Cybersecurity proattiva e reattiva: cosa è più importante?
Oggigiorno le vulnerabilità della sicurezza rappresentano una sfida seria per molte organizzazioni. Ora che le risorse di sicurezza sono sempre più limitate nella maggior parte delle organizzazioni, le reti in rapida espansione ed evoluzione possono rappresentare di per sé una sfida.
Se fai parte di un dipartimento IT in qualsiasi organizzazione, probabilmente hai avuto a che fare con una raffica di meccanismi di difesa della rete. Probabilmente hai impostato alcuni strumenti in grado di individuare gli insider canaglia e aggiunto vari filtri e blocchi per impedire ai dipendenti di fare clic su collegamenti sospetti.
Ma nel caso qualcosa vada storto, hai un piano d'azione adeguato per affrontare la minaccia. Sai esattamente quali procedure seguire e chi contattare per il ripristino di emergenza. Una volta che la minaccia è stata risolta, tu e gli altri membri del team IT siete pronti per condurre un'indagine forense sulla questione.
In retrospettiva, per riassumere, avevi in atto meccanismi di difesa adeguati, sei stato in grado di rilevare la minaccia una volta che la tua rete è stata compromessa e in seguito hai neutralizzato la minaccia. Questo approccio è puramente reattivo. La maggior parte delle organizzazioni oggi lavora sul modello di sicurezza informatica reattiva. Questo tipo di approccio consiste sostanzialmente nel reagire a una minaccia una volta che il campanello d'allarme suona.
Ma la domanda principale è: la sicurezza informatica reattiva funziona anche oggi?
Beh, in tutta onestà, sì!
L'autenticazione a più fattori, i programmi antivirus, i firewall e i programmi di prevenzione delle minacce sono tutti progettati per affrontare le minacce alla sicurezza una volta che si verificano. Se intenzionalmente indebolisci i tuoi livelli di sicurezza, rimarrai sorpreso dalla rapidità con cui tutto può andare storto.
Quando si affrontano minacce note che si esplicano in modi prevedibili, le strategie di sicurezza reattive possono essere più che adeguate. Ma per le vulnerabilità zero-day, le nuove minacce alla sicurezza informatica emergenti e il panorama delle minacce in continua evoluzione, la sicurezza informatica proattiva è l'approccio giusto.
Ma questa è solo la mia opinione basata sulla mia esperienza nel settore della sicurezza informatica. Per avere una prospettiva molto più ampia sulla questione, ho collaborato con esperti di sicurezza informatica per aiutarti a comprendere i vantaggi della sicurezza informatica proattiva rispetto a quella reattiva.
In questo articolo potrai conoscere le differenze tra approcci proattivi e reattivi alla sicurezza informatica e le opinioni degli esperti del settore della sicurezza informatica.
Scegliere tra sicurezza informatica proattiva e reattiva
Secondo un rapporto del 2018, il 67% delle piccole imprese è stato preso di mira da un attacco informatico in un determinato momento. Il costo medio di questi attacchi è stato di gran lunga superiore a $ 380.000. Avanti veloce fino al 2020 e il costo medio di una violazione dei dati dovrebbe raggiungere i 150 milioni secondo Juniper Research.
Sono tutte statistiche abbastanza allarmanti.
Alla fine della giornata, tutto si riduce a quale approccio è meglio per la tua azienda. La tua azienda dovrebbe scegliere una sicurezza informatica proattiva o reattiva?
Bene, come ho detto prima, la sicurezza informatica reattiva è ancora importante. Anche se si considera il fatto che c'è un attacco hacker ogni 39 secondi, un approccio reattivo è comunque una soluzione praticabile. Ma non puoi anche minare l'importanza di una sicurezza informatica proattiva per affrontare le minacce emergenti.
Quindi la risposta breve è: la tua organizzazione dovrebbe mirare a entrambi. Per garantire che la tua azienda sia pronta a gestire efficacemente i rischi di sicurezza informatica, è necessaria una combinazione di sicurezza informatica proattiva e reattiva. Ecco le principali differenze tra i due approcci.
