Il problema non è l’attacco, ma il tempo di reazione.
Molti attacchi informatici oggi riescono a muoversi rapidamente all’interno dell’infrastruttura senza generare segnali evidenti nelle fasi iniziali. Molte aziende dispongono di EDR e sistemi di protezione perimetrale, tuttavia, quando si analizzano gli incidenti reali, emerge un dato ricorrente: il problema non è tanto bloccare l’attacco, quanto accorgersene in tempo.
Spesso l’attaccante riesce a muoversi all’interno della rete per ore, se non giorni, prima di essere individuato. Questo tempo — il cosiddetto dwell time — è ciò che determina l’impatto finale.
Troppi alert, poca visibilità.
Un altro elemento critico è la gestione degli alert. Gli strumenti di sicurezza generano un volume sempre crescente di segnalazioni, ma non tutte sono rilevanti, il risultato è che i team IT si trovano a gestire:
- alert non correlati;
- segnali difficili da interpretare;
- attività manuali ripetitive.
In questo contesto, il rischio non è solo non vedere un attacco, ma anche: non riuscire a distinguere ciò che conta davvero.
Dalla detection alla risposta: il vero gap.
Molte soluzioni si fermano alla rilevazione, segnalano un comportamento anomalo, ma poi lasciano al team IT il compito di:
- analizzare l’evento;
- capire la gravità;
- intervenire manualmente.
Il problema è che questo processo richiede tempo, competenze e risorse che spesso non sono disponibili in modo continuativo e nel frattempo, l’attacco prosegue.
Un approccio diverso: visibilità e risposta automatizzata.
Per ridurre davvero il rischio, è necessario un cambio di approccio, non basta rilevare: serve correlare, contestualizzare e rispondere in modo rapido. Le piattaforme XDR (Extended Detection and Response) nascono proprio con questo obiettivo: unificare la visibilità su endpoint, rete e utenti e automatizzare le azioni di risposta.
In questo scenario si inserisce Cynet, che integra detection e remediation in un’unica piattaforma, riducendo il tempo tra rilevazione e intervento.
Dal rilevamento alla risposta: dove si crea il vero rischio?
Scarica il white paper per comprendere come migliorare visibilità, correlazione degli eventi e capacità di risposta agli incidenti.
.png?width=825&height=385&name=Mock%20up%20%20magnet%20per%20Articolo%20(7).png)
Approfondimento: cosa succede davvero negli ambienti IT
Per comprendere meglio come questi scenari emergano nel quotidiano, abbiamo coinvolto un nostro specialista che opera costantemente su queste tematiche: Luca Zavalloni, SOC Analyst di T-Consulting.
.png?width=633&height=190&name=foto%20%20intervistato%20in%20articolo%20blog%20(12).png)
Negli ultimi mesi, quali sono i tipi di attacco più frequenti che hai visto nelle aziende? Ci sono dinamiche ricorrenti?
Negli ultimi mesi abbiamo riscontrato un aumento di attacchi o tentativi di attacchi tramite installazione di software di gestione PDF o browser. Questi software, che pubblicizzavano l’utilizzo di AI all’interno di essi, spesso potevano sembrare legittimi, ma erano utilizzati come punto di accesso ai sistemi per stabilire persistenza e attraverso movimenti laterali effettuavano comunicazioni HTTPS verso domini malevoli, utilizzando tecniche “miste” unendo comunicazioni legittime con C2 beaconing.
Quando analizzi un incidente, qual è il problema principale: la mancanza di strumenti o la difficoltà nel gestire ciò che già esiste?
Solitamente le difficoltà maggiori non sono tanto negli strumenti ma nella mancanza di procedure definite (IR Plan) e nella mancanza di conoscenza dell’infrastruttura a 360 gradi.
In base alla tua esperienza, quanto tempo passa mediamente tra l’ingresso di un attaccante e la sua individuazione?
Le tempistiche possono variare, nei casi più frequenti gli attacchi avvengono in momenti in cui solitamente l’infrastruttura non è presidiata, come ad esempio nel weekend, la notte o durante festività nazionali.
Quali sono gli errori più comuni nella gestione degli incidenti?
L’errore più comune nella gestione degli incidenti è la mancanza di organizzazione. Nella maggior parte dei casi si tende a dare priorità alla ripartenza e non all’analisi di ciò che è successo. Non effettuare una root cause analysis spesso porta ad avere attacchi reiterati nel tempo perché senza un’analisi di ciò da cui è scaturito l’attacco non è possibile andare ad effettuare una giusta remediation.
Dal tuo punto di vista, cosa cambia quando si passa da una gestione manuale a un approccio automatizzato alla risposta?
Si riesce a gestire in maniera più reattiva e automatizzata l’infrastruttura, riuscendo a gestire ed arginare minacce in tempi molto più brevi.
Quanto è importante avere una visibilità centralizzata sugli eventi di sicurezza?
È fondamentale perché ci permette di correlare eventi ed avere un quadro chiaro di cosa sta succedendo all’interno della propria infrastruttura.
Quali segnali indicano che un team IT sta faticando a gestire efficacemente detection e risposta agli incidenti?
Per quanto riguarda la parte di detection, se il team IT non ha una visibilità completa di ciò che accade all’interno di tutta l’infrastruttura. Oggi avere visibilità sui soli pc e server non è più sufficiente. Riguardo alla parte di risposta, se ci si trova a dover rispondere manualmente senza playbook automatizzati.
Se un’azienda volesse capire concretamente come migliorare la capacità di detection e risposta agli incidenti, qual è il modo più efficace per valutarlo nel proprio ambiente?
Si dovrebbe effettuare un’attività a step. In primis un’analisi sull’infrastruttura, capire cos’è presente e i ruoli dei vari asset sia a livello logico che a livello fisico. Una volta che si ha chiaro com’è strutturata l’infrastruttura, passerei ad un’analisi delle policy di sicurezza, degli strumenti utilizzati ed infine alla creazione di un IR plan, che dev’essere revisionato e validato nel tempo, anche con esercitazioni tabletop.
Conclusione
Oggi il tema non è più semplicemente “essere protetti”, ma essere in grado di:
- vedere ciò che accade realmente nell’infrastruttura;
- distinguere le minacce rilevanti;
- intervenire in tempi rapidi.
La differenza tra un incidente contenuto e uno critico sta spesso in pochi minuti ed è proprio qui che emerge il limite di molti approcci tradizionali: troppa complessità, troppa manualità, troppo tempo per reagire. Adottare un modello che integri visibilità e risposta automatizzata significa ridurre drasticamente questo gap e riportare il controllo nelle mani del team IT ma soprattutto significa capire concretamente cosa succede nel proprio ambiente e come intervenire in modo efficace.
Ti interessa capire come la soluzione di Cynet possa integrarsi nel tuo contesto IT? Parlane con il nostro team!
.png)