Quello della sicurezza informatica è un settore in continua evoluzione. A suggerire un approccio dinamico nella declinazione degli strumenti di protezione non è solo il continuo progresso nello sviluppo delle tecnologie per la cyber security, ma anche un quadro in costante mutamento che impone agli esperti di sicurezza di adattare le loro strategie alle nuove minacce.L’evoluzione degli strumenti di difesa, di conseguenza, non è dettata solo dal progresso tecnologico del settore, ma anche dal quadro in cui si deve collocare.
Il cambiamento più significativo nel settore della sicurezza informatica occorso negli ultimi anni riguarda la prospettiva stessa con cui gli esperti interpretano la cyber security. Abbandonato il vecchio concetto di “perimetro”, non più applicabile in un contesto troppo complesso e articolato per consentire di distinguere un “dentro” e un “fuori”, la protezione delle reti aziendali è affidata alla logica della detection and response.
In altre parole, gli sforzi non si concentrano più sulla creazione di un ipotetico muro invalicabile che metta al riparo l’azienda dai cyber attacchi, ma su un ecosistema che consenta di monitorare costantemente le attività di rete per individuare tempestivamente eventuali attacchi e reagire di conseguenza.
Con il nuovo approccio, le tecnologie di cyber security si sono evolute di conseguenza, mettendo l’accento su concetti come la trasparenza dei processi e la visibilità della rete.
La premessa per l’adozione di una strategia efficace di detection and response è l’implementazione di un sistema che consenta di avere a disposizione una struttura composta da professionisti che possa eseguire un rilevamento costante dell’attività all’interno della rete aziendale, registrare le informazioni, ordinarle, analizzarne e reagire di conseguenza.
Un approccio che ha nei sistemi Cross Layered la sua interpretazione più efficace e che si colloca nella logica dei servizi di security gestiti (Managed Detection and Response o MDR). È con questo tipo di sistemi, infatti, che è possibile controllare costantemente tutto ciò che avviene a livello di sistemi IT e permettere così individuare eventuali anomalie o indizi di un cyber attacco in corso.
Sotto questo profilo, l’efficacia dell’attività di monitoraggio richiede un mix tra uomo e macchina che permetta di unire le competenze tecniche necessarie e le tecnologie per la cyber security più avanzate.
Sotto il profilo tecnologico, uno dei fattori abilitanti per consentire la raccolta dei dati e la loro “scrematura” è l’uso di sistemi basati sull’intelligenza artificiale (AI), che consente di avere in tempo reale tutte le informazioni necessarie per valutare l’eventuale minaccia, eliminare il rischio di falsi positivi, definire le contromisure necessarie e metterle in atto nel minor tempo possibile.
L’uso di strumenti basati sull’intelligenza artificiale, oltre a consentire il monitoraggio costante della rete però, è fondamentale anche in altri strumenti di protezione.
Tra questi i sistemi anti-spam e anti-phishing che, grazie alle funzionalità di machine learning, possono filtrare i messaggi di posta elettronica bloccando quelli potenzialmente pericolosi. L’adozione delle nuove tecnologie per la i cyber security, in questo ambito, garantisce un livello di protezione superiore rispetto ai semplici sistemi basati su black list e permette di individuare anche le minacce e le tecniche di attacco più raffinate, che gli esperti di sicurezza indicano in costante crescita.
In ambito di prevenzione degli attacchi, infine, a giocare un ruolo fondamentale sono anche i sistemi di automazione e orchestrazione, la cui applicazione a livello di patch management consente di applicare gli aggiornamenti di sicurezza con la massima tempestività riducendo, di conseguenza, la superficie di attacco a disposizione dei pirati informatici.
L’adozione dell’AI per automatizzare e centralizzare i processi in questo settore permette, in particolare, di intervenire sul fattore tempo e ridurre in questo modo il gap tra l’emersione delle vulnerabilità dei sistemi e l’applicazione delle patch che le correggono, spesso sfruttato dai cyber criminali.