: Ericom Software