Organizzazioni e aziende non sono in grado di identificare una gran parte del loro traffico di rete, secondo un recente studio commissionato da Sophos. Sono stati intervistati manager IT di Stati Uniti, Europa e Asia.
Uno studio commissionato da Sophos ha scoperto che il 45% delle aziende non può identificare chiaramente il proprio traffico di rete. Non si tratta solo di una piccola parte del traffico: il 70% non può essere definito più precisamente. Questo rende quasi impossibile un'efficace gestione della rete.
L'84% dice che questo rappresenta un serio rischio per la sicurezza. Considerando che gli attacchi informatici rallentano significativamente i processi nelle aziende, questo non è sorprendente. Se le aziende non sono in grado di allocare il loro traffico, applicazioni come ransomware e malware o altri processi dannosi come il furto di dati rimangono anche non rilevati. I firewall con rilevamento basato sulla firma non possono fornire una trasparenza sufficiente. Per questo, le tecniche di evasione dei criminali informatici e la grande versatilità del software maligno sono troppo confuse. Inoltre, il software e le tecniche cambiano costantemente per avere successo più e più volte.
La mancanza di visibilità può essere costosa
"Se non puoi vedere cosa sta succedendo sulla tua rete, non potrai mai essere sicuro che la tua organizzazione sia protetta dalle minacce", ha detto Dan Schiappa, vicepresidente senior e direttore generale dei prodotti di Sophos. "Mentre i governi di tutto il mondo si muovono per introdurre sanzioni più severe per il furto e la perdita di dati, sapere chi e cosa sta operando sulla propria rete diventa sempre più importante. Questo stato di cose non può più essere ignorato". La mancanza di visibilità e di identificazione del traffico può diventare ulteriormente costosa per le aziende quando contenuti illegali o inappropriati si fanno strada sulle reti condivise. Questo può portare a controversie e violazioni di conformità - senza che l'azienda ne sia a conoscenza.
Rimuovere i computer aziendali infetti richiede una quantità di tempo non trascurabile. Per esempio, le organizzazioni impiegano una media di sette giorni lavorativi al mese per eliminare 16 macchine infette. Le aziende più piccole con 100-1.000 utenti hanno una media di 13 dispositivi al mese che si liberano del malware in cinque giorni lavorativi. Le aziende più grandi con un massimo di 5.000 utenti utilizzano dieci giorni lavorativi al mese per rimettere in sesto 20 macchine.
Isolare rapidamente i computer infetti
"Un singolo problema di rete spesso mette a rischio numerosi computer. Quindi, più velocemente si riesce a fermare l'infezione, più si riduce il danno e il tempo di recupero. Gli exploit sofisticati come MimiKatz e EternalBlue hanno recentemente mostrato a tutti quanto sia critica la sicurezza della rete per la protezione degli endpoint e viceversa. Solo le informazioni condivise direttamente tra i due possono effettivamente rivelare chi e cosa sta operando sulla propria rete. Le imprese sono quindi attualmente alla ricerca di un tipo di protezione integrata della rete e degli endpoint che possa fermare le minacce sofisticate e impedire che interruzioni isolate si trasformino in immense epidemie."
I firewall non incontrano la soddisfazione degli intervistati. Otto su dieci, per esempio, vogliono una migliore protezione dal loro attuale firewall, e il 97 per cento preferisce la protezione dell'endpoint e del firewall da un unico fornitore per garantire uno scambio diretto di informazioni sulla sicurezza. Il 99% sceglie soluzioni firewall che possono isolare automaticamente i computer infetti.