McAfee, ecco perchè bisogna condividere i dati sulle minacce

McAfee, ecco perchè bisogna condividere i dati sulle minacce

McAfee ha diffuso un nuovo report sul cyber-crime, che richiama l'attenzione sull'importanza di una migliore condivisione delle informazioni riguardanti le minacce.

Il McAfee Labs Report sulle minacce: Aprile 2017 ha preso in considerazione numerosi temi caldi in ambito sicurezza e prevenzione del cyber-risk. Tra questi, l'importanza delle condivisione delle informazioni, l'architettura e il funzionamento della botnet Mirai, e le tendenze di crescita di varie forme di malware e altre minacce nel quarto trimestre 2016. Va notato che McAfee ha recentemente catalogato 176 nuove minacce cyber al minuto: nel 2016 il ransomware è cresciuto dell’88%, mentre il malware mobile del 99%.

Più in dettaglio, ecco le sfide principali per il settore security secondo McAfee:

  • Volume: un’evidente problematica di ‘rumore di fondo’ continua ad affliggere coloro che cercano di migliorare il triage, ottimizzare il processo, e agire sugli incidenti di sicurezza di massima priorità.
  • Convalida: l'invio di falsi report sulle minacce può sviare o inondare i sistemi delle informazioni, mentre i dati provenienti da fonti legittime possono essere manomessi se mal gestiti.
  • Qualità: un'azione 'quantitativa' basata solo sulla raccolta e la condivisione di moli maggiori di dati sulle minacce, può rendere una gran parte dei dati stessi una mera duplicazione, con spreco di tempo e fatica. I sensori devono essere riprogettati per acquisire e comunicare dati di tracciamento più ricchi: in tal modo i sistemi di supporto decisionale possono identificare i principali elementi strutturali degli attacchi persistenti.
  • Velocità: informazioni ricevute troppo tardi per la prevenzione di un attacco sono ancora utili, ma solo per il processo di pulizia. I sensori e i sistemi di sicurezza devono condividere le informazioni in tempo reale per pareggiare la velocità di attacco.
  • Correlazione: l'incapacità di identificare i modelli rilevanti e riconoscere i dati chiave impedisce di trasformare i dati riguardanti le minacce in informazioni utili per i team operativi, nonchè di fornire indicazioni sulle contromisure da intraprendere.

Per incrementare la condivisione delle informazioni, McAfee punta su tre aree:

  • Triage e prioritizzazione: è importante semplificare il triage degli eventi, nonchè fornire agli addetti security un ambiente migliore per indagare le minacce ad alta priorità.
  • Comprendere il nesso di correlazione: bisogna migliorare la correlazione degli indicatori di compromissione, in modo da comprenderne il nesso con le campagne di attacco.
  • Nuovi modelli di condivisione: va migliorato il modo di condividere le informazioni sulle minacce fra i nostri prodotti e quelli degli altri fornitori.

Vincent Weafer, vice presidente, McAfee Labs
L'industria della sicurezza deve affrontare sfide critiche nell’impegno di condivisione delle informazioni sulle minacce, non solo tra i vari prodotti e produttori, anche all'interno dei portafogli degli stessi vendor. La collaborazione è potere. Affrontare queste sfide determinerà l'efficacia dei team di sicurezza informatica per automatizzare il rilevamento e orchestrare le risposte, e, infine, spostare l'ago della bilancia sicurezza informatica a favore dei difensori. Gli attaccanti sono sempre più sofisticati e in grado di eludere le difese, e i sistemi a silos lasciano entrare minacce che sono stati fermati altrove perché non condividono le informazioni. La condivisione delle informazioni sulle minacce ci permette di imparare dalle reciproche esperienze, approfondire la conoscenza sulla base di più attributi in modo da tratteggiare un quadro più completo del contesto degli eventi informatici.