Sicurezza informatica reattiva
Come accennato in precedenza, la maggior parte delle aziende al giorno d'oggi utilizza già la sicurezza informatica reattiva. La sicurezza informatica reattiva implica fondamentalmente l'implementazione di meccanismi di difesa per contrastare gli attacchi comuni e dare la caccia agli hacker che hanno compromesso la sicurezza della tua rete. In genere, l'arsenale di sicurezza informatica reattiva di un'azienda comprende:
- Programma antivirus
- Firewall
- Protezioni con password
- Filtri antispam
- Ad-blocker
L'approccio reattivo è fantastico. Può impedire a entità dannose di causare troppi danni. Tuttavia, il problema è che la maggior parte delle aziende si affida esclusivamente a strategie reattive come mezzo di meccanismo di difesa primario. Ma nel nostro panorama tecnologico in continua evoluzione, questo non è abbastanza. È qui che la sicurezza informatica proattiva gioca il suo ruolo.
Sicurezza informatica proattiva
Rispetto alla sicurezza informatica reattiva, un approccio proattivo alla sicurezza informatica impedisce innanzitutto che si verifichi un attacco. Quando adotti l'approccio proattivo, la tua azienda può identificare efficacemente le vulnerabilità nel tuo sistema prima che chiunque possa sfruttarlo. In genere, un'azienda che segue la strategia proattiva implementa le seguenti SOP.
- Caccia agli insetti
- Ampio monitoraggio della rete
- Hacking etico
- La formazione dei dipendenti
- audit di sicurezza indipendenti.
In un esempio del mondo reale, la sicurezza informatica proattiva può essere paragonata all'essere consapevoli dei propri suoni quando si esce. Devi stare attento a chiunque possa farti del male o derubarti. Concentrarti sul linguaggio del corpo di qualcuno può aiutarti a capire l'intento delle persone intorno a te.
Ma nel caso accadesse qualcosa, la tua priorità sarebbe chiamare le forze dell'ordine e valutare il danno. Questo è fondamentalmente ciò che è la sicurezza informatica reattiva. Quindi quello che abbiamo capito finora è che la migliore pratica di sicurezza informatica per qualsiasi azienda è quella di adottare una sicurezza informatica sia proattiva che reattiva, non solo una.
Cybersecurity proattiva vs reattiva: opinioni di esperti
Per avere una prospettiva molto più ampia sull'argomento, ho contattato esperti del settore per vedere cosa avevano da condividere. Quindi, senza ulteriori indugi, ecco le risposte che ho ricevuto.
Nancy Sabino — CEO e co-fondatrice di SabinoCompTech
È un dolore assoluto spazzolare, usare il filo interdentale, il collutorio almeno due volte al giorno e vedere il dentista ogni sei mesi ma è assolutamente necessario a meno che tu non voglia affrontare il dolore della cavità e pagarne la cura. La sicurezza informatica è la stessa. È doloroso essere proattivi al riguardo, ma è assolutamente necessario ridurre al minimo il rischio ed evitare o ridurre il tipo di dolore che deriva dall'invasione dei sistemi, dal furto di informazioni sensibili, dal controllo del danno reputazionale e dalle perdite finanziarie dovute a cause legali o sanzioni normative.
Ci sono così tanti strumenti diversi ora disponibili per essere proattivi sulla sicurezza informatica che non è più una scusa. L'utilizzo degli strumenti giusti per mettere in atto blocchi, serrature e altri meccanismi di sicurezza non solo ridurrà il rischio di esposizione, ma assicurerà anche che tu stia rispettando ciò di cui le politiche di responsabilità informatica richiedono di essere responsabile affinché la loro politica possa coprirti. Ciò a cui si riduce è essere proattivi nelle pratiche di sicurezza informatica non solo per il business intelligente, ma anche per responsabilità.
