<\/p>\n
Mentre i confini politici dell'IT stanno diventando pi\u00f9 chiari (paesi come la Cina o la Russia stanno cercando di creare i loro ecosistemi che permettono un'indipendenza Internet<\/a>, servizi specializzati e software), il processo \u00e8 esattamente l'opposto nell'ambiente aziendale. I perimetri si stanno sempre pi\u00f9 dissolvendo nel dominio dell'informazione, causando gravi mal di testa per i manager della cybersecurity.<\/p>\n I problemi sono ovunque. I professionisti della cybersecurity devono affrontare le difficolt\u00e0 di lavorare in remoto con l'ambiente e i dispositivi non fidati, e con l'infrastruttura ombra - Shadow IT. Dall'altra parte delle barricate, abbiamo modelli di kill-chain sempre pi\u00f9 sofisticati e un attento offuscamento degli intrusi e della presenza in rete.<\/p>\n Gli strumenti standard di monitoraggio delle informazioni sulla sicurezza informatica non possono sempre dare un quadro completo di ci\u00f2 che sta accadendo. Questo ci porta a cercare altre fonti di informazione, come l'analisi del traffico di rete.<\/p>\n La crescita dello Shadow IT<\/p>\n Il concetto di Bring Your Own Device (dispositivi personali usati in un ambiente aziendale) \u00e8 stato improvvisamente sostituito da Work From Your Home Device (un ambiente aziendale trasferito su dispositivi personali).<\/p>\n Gli impiegati usano i PC per accedere al loro posto di lavoro virtuale e alla posta elettronica. Usano un telefono personale per l'autenticazione a pi\u00f9 fattori. Tutti i loro dispositivi sono situati a una distanza pari a zero da computer potenzialmente infetti o IoT<\/a> collegato a una rete domestica non fidata. Tutti questi fattori costringono il personale di sicurezza a cambiare i propri metodi e a volte si rivolgono al radicalismo di Zero Trust.<\/p>\n Con l'avvento dei microservizi, la crescita dello Shadow IT si \u00e8 intensificata. Le organizzazioni non hanno le risorse per dotare le postazioni di lavoro legittime di software antivirus e strumenti di rilevamento ed elaborazione delle minacce (EDR) e monitorare questa copertura. L'angolo buio dell'infrastruttura sta diventando un vero \"inferno\".<\/p>\n che non fornisce segnali su eventi di sicurezza delle informazioni o su oggetti infetti. Quest'area di incertezza ostacola significativamente la risposta agli incidenti emergenti.<\/p>\n Per chiunque voglia capire cosa sta succedendo con la sicurezza delle informazioni, il SIEM \u00e8 diventato una pietra miliare. Tuttavia, il SIEM non \u00e8 un occhio onniveggente. Anche la bufala del SIEM \u00e8 sparita. Il SIEM, a causa delle sue risorse e limitazioni logiche, vede solo le cose che vengono inviate all'azienda da un numero limitato di fonti e che possono anche essere separate dagli hacker.<\/p>\n Il numero di installatori maligni che utilizzano utility legittime gi\u00e0 presenti sull'host \u00e8 aumentato: wmic.exe, rgsvr32.exe, hh.exe e molti altri.<\/p>\n Di conseguenza, l'installazione di un programma maligno avviene in diverse iterazioni che integrano chiamate a utility legittime. Pertanto, gli strumenti di rilevamento automatico non possono sempre combinarli in una catena di installazione di un oggetto pericoloso nel sistema.<\/p>\n