Proteggere la cyber kill chain

Riconosciamo che le agenzie federali affrontano un’ampia gamma di minacce informatiche nell’attuale ambiente di lavoro ibrido e cloud, rendendo così necessaria la protezione di più endpoint. Dagli stati nazionali ai gruppi di criminalità organizzata, gli avversari cercano di rubare dati ai massimi livelli governativi e la posta in gioco non è mai stata così alta. La protezione delle informazioni sensibili, la garanzia della sicurezza nazionale e la salvaguardia della fiducia del pubblico dipendono tutti da strategie efficaci di sicurezza informatica.

Uno strumento ampiamente riconosciuto per comprendere e mitigare queste minacce è la cyber kill chain. Inizialmente sviluppato da Lockheed Martin, questo modello è diventato uno strumento fondamentale per identificare, rilevare e difendersi dagli attacchi informatici. Questo blog spiega come mitigare le minacce quotidiane per le agenzie federali mentre continuano a proteggere le loro reti sfruttando l’approccio della cyber kill chain.

Comprendere la cyber kill chain

La cyber kill chain è un modello che delinea i vari passaggi di un attacco informatico, dalla ricognizione all’azione. Comprendendo ogni fase, le agenzie federali possono identificare opportunità per rilevare e interrompere le attività avversarie prima che raggiungano i loro obiettivi. Le sette fasi della cyber kill chain sono le seguenti:

1. Ricognizione
   
2. Armamento
   
3. Consegna
   
4. Sfruttamento
   
5. Installazione
   
6. Comando e controllo
   
7. Azione

Mettere in sicurezza la cyber kill chain richiede azioni difensive in tutte le fasi di un attacco informatico. Man mano che le superfici di attacco continuano ad aumentare, gli avversari cercano costantemente i nostri dati e mirano a utilizzarli in modo dannoso. Non si limitano a rubare i nostri dati: vogliono manipolarli. Per rimanere al passo con le minacce, le agenzie devono proteggere i propri dati a ogni livello per interrompere la catena di attacchi. Di seguito sono riportate alcune strategie per proteggere la cyber kill chain.

Adottare un framework di sicurezza zero-trust

Mentre le agenzie continuano ad adottare un framework di sicurezza zero-trust, che opera sul principio "mai fidarsi, verificare sempre", i modelli di sicurezza tradizionali danno per scontato che gli utenti e i dispositivi all’interno della rete siano affidabili. La zero-trust non concede fiducia automatica a nessun utente, dispositivo o sistema. Al contrario, ogni richiesta di accesso deve essere autenticata, autorizzata e continuamente convalidata in base a rigorose politiche di sicurezza.

Inoltre, una volta effettuato l’accesso alla rete, gli utenti dovrebbero disporre della quantità minima di accesso alla rete necessaria per svolgere il proprio lavoro, e niente di più. Questo è noto come accesso con privilegi minimi. Implementando soluzioni che impongono rigorosi controlli di accesso, verificano le identità e segmentano continuamente le reti, le agenzie possono ridurre significativamente il rischio di un attacco, aiutando gli utenti a sentirsi più sicuri e protetti.

Proteggere l’integrità dei dati

La salvaguardia dell’integrità dei dati è fondamentale per qualsiasi organizzazione che gestisce informazioni sensibili, soprattutto quando si incorpora l’intelligenza artificiale (AI) nelle proprie operazioni.

Man mano che l’AI diventa più integrata nei processi decisionali, l’importanza di proteggere i dati che alimentano gli algoritmi di AI non può essere sottovalutata. L’integrità dei dati, che garantisce l’accuratezza, la coerenza e l’affidabilità dei dati durante l’intero ciclo di vita, è fondamentale. Qualsiasi compromissione dell’integrità dei dati può portare a risultati errati dell’intelligenza artificiale, causando errori decisionali e violazioni della fiducia. Ciò evidenzia i rischi significativi posti da minacce come l’accesso non autorizzato, la manipolazione dei dati e gli attacchi informatici, rendendo necessarie soluzioni avanzate di sicurezza informatica. È fondamentale mantenere un registro di chi accede ai dati protetti, quando lo fa e per quale scopo.

Implementare un monitoraggio continuo

Le agenzie federali dovrebbero continuare a migliorare le loro capacità con approcci di monitoraggio continuo per rilevare e rispondere alle minacce in tempo reale. Ciò può includere l’uso di piattaforme di intelligence sulle minacce per raccogliere informazioni sulle minacce emergenti, il monitoraggio di attività di rete insolite e il controllo delle risorse rivolte al pubblico, come siti web e social media, per individuare vulnerabilità o indicazioni che possano essere compromesse. Esistono anche soluzioni di sicurezza email in grado di rilevare e bloccare allegati e collegamenti dannosi prima che raggiungano gli utenti finali.

Più i sistemi sono privilegiati, con accesso a informazioni sensibili e la capacità di svolgere funzioni critiche, maggiori sono le misure di sicurezza necessarie per prevenire l’accesso non autorizzato e l’uso improprio. Gli esempi includono controller di dominio, server di servizi di database, server di posta elettronica e dispositivi di rete. Una soluzione di gestione degli accessi con privilegi (PAM, Privileged Access Management) aiuta le organizzazioni a proteggere password, credenziali, segreti e connessioni per ridurre il rischio di attacchi informatici e difendersi dalle minacce interne ed esterne.

Programmi regolari di formazione e sensibilizzazione

Il fenomeno dell’errore umano continua a rappresentare una vulnerabilità sostanziale. Il Verizon Data Breach Investigations Report 2024 rivela che il 68% delle violazioni è attribuito al coinvolgimento umano, causato principalmente da password, credenziali e segreti deboli. L’implementazione di una soluzione PAM come componente della strategia informatica riduce drasticamente la probabilità di violazioni della sicurezza. Tuttavia, la formazione continua e la vigilanza sui dati sensibili e il rispetto degli standard di sicurezza informatica sono sempre utili.

Fortunatamente, gli amministratori IT e gli alti dirigenti sottolineano la l’importanza fondamentale dell’implementazione dell’autenticazione a più fattori (MFA). L’MFA aumenta la sicurezza richiedendo un’ulteriore prova di identificazione prima di accedere ad un account.

Proteggere la cyber kill chain è un’impresa ardua che richiede una strategia multifattoriale. Questo metodo dovrebbe integrare tecnologie e soluzioni consolidate per mitigare i rischi precedentemente menzionati e garantire procedure di accesso rigorose. Le misure preventive e la comprensione delle fasi di un attacco informatico possono ridurre notevolmente il rischio e migliorare il livello di sicurezza informatica degli enti governativi. Data la continua evoluzione delle strategie dei nemici, il governo federale deve mantenere uno stato di vigilanza, adattabilità e resilienza costanti di fronte alle minacce informatiche. Adottando un approccio di questo tipo, i dipendenti possono salvaguardare i propri ambienti individuali, il che aiuta a proteggere la sicurezza dell’intera organizzazione e della nazione. Assicurati che i dati rimangano al sicuro. Mantieni i dati al sicuro. Tieni fuori i malintenzionati. Continua a proteggere.