Come il rilevamento e la risposta tempestivi possono fare la differenza.
Un esempio tipico tratto dal web per dimostrare quanto la rapidità di individuazione e risposta è importante per contenere i danni.
Profilo: Azienda manifatturiera con 2.000 dipendenti.
Esito 1 dell’incidente: uno o più computer dei dipendenti viene attaccato con successo.
L’attacco viene rilevato e contenuto tempestivamente (ad esempio, prima che l’aggressore sia riuscito a ottenere i diritti di accesso come amministratore).
Costi: I costi complessivi per le analisi forensi e il ripristino ammontano a circa 20.000 euro.
Esito 2 (alternativo) dell’incidente: nella stessa situazione, l’aggressore non viene individuato immediatamente e dunque non viene nemmeno contenuto tempestivamente, per cui è in grado di prendere piede nel sistema informatico dell’azienda, raggiungendo l’obiettivo finale dell’aggressore (ossia i diritti di amministrazione del dominio).
L’aggressore è in grado di decriptare informazioni ed estorcere denaro all’azienda in maniera totale.
Costi: La perdita complessiva per l’interruzione dell’attività (due settimane), il riscatto, il ripristino completo, le richieste di risarcimento da parte di terzi per i dati personali persi, ammonta a circa 20 milioni di euro (1.000 volte di più).
Un attacco individuato tempestivamente e contenuto può costare 20.000 €. Ma se l’intrusione non viene rilevata e si aggrava, i costi di interruzione dell’attività e di violazione che ne derivano possono facilmente raggiungere i 20 milioni di €.
L’autenticazione multifattoriale è stata una delle misure più efficaci negli ultimi anni, ma in prospettiva gli strumenti di rilevamento (ad esempio security operations center (SOC), security information and event management (SIEM), extended detection and response (XDR), sistemi di rilevamento delle intrusioni (IDS) e di prevenzione delle intrusioni (IPS)) saranno il prossimo passo logico in cui la maggior parte delle aziende dovrà investire.
La supervisione umana e il triage sono necessari anche per gestire la marea di avvisi, in genere condotti in un SOC. Il tempo è fondamentale quando si tratta di mitigare l’impatto di un incidente ransomware, poiché l’interruzione dell’attività e i costi di recupero si accumulano rapidamente una volta che gli hacker hanno criptato o rubato i dati.
Non si può proteggere ciò che non si vede. Se un’azienda presenta una falla non rilevata nella propria rete, questa è un potenziale tallone d’Achille. E se non si dispone di un’efficace rilevazione precoce, ciò può comportare tempi di inattività non pianificati più lunghi, un aumento dei costi e un maggiore impatto su clienti, ricavi e redditività. Il rilevamento precoce può anche essere più conveniente di un intervento a posteriori. Attualmente la maggior parte dei budget per la sicurezza informatica viene spesa per la prevenzione, mentre circa il 35% del budget è destinato al rilevamento e alla risposta. Tuttavia, l’efficacia delle capacità di rilevamento e risposta determina l’entità delle perdite. La tecnologia di rilevamento precoce è facilmente disponibile ed efficace. I sistemi di rilevamento sono in costante miglioramento e possono contenere di molto i possibili danni, riducendo i tempi di rilevamento e di risposta. Le violazioni che non sono state rilevate e arginate tempestivamente possono essere più enormemente più costose di quelle che sono state tempestivamente individuate, in un ordine di spesa che in passato è stato rilevato nell’ordine di grandezza addirittura 1.000 volte superiore a quello iniziale.
