Blog sulla sicurezza informatica e l’informazione dei sistemi

Andrea Biraghi, Cyber Security manager e direttore della divisione Security and information Systems, lavora da anni per il mantenimento della sicurezza dei sistemi informativi. In una società sempre più digitalizzata ed interconnessa è divenuto ormai indispensabile prendere atto delle minacce esistenti nella rete Internet: solo un costante impegno ed aggiornamento rendono possibile affrontare e combattere i Cyber criminali e riprendersi in fretta dalla loro violazioni. La posta in gioco è alta e la sicurezza dei servizi web è fortemente legata al nostro sviluppo economico: basti pensare al rapido aumento delle connessioni, degli utenti, l’aumento del valore di numerose transazioni effettuate attraverso le reti, la crescita delle imprese legate al commercio elettronico.

Tag: andrea biraghi cyber

cyber-security-falsi-positivi-andrea-biraghi

Cyber security: avvisi di sicurezza e falsi positivi, l’analisi di Fire eye

Cyber security e falsi positivi: si può migliorare l’analisi della sicurezza senza tradurla in migliaia o a volte milioni di avvisi al giorno che da soli non forniscono informazioni sufficienti?

La frase “falso positivo” suggerisce che ci sia un positivo che si è dimostrato falso. Tuttavia, come detto sopra, queste singole prove, senza contesto o correlazioni, non sono mai utilizzabili da sole. Per dimostare infatti che un allarme positivo, bisogna raccogliere, analizzare e contestualizzare le prove di supporto necessarie. Rispondere ai falsi allarmi – secondo una ricerca fornita dal Ponemon Institute – le organizzazioni sprecano in media 1,27 milioni di dollari ogni anno.

Dei 17.000 avvisi malware che un’organizzazione riceve ogni settimana, solo 3.230 sono considerati affidabili e solo 680 degli avvisi vengono effettivamente esaminati.

FireEye – Security Alerts: Stop the Noise

La società di cyber security Fire Eye nel rapporto “The Voice of the Analysts: Improving Security Operations Center Processes Through Adapted Technologies”, rileva che gli analisti stanno diventando “meno produttivi” a cauasa della diffusa “stanchezza degli avvisi” con conseguente allarme ignorato, aumento dello stress e paura di non rilevare minacce e di non poter prevenire gli incidenti. Ma nel rapporto vengono evidenziate anche le attività principali che gli stessi analisti ritengono sia meglio automatizzare per proteggere meglio i loro Centri operativi di sicurezza (SOC).

“Gli analisti della sicurezza sono sopraffatti da una marea di falsi avvisi positivi da soluzioni disparate, mentre crescono sempre più preoccupati di poter perdere una vera minaccia. Per risolvere queste sfide, gli analisti chiedono strumenti di automazione avanzati, come extended detection e response, che possano contribuire a ridurre la paura di incidenti mancanti rafforzando al contempo la sicurezza informatica del loro SOC.”

Chris Triolo, Vice President of Customer Success di FireEye.

Cyber Security: ridurre i falsi positivi

Gli intervistati hanno condiviso per il report gli strumenti principali che utilizzano per le loro analisi. Meno della metà utilizza tecnologie di intelligenza artificiale e machine learning (43%) ), strumenti soar (Security Orchestration Automation and Response), software SIEM (Security Information and Event Management) (45%) e altre funzioni di sicurezza.
Per ridurre l’affaticamento da “falsi positivi” e gestire i propri SOC, i team di sicurezza hanno bisogno di soluzioni automatizzate avanzate. Le soluzioni avanzate e meglio automatizzate permettono un rilevamento delle minacce più alto (18%), seguito dall’intelligence sulle minacce (13%) e dal triage degli incidenti (9%).

Il report di FireEye evidenzia che la maggior parte delle soluzioni di sicurezza informatica non distingue tra malware quotidiano e attacchi mirati avanzati. in questo modo gli avvisi importanti vengono confusi o persi con gli avvisi non importanti, consentendo agli attacchi di violare la sicurezza della rete.

Le procedure consigliate da FireEye sono:

  • Ridurre i falsi positivi e consolidare gli eventi correlati
  • Verificare, analizzare e fornire il contesto per gli avvisi
  • Allineare la sicurezza ai rischi aziendali
  • Assegnare priorità ed evidenziare gli avvisi importanti

Ci sono tuttavia delle soluzioni di sicurezza come software che raccolgono le singole prove, pesandole e analizzandole e contestualizzandole. Software che diminuisicono i falsi positivi collegando collega i punti di tutti i vari eventi di sicurezza, creando un quadro chiaro di una violazione.

Intelligenza-artificiale-e-Cybersecurity-andrea-biraghi-cyber

Intelligenza artificiale e Cybersecurity

Intelligenza artificiale (IA) e CyberSecurity comunicano già su più livelli: l’utilizzo di tecnologie come l’IA e l’apprendimento automatico è diventato oramai essenziale per proteggere le organizzazioni da attori malintenzionati, che stanno sempre più veloci, migliorano e raffinano le loro tecniche di attacco per arrivare ai loro obiettivi.

“I criminali che sono là fuori, stanno anche usando AI e ML per migliorare la loro capacità di creare malware”.

Bob Turner, chief information security officer presso l’Università del Wisconsin, Madison, durante il Security Transformation Summit di Fortinet.

L’intelligenza artificiale è un’enorme opportunità per l’uomo e il pianeta e altrettanto lo è implementare i suoi strumenti e il ML, rispondendo meglio così agli attacchi in arrivo e ottenere informazioni chiave su dove potrebbero essere i prossimi obiettivi.

Sul fronte della guerra cibernetica, le tecnologie emergenti continuano a svolgere un ruolo chiave e l’intelligenza artificiale (AI) non fa eccezione.

I cyber criminali utilizzano l’intelligenza artificiale per decifrare le password più velocemente: gli attacchi di forza bruta possono essere accelerati utilizzando il deep learning e così via. Vien da sè comprendere che la sicurezza informatica ne farà un uso sempre più massiccio, sfruttandone la potenza.

L’IA compare nei software antivirus che identificano i programmi con comportamenti insoliti, scansionano le e-mail scoprendo i tentativi di phishing e automatizzano l’analisi del sistema o dei dati di rete per garantire un monitoraggio continuo. Ciò nonostante tra molti giovani c’è una parte di preoccupazione per i mezzi di automazione, prcependoli come una minaccia per la sicurezza del lavoro. Come se analizzare e migliorare la sicurezza informatica non potesse essere più un problema a misura d’uomo.

“La preoccupazione per l’automazione tra i giovani professionisti della sicurezza informatica ci ha sorpreso. Nel tentativo di comprendere questo sentimento, potremmo in parte attribuirlo alla mancanza di formazione sul posto di lavoro utilizzando la tecnologia di automazione”.

Samantha Humphries, stratega della sicurezza presso Exabeam

Leggi anche: Intelligenza Artificiale quali rischi e quali opportunità?

Le dimensioni tra Intelligenza artificiale e Cybersecurity

Come avviene applicata l’IA nell’informatica? Normalmente vi sono due tipi di principale utilizzo:

  1. Utilizzo Offensivo da parte dei criminali informatici, per realizzare frodi o furti di idnetità, attacchi di phishing più credibili, oppure anche per sviluppare nuovo malware.
  2. Uso Difensivo: contro gli attacchi informatici, creando grandi quantità di infromazioni per identificare modelli ed anomalie

L’intelligenza artificiale e l’apprendimento automatico (ML) sono diventate tecnologie critiche nella sicurezza delle informazioni. La loro capacità va dal poter analizzare rapidamente milioni di eventi e identificare molti diversi tipi di minacce, al malware che sfrutta le vulnerabilità zero-day e all’identificazione di comportamenti rischiosi che potrebbero portare a un phishing attacco o download di codice dannoso.

Come l’uomo possono apprendere o “attingere” dal passato per identificare ora nuovi tipi di attacchi.

Andrea Birghi Ultime Notizie

Cyber Security Ultime Notizie: cyber attacchi e ransomware

Cyber Security Ultime Notizie: nel 2020 i cyber attacchi e gli incidenti aumenteranno. La notizia di CyberSecItalia si basa sulle previsioni per il prossimo anno della società di analisi. “Gli incidenti causati da attacchi ransomware cresceranno poichè tenere in ostaggio i dati è un percorso rapido verso la monetizzazione. Gli aggressori sempre più esperti, indirizzeranno i loro attacchi a dispositivi di consumo (e ai consumatori) a scapito dei produttori di dispositivi“.

Andrea Birghi Ultime Notizie

Attacco ransomware: LifeLabs paga il riscatto

Tra le ultime notizie che hanno accesso varie controversie c’è l’attacco subito dalla canadese LifeLabs. La portata dell’attacco ransomware in Novembre ha portato l’azienda a pagare il riscatto per proteggere i dati sensibili di circa 15 milioni di utenti. LifeLabs esegue infatti ogni anno milioni di test di laboratorio e il bottino dei criminali informatici conteneva, oltre ai soliti nomi, indirizzi fisici, e-mail, password, date di nascita, i numeri di tessera sanitaria e i risultati dei test di laboratorio dei propri pazienti. La decisione di pagare il ricatto è così stata presa per poter rientrare in possesso delle informazioni sottratte evitando così divenissero pubbliche.

La storia di LifeLabs è piuttosto controversa, a partire dal fatto che non è la prima volta che un’azienda capitola di fronte ad un attacco ma soprattutto perhè la conseguenza potrebbe essere quella di incentivare atti emulativi.

In questi ultimi giorni però, gli sviluppatori di Maze, uno degli ultimi ransomware, hanno appunto pubblicato un sito dove per chi non cede alle estorsioni vedrà pubblicato la data dell’attacco, i nomi dei propri file, i volumi dell’archvio, l’indirizzo IP delle macchine attaccate e così via.

Cyber Security ultime notizie: la nuova variante della botnet GoldBrute

CyberSecurity360 ha pubblicato nei giorni scorsi tutti i dettagli tecnici e i consigli per mitigare i rischi di un possibile attacco della nuova variante della botnet GoldBrute che sta prendendo di mira i server RDP (Remote Desktop Protocol) in tutto il mondo: lo scopo è trasformarli in altri bot ai comandi dei criminali informatici. La pericolosa variante è stata scoperta in Italia dagli analisti di CybergON business unit di Elmec Informatica, che affermano che alcune parti di codice malevolo non ancora completamente operative.

Tutti i dettagli su: Cyber Security 360 – GoldBrute, la nuova variante della botnet ha già colpito 4 milioni di server RDP