Brad Snow — Co-fondatore Tech Exec Roundtable
Ecco cosa ha da suggerire Brad, uno specialista di cloud computing. Se la tua strategia è una sicurezza informatica reattiva, non è sicurezza, sarebbe il recupero dei dati. Una sicurezza informatica efficace è implicitamente proattiva. Se è reattivo, ora stai parlando di approcci per il recupero dei dati o per effettuare chiamate alla tua compagnia di assicurazione sulla responsabilità informatica per assicurarti di essere coperto dalle inevitabili perdite finanziarie.
Braden Perry — Partner KENNYHERTZ PERRY, LLC
Braden, che è un avvocato per la sicurezza informatica, ha da dire sulla sicurezza informatica proattiva e reattiva. Se la foresta diventa troppo fitta per vedere gli alberi e il tono in alto (cioè il CISO) consente all'azienda di diventare reattiva, il che significa che non anticipa i problemi ma aspetta che sorgano problemi e quindi agisce o reagisce. Questo porta alla miopia, guardando al breve termine e non focalizzata su obiettivi a lungo termine. Ciò si oppone all'approccio proattivo e lungimirante, non solo nell'anticipare i problemi che potrebbero sorgere, ma nell'avere direzioni e obiettivi chiari.
Sounil Yu — CISO-in-Residence presso YL Ventures
Una buona sicurezza proattiva è come i freni di un'auto. Una buona sicurezza reattiva è come gli airbag. Tuttavia, se non hai i freni su un'auto, avrai bisogno di molti airbag.
Trish Stukbauer — Fondatore di CCCS
Trish, che è la fondatrice di una società di comunicazioni di crisi, ha detto questo. Diciamo sempre ai clienti che è una questione di quando, non se, la loro organizzazione cadrà preda di un attacco informatico. Il modo in cui vengono percepiti come reagiscono a quell'attacco fa la differenza in quanto velocemente, e anche se, recuperano la fiducia dei clienti, dei donatori, del pubblico e dei media.
La chiave per sopravvivere a un potenziale attacco da parte dei media e dei clienti è adottare un approccio proattivo e disporre di un piano di comunicazione in caso di crisi. Viviamo secondo il vecchio adagio militare: una corretta pianificazione impedisce prestazioni scadenti. Avere un piano di comunicazione in atto impedisce a un dirigente o dipendente casuale di divulgare informazioni sensibili o semplicemente dire qualcosa che inavvertitamente peggiora la situazione.
Nick Santora — CEO e fondatore di Curricula
Nick ha trascorso quasi sette anni lavorando come specialista della sicurezza informatica per la protezione delle infrastrutture critiche (CIP) per la North American Electric Reliability Corporation (NERC). È anche un Certified Information Security Auditor (CISA) e un Certified Information Systems Security Professional (CISSP).
Ecco cosa ha da dire Nick. Il problema è che la maggior parte della formazione sulla sensibilizzazione alla sicurezza è ricca di termini tecnici, linguaggio legale e contenuto secco noioso. Pensa all'ultima "presentazione di PowerPoint" che hai dovuto affrontare. La maggior parte dei dipendenti si ritira e cerca di completare semplicemente la formazione richiesta il più rapidamente possibile. Non è molto utile quando ti affidi a loro per proteggere la tua organizzazione dagli attacchi informatici. Perché avere un programma di sensibilizzazione alla sicurezza se non è efficace?
Quindi il problema non è la mancanza di informazioni sull'argomento della sicurezza informatica, ma come possono i leader tecnologici cambiare la prospettiva di queste informazioni in modo che i dipendenti imparino effettivamente dalla formazione. Come puoi rendere la formazione divertente, facilmente riconoscibile e far applicare ai dipendenti il pensiero critico?
Ilia Sotnikov — Vicepresidente della gestione dei prodotti di Netwrix
Ilia Sotnikov, un esperto esperto di sicurezza delle informazioni, ha detto questo. Un approccio reattivo alla sicurezza informatica significa che ti concentri principalmente sulle misure che ti aiutano a proteggere il tuo ambiente IT dagli incidenti di sicurezza. Sebbene sia una parte essenziale di qualsiasi strategia di sicurezza, sono certo che la protezione non sia il tuo obiettivo principale. Ancora più importante, è necessario collegare le pratiche di sicurezza ai rischi organizzativi e scegliere misure che consentano alla tua attività di continuare a funzionare nonostante gli eventi informatici avversi. E la sicurezza proattiva ti aiuterà in questo.
Un approccio proattivo significa che sai esattamente quali attività degli hacker rappresentano la minaccia maggiore in questo momento, quali sistemi e dati sono più critici nella tua organizzazione e quali risorse richiedono le misure di sicurezza più efficaci. Inoltre, significa che ti concentri allo stesso modo sulle capacità di protezione, rilevamento, risposta e ripristino, il che rende più facile adattare la tua strategia di sicurezza IT al mutevole panorama delle minacce informatiche. Di conseguenza, puoi stare al passo con gli hacker, affrontare le minacce informatiche in modo più efficace e garantire la continuità aziendale in ogni caso.
Heather Paunet — Vicepresidente della gestione dei prodotti presso Untangle
Quando si tratta di sicurezza della rete e di essere proattivi contro gli attacchi informatici, la creazione di una checklist standard per la manutenzione mensile può facilitare l'audit approfondito condotto annualmente. Ogni mese, gli amministratori di rete dovrebbero eseguire regolarmente il backup di tutti i dati, mantenere aggiornati i plug-in e le patch del software, incoraggiare i dipendenti a modificare le password regolarmente e monitorare dispositivi e applicazioni, tenendo traccia dell'utilizzo dei dati o dei punti deboli della larghezza di banda.
Per le aziende che si trovano sul lato reattivo della sicurezza informatica, ci sono alcuni primi passi chiave che qualsiasi team IT può implementare. Il primo passo è assicurarsi che tutti i dipendenti cambino le loro password in account business-critical. Ciò creerà una tabula rasa di accesso e sarà in grado di dissuadere qualsiasi accesso non autorizzato dall'entrare ulteriormente nella rete. Il passaggio successivo consisterà nell'iniziare a segmentare l'accesso alla rete in base al reparto, al titolo o ad altre informazioni. Molte aziende lasciano inavvertitamente file critici aperti a tutti i dipendenti e questo può essere un rapido passo falso lungo il percorso della violazione dei dati. Quando si reagisce a una minaccia o violazione della sicurezza informatica, è particolarmente importante comunicare chiaramente i vantaggi di queste politiche di sicurezza informatica e garantire che i dipendenti pratichino un'igiene informatica sicura mentre il team IT affronta eventuali vulnerabilità.
Courtney H. Jackson — Fondatrice/CEO di Paragon Cyber Solutions, LLC
Il vantaggio della sicurezza informatica proattiva rispetto a quella reattiva è spesso la differenza tra la protezione dei dati e l'essere hackerati. Molte aziende non investono nella sicurezza informatica come dovrebbero fino a quando non sono cadute vittime di un crimine informatico, che è troppo tardi. Adottando un approccio proattivo, le aziende stanno eseguendo la due diligence necessaria per proteggere i propri dati, identificare potenziali minacce e vulnerabilità e implementare controlli adeguati per affrontare tali elementi che riducono significativamente il rischio di esposizione.
Michael Oh — Presidente di TSP LLC
Il più grande vantaggio della sicurezza informatica proattiva è che in molti casi, se sei stato violato, è una corsa contro il tempo per l'attaccante per ottenere un punto d'appoggio più sostanziale o ottenere dati preziosi dalla tua rete. Se hai preparato playbook sulla reazione a una violazione informatica, le persone comprendono il loro ruolo nel mitigare una violazione e hai già provato o esercitato per un evento del genere, è più probabile che tu riesca a respingere un attacco prima che qualcuno possa farlo arrecare danni significativi alla tua attività.
Erik Kangas – CEO, Scienza della luce
La sicurezza informatica proattiva si concentra sulla colmare le lacune e le debolezze nei sistemi prima che vengano sfruttate; focus reattivo sulla risposta agli incidenti di sicurezza dopo che si sono verificati. Il costo della sicurezza proattiva è di gran lunga inferiore al costo della gestione di violazioni e problemi. La sicurezza proattiva funziona anche in base alla tua pianificazione temporale, rispetto alla sicurezza reattiva in cui devi abbandonare tutto e lavorare sotto una grande pressione di tempo sulla pianificazione degli aggressori.
Uri May — C o-fondatore e CEO di Hunters<\/a>
Il panorama odierno di rilevamento e risposta alle minacce conosce diverse sfide:
- Le superfici di attacco si stanno moltiplicando poiché gli aggressori utilizzano vari ambienti IT e piattaforme organizzative
- Il rilevamento è un processo imperfetto guidato dall'uomo, che non è scalabile per superare gli attacchi odierni: gli analisti SOC che utilizzano soluzioni SIEM sono limitati nella loro capacità di captare segnali più deboli o gli aggressori che cercano di mimetizzarsi nel rumore (e questo è principalmente cosa fanno oggi). In particolare, rende il rilevamento di attacchi che sembrano attività benigne davvero non scalabile, perché crea molti falsi positivi. Insieme alla varietà di origini dati e ai volumi di avvisi, i team SOC sono sopraffatti.
- Inoltre, il talento umano per la sicurezza informatica è molto scarso. Anche quando le persone di talento vengono assunte e mantenute, sono comunque persone che vanno durante le vacanze di Natale o devono lavorare da remoto durante una pandemia mondiale. Inoltre, mancano di competenze di dominio complete ed è improbabile che padroneggino tutte le superfici di attacco: cloud, rete, endpoint. Ciascuno richiede la propria esperienza di dominio e viene utilizzato in modo diverso dagli aggressori.
L'unico modo non solo per abbinare, ma anche per sorpassare gli attaccanti, è essere proattivi: non possiamo permetterci l'attesa di essere reattivi. Gli attaccanti non sono mai reattivi.
Ma essere proattivi è un eufemismo; per avere successo, il rilevamento deve essere proattivo in modo rapido e scalabile. L'unico modo per farlo è utilizzare la potenza della macchina e ogni bit di dati dell'organizzazione in modo interconnesso, proprio come fa un utente malintenzionato.
Chelsea Brown — CEO e fondatore di Digital Mom Talk
Quando si verifica un attacco informatico, in 6 mesi il 60% delle aziende dichiara fallimento. Ciò non è dovuto al costo di riparazione o riparazione e all'aumento della sicurezza digitale. L'azienda dichiara bancarotta a causa delle altre conseguenze associate agli attacchi informatici che non prevedono e per cui non sono preparati. La maggior parte delle aziende che subiscono un attacco informatico devono affrontare azioni legali, multe statali e federali, danni alla reputazione e perdita di attività a causa di attacchi informatici. Questi costi ammontano a più del costo di installazione e mantenimento di pratiche, procedure e dispositivi di sicurezza aggiornati.
Michael Rotondo — Socio Fondatore, Settore Silent
La sicurezza informatica è spesso definita con due opzioni. Puoi mantenere una difesa proattiva fortemente basata sul rischio e progettata per impedire che accadano cose brutte o una difesa reattiva che si basa sulla convinzione che accadranno cose brutte e che è meglio avere un modo per affrontarle. Sebbene entrambi abbiano i loro pregi, in realtà la soluzione migliore è una combinazione delle due metodologie. La maggior parte delle decisioni sulla sicurezza, come l'IT, le decisioni, si basano generalmente su 3 fattori. Questi sono il budget, la comprensione dell'argomento e la disponibilità delle risorse.
La domanda non è: puoi contrastare la sicurezza informatica proattiva e quella reattiva. Piuttosto la domanda è: qual è l'equilibrio tra le misure reattive e proattive necessarie per mantenere l'impresa al sicuro?
Una combinazione delle due metodologie è necessaria per una postura di difesa completa. In modo proattivo avrai bisogno di processi, criteri e standard per assicurarti di essere sicuro e conforme, ma per avere una posizione di sicurezza completa devi assicurarti di avere capacità reattive quando si verificano attività dannose. Ad esempio, potresti avere una soluzione endpoint che esegue automaticamente il sandbox del computer di un utente quando fa clic su un'e-mail di phishing o scarica malware. Per quanto riguarda coloro che pensano di non avere nulla che qualcuno vorrebbe rubare, continueremo a dire una preghiera, accendere candele e sperare per il meglio.
Itay Yanovski — SVP Strategy e co-fondatore di Cyberint
In sostanza, essere proattivi riguardo alla sicurezza informatica significa mitigare la minaccia piuttosto che reagire all'incidente. Per essere in grado di agire sulla minaccia è necessaria l'intelligence sulle minacce, che in definitiva determina la differenza tra essere reattivi e proattivi. Un buon esempio dell'adozione di un approccio proattivo per proteggere i sistemi dell'organizzazione è la creazione di dati di intelligence sulle minacce per la ricerca delle minacce.
La caccia alle minacce è il processo di ricerca attiva di segnali di compromissione all'interno dei sistemi aziendali. Per essere efficace, devi concentrarti sulla caccia alle minacce sugli strumenti, le tattiche e le procedure (TTP) che utilizzeranno gli aggressori. Questa ricerca basata su ipotesi richiede una profonda comprensione sia del TTP che del tuo specifico panorama di minacce, identificando essenzialmente chi ti attaccherà e come. Includere la caccia alle minacce proattiva basata sull'intelligence nel tuo programma di sicurezza informatica può aumentare le tue possibilità di evitare una violazione e ridurre al minimo il tempo di rilevamento e di risposta, in caso di violazione. La mancata assunzione di un approccio proattivo può rivelarsi, in caso di violazione, costoso dal punto di vista finanziario e avere un impatto negativo sulla reputazione del marchio.
Daniel William Carter — Consulente per la sicurezza informatica presso IDStrong
Per implementare una strategia di sicurezza informatica completa, sono necessari entrambi. Rispetto a quella reattiva, una strategia di sicurezza informatica proattiva ti aiuta a prevenire e/o ad essere più preparato una volta che si verifica l'hacking. In questo modo ti assicuri di essere più preparato. Inoltre, mentre si tratta di una strategia proattiva, i membri del tuo staff sono più istruiti sull'igiene informatica. Puoi essere certo che l'hacking non avvenga mentre lavori con dipendenti altamente competenti.
Le aree ad alto rischio e deboli sono più evidenti per gli imprenditori. Il monitoraggio in tempo reale offre una visione completa delle possibili minacce. L'approccio proattivo rafforza la difesa dell'azienda e aumenta anche le possibilità di un attacco zero-day. Per funzionare in modo efficace, ha bisogno di un impegno a lungo termine. Per le grandi aziende che salvaguardano set di dati sostanziali, preziosi e in continua crescita, la prospettiva di una sicurezza informatica proattiva è sempre più interessante.
Chase Norlin — CEO di Transmosis
Un approccio proattivo vs reattivo è sempre più prezioso poiché la tecnologia, in particolare, l'IA consente alle aziende di sicurezza informatica di impegnarsi nella caccia attiva delle minacce basata su comportamenti insoliti. Questo è notevolmente diverso dalla
reazione a un avviso. In una posizione proattiva, gli analisti della sicurezza informatica possono mitigare potenziali scenari di minaccia molto prima che si verifichino, poiché più attacchi informatici hanno durate più lunghe e sono di natura strategica.