Nella cyber security il fattore tempo è un elemento determinante. Non solo per quanto riguarda la correzione delle vulnerabilità che lasciano aperte falle di sicurezza che i pirati possono sfruttare, ma anche nell’ottica di contrasto agli attacchi informatici. Molti dei malware utilizzati dai pirati informatici, infatti, hanno caratteristiche che permettono loro di “muoversi” all’interno della rete per compromettere a catena di dispositivi vulnerabili. L’utilizzo di strumenti di automatic remediation, in questo caso, rappresenta un'azione preziosa per consentire di arginare gli attacchi e garantire la business continuity dell’azienda.
Il modus operandi dei pirati informatici è ormai ben conosciuto. Da un punto di vista strategico, i cyber criminali operano in maniera estremamente precisa e, spesso, collaborano tra loro per portare a termine le loro operazioni. Il primo passo è la compromissione di un dispositivo all’interno della rete, obiettivo raggiungibile attraverso l’uso di diversi vettori di attacco che comprendono lo sfruttamento di vulnerabilità a livello tecnologico, l’uso di malware inviati via email o tecniche di social engineering (come il phishing) che puntano a sfruttare le debolezze legate al “fattore umano”. Come non si stancano di ripetere gli esperti di sicurezza, l’ampia gamma di tecniche di attacco a disposizione dei pirati deve portare i team di cyber security a considerare la violazione non come una possibilità, ma come una certezza. In altre parole, non si tratta di capire “se” la rete aziendale verrà colpita, ma “quando” questo accadrà. La predisposizione di sistemi di automatic remediation rientra in quest’ottica e rappresenta la contromisura migliore per mitigare il danno in caso di violazione dei sistemi.
La maggior parte delle minacce alle aziende sono rappresentati dai ransomware, cioè da attacchi che mirano a bloccare i sistemi critici per poi estorcere un riscatto all’impresa. Nell’evoluzione delle tecniche, di conseguenza, alla compromissione iniziale di un dispositivo segue l‘attività di movimento laterale, cioè lo “spostamento” attraverso la rete per raggiungere le risorse più sensibili dell’azienda, che rappresentano il reale obiettivo dei pirati informatici. Nella maggior parte dei casi l’attacco viene rilevato in questa fase e il suo contrasto dipende dalle capacità dei responsabili di sicurezza di battere sul tempo i pirati nella diffusione del malware. Le tecniche di automatic remediation consentono una migliore efficacia e rapidità in questa fase di contrasto, mettendo a disposizione dei responsabili IT strumenti che permettono di avviare automaticamente le procedure che consentono, per esempio di isolare le macchine infette per impedire che i cyber criminali riescano a raggiungere e compromettere i servizi critici.
I malware non sono tutti uguali e, in particolare, una delle caratteristiche che viene considerata per classificarli è il metodo che sfruttano per diffondersi. La maggior parte dei malware, infatti, non è in grado di autoreplicarsi e colpire automaticamente i dispositivi vulnerabili. Per infettare un device, sfruttano exploit che richiedono un qualche tipo di interazione da parte dell’utente per avviarne l’installazione. Alcune tipologie di exploit, però, consentono di automatizzare la diffusione del malware. In questo caso si parla di worm, cioè di malware che sono in grado di diffondersi autonomamente senza che sia necessaria alcuna forma di interazione per la loro installazione. Il caso più eclatante registrato in tempi recenti è stato quello di WannaCry, un cripto ransomware che ha sfruttato una vulnerabilità (EternalBlue) a livello di Server Message Block per diffondersi tramite Internet. Un attacco che ha avuto effetti devastanti: in un solo giorno WannaCry ha colpito più di 200.000 computer in tutto il mondo, provocando ingenti danni alle aziende e organizzazioni colpite, tra cui ospedali e aeroporti. L’uso di sistemi di automatic remediation, in caso di worm, ha un’elevata efficacia e consente, per esempio, di modificare le impostazioni dei firewall e delle infrastrutture di rete per bloccare tempestivamente l’attacco ed evitare che l’interruzione delle attività.