Gruppo Credem: come gestire efficacemente la sicurezza di diecimila endpoint

L’adozione delle soluzioni CrowdStrike, da parte del Gruppo Credem, è avvenuta tra il 2023 e il 2024 alla naturale scadenza della soluzione precedente di endpoint detection and response (EDR). “È stato un percorso lineare. Secondo noi - spiega Puccioni - CrowdStrike è il partner best of breed per affiancarci nella protezione di tutti i potenziali eventi malevoli che possono verificarsi sui nostri endpoint. L’adozione è stata frutto di un’attenta analisi e valutazione di diversi aspetti. Inizialmente la scelta si è concentrata sull’individuazione del miglior sistema antimalware e EDR per tutti gli endpoint di Gruppo Credem. Successivamente, l’analisi si è estesa fino a includere la valutazione e l’adozione del modulo di Device Control. Una roadmap strategica che ha sempre tenuto conto dei rigorosi requisiti richiesti dalle Authority in materia di cybersecurity e resilienza”.

Credem Group ha scelto di potenziare la propria postura di sicurezza attraverso la piattaforma CrowdStrike, focalizzandosi su strumenti di monitoraggio EDR, protezione preventiva degli endpoint, gestione delle policy dei firewall, controllo degli accessi ai dispositivi fisici e mobili.

Se Falcon Insight endpoint detection and response (EDR), Falcon Prevent e Falcon Firewall Management rappresentano strumenti fondamentali nell’individuazione di possibili malware, Falcon Device Control permette di evidenziare e prevenire eventuali esfiltrazioni di dati sui device. In sostanza, consente di effettuare un’analisi e di implementare policy di blocco sulle periferiche di archiviazione installate o collegate ai vari endpoint.

L’adozione della piattaforma Falcon di CrowdStrike ha permesso a Gruppo Credem di unire in un’unica soluzione l’EDR con ciò che un tempo veniva definito “antivirus”. Il primo beneficio immediato di questa convergenza tecnologica è stato di natura operativa: l'azienda non deve più aggiornare periodicamente un sistema di protezione separato e semplifica notevolmente la gestione dell'endpoint detection and response.

Avere un unico sensore leggero si è tradotto in una maggiore efficienza complessiva, derivante dall'ampia visibilità e dalla correlazione di eventi provenienti da fonti differenti all'interno di un'unica interfaccia. In precedenza, infatti, il Security Operation Center (SOC) aveva l’onere di svolgere queste attività di correlazione senza automatismi, un approccio che esponeva gli operatori al rischio di sbagliare l'analisi a causa del “rumore di fondo” generato durante la concitazione di un potenziale attacco.

Delegando questo compito alla piattaforma, Gruppo Credem ha ottenuto una drastica accelerazione nell’identificazione dei problemi, passando da tempistiche di analisi di interi giorni a pochi minuti, a seconda dell’evento posto sotto la lente. A questa rapidità d'azione, si aggiunge la vitale capacità di contenimento: nel momento in cui individua una minaccia, Falcon permette di isolare immediatamente la macchina colpita. Questo evita che l'infezione si propaghi all'intero ecosistema con effetti potenzialmente devastanti per il business, garantendo di fatto quella resilienza operativa oggi fortemente richiesta da normative come NIS2 e DORA.

Naturalmente, per mantenere questa efficienza a livelli ottimali, è essenziale mitigare il volume degli alert. Tenuto conto che l’evoluzione delle tecniche di cui si servono le nuove campagne malware è costantemente in divenire, qualsiasi sistema richiede un tuning continuo. Grazie a questo costante lavoro di affinamento, la piattaforma ha registrato una notevole riduzione dei falsi positivi, con risultati concreti e quantificabili: su una proiezione annuale di 4.525 eventi potenzialmente malevoli rilevati, Falcon è intervenuta in maniera proattiva su soli 149 eventi conclamati. Questo si traduce nell'attivazione automatica dell'EDR su circa un evento critico ogni due giorni, sventando la minaccia in modo silente prima ancora che potesse trasformarsi in un vero e proprio incidente informatico.

Infine, la protezione offerta da CrowdStrike non si limita alle sole minacce esterne, ma si focalizza su un'ulteriore priorità vitale per il comparto bancario: l’abbattimento del rischio di data breach. “Falcon Device Control ci aiuta ad avere un controllo pieno dei dati in transito da e per i sistemi di archiviazione di massa, siano essi storage portatili, chiavette USB o qualsiasi tipo di altra periferica - sottolinea Puccioni -. Inoltre, si presta all’implementazione di policy che garantiscono di “marcare stretto” il dato aziendale onde evitare violazioni della privacy e dei dati sensibili”.

Quanto vale la sicurezza in generale e per un gruppo bancario in particolare? È vero, la sicurezza non genera business dal punto di vista del ROI. Però è anche vero che proteggere il business è garanzia certa di risparmio dai contenziosi che dovessero derivare a causa di data breach o incidenti che coinvolgono partner o clienti. Grazie alla piattaforma Falcon gli eventi malevoli potenziali sono stati individuati e bloccati in maniera proattiva prima che diventassero conclamati. “Siamo molto soddisfatti della collaborazione con CrowdStrike - tiene a sottolineare Puccioni -. Non solo della loro soluzione, ma anche dell’azienda che sta dietro alla soluzione sia in termini di assistenza sia di capacità tempestiva di remediation”.

Oggi, in un ecosistema sempre più ampio, occorre anche rafforzare i controlli a livello di cloud workload security, container security e SaaS security e messa in sicurezza dell’Infrastructure as Code (IaC). “In questi ambiti - conclude Francesco Puccioni - abbiamo già delle soluzioni di cybersecurity, ma poiché la preoccupazione non è mai troppa, vogliamo investire in attività progettuali e in tecnologia che ci permettano di ampliare il set di controlli. Siamo certi che