Come superare i bug nel sistema operativo
Buongiorno cari lettori, oggi parleremo di quali inefficienza ha un sistema operativo.
La diversificazione è spesso incoraggiata nell'investire per gestire il rischio. La logica: se i vostri investimenti falliscono, avrete dei ripiegamenti, poiché è altamente improbabile che falliscano tutti allo stesso tempo. Questa logica vale anche per la sicurezza informatica? La risposta è no.
Tuttavia, molti ricorrono ancora a diverse soluzioni di cybersecurity di diversi fornitori. Le imprese possono ancora non rendersi conto dell'errata concezione di superiorità nella diversità nel contesto della sicurezza.
Complessità e inefficienza
Immaginate di eseguire un software separato per la protezione antivirus, un altro per la scansione delle e-mail, un altro ancora per la rimozione dello spyware e così via. Per le imprese possono essere impiegate anche soluzioni separate per il rilevamento e la risposta degli endpoint (EDR), l'analisi comportamentale degli utenti (UBA) e l'analisi del traffico di rete (NTA).
Mentre alcuni possono pensare che la combinazione di soluzioni di vari fornitori porti il meglio del meglio per la protezione dell'impresa, la realtà è che si traduce in una configurazione meno che formidabile.
Per prima cosa, è molto probabile che ci sia una ridondanza di funzioni. La maggior parte degli antivirali, ad esempio, è dotata di una moltitudine di funzioni tra cui la scansione delle e-mail, la gestione delle password e persino la scansione dei link. Non sarà facile conciliare funzioni contrastanti.
Quali devono essere disattivati (se possono essere disattivati)? Quali devono poter continuare a funzionare? È possibile far funzionare contemporaneamente funzioni simili?
Aggiungete a queste il diluvio di allarmi di sicurezza. È già travolgente avere un flusso apparentemente infinito di notifiche provenienti dalle attuali soluzioni di sicurezza come l'EDR. Invece di ottenere un migliore rilevamento e prevenzione delle minacce, l'esecuzione di funzioni di sicurezza simili può portare a conflitti di sistema e a un carico di informazioni inutili.
Può creare inefficienze e un falso senso di sicurezza a causa dell'errata convinzione che se un livello di protezione simile fallisce, un altro potrebbe essere in grado di rilevarlo e affrontarlo.
Questa situazione viene definita come "difesa con profondità inadeguata", una delle tre pratiche di sicurezza della rete che i CISO dovrebbero evitare secondo un post approfondito su Gartner.
"Questo approccio è spesso frainteso nel senso di "utilizzare più fornitori" o di preferire un approccio migliore per tutte le soluzioni. Questo approccio può favorire l'under-engineering se c'è una mentalità che 'altri livelli ci proteggeranno'", suggerisce la guida di Gartner.
Costo ingiustificabile
Oltre ad essere inefficiente dal punto di vista operativo, la sicurezza multi-vendor può anche essere più costosa perché un'azienda è costretta ad acquistare interi pacchetti di protezione con possibili funzioni ridondanti. Inoltre, quando non è possibile integrare le diverse soluzioni di sicurezza, aumenta l'onere amministrativo del sistema e il siloing delle informazioni.
Nessuno studio sostiene l'idea che sia conveniente utilizzare diverse soluzioni di sicurezza di più fornitori. Tuttavia, la maggior parte degli analisti della sicurezza concordano sul fatto che non ci sono motivi convincenti per preferire l'utilizzo di più prodotti di sicurezza di diversi fornitori.
Neil MacDonald, membro del team di ricerca sulla sicurezza delle informazioni e la privacy di Gartner, ha questo da dire:
"DID (Defense-in-Depth) non significa dover acquistare molte soluzioni puntiformi da molti fornitori diversi per affrontare ogni nuova minaccia. I fornitori di sicurezza potrebbero volerlo. Noi non lo vogliamo. Non possiamo non farlo in questo anno di budget ristretti".
Cosa fare?
Molto è cambiato nel campo della sicurezza informatica dopo decenni di evoluzione. Prima, avere un antivirus era considerato adeguato. Poi è arrivata la necessità di un antivirus di nuova generazione. Successivamente, man mano che gli endpoint sono diventati i bersagli preferiti, sono emerse le soluzioni Endpoint Detection and Response (EDR) insieme a UBA, NTA, nonché l'analisi e la prevenzione degli inganni.
Quando l'EDR iniziò a diventare meno che adeguato, fu introdotto l'XDR (Extended Detection and Response). Conosciuto anche come Cross Detection and Response, XDR è una soluzione di sicurezza che unifica gli aspetti di rilevamento, indagine, rimedio e prevenzione della risposta alle minacce informatiche. Fornisce un'unica piattaforma per la gestione di una vasta gamma di minacce o attacchi.
Inoltre, XDR integra l'automazione e l'intelligenza artificiale per contestualizzare i registri di sicurezza. Questa funzione facilita l'identificazione di eventi di sicurezza importanti che richiedono una risposta urgente. Alcune piattaforme XDR dispongono anche di strumenti di rimedio e di risposta agli incidenti pre-costruiti per facilitare la risoluzione più rapida dei problemi rilevati.
Come dimostrato da un whitepaper SolarWinds [PDF] sulla generazione dei log di sicurezza, è facile avere un problema di sovraccarico degli allarmi di sicurezza. Un'organizzazione con un migliaio di dipendenti può avere più di 20.000 eventi di sicurezza al secondo o milioni al giorno, il che comporta un numero simile di notifiche di sicurezza. Esaminare tutti questi eventi non è solo noioso. Crea anche l'opportunità che le minacce gravi non vengano rilevate.
spero che questo articolo vi sia piaciuto noi ci vediamo ad un prossimo articolo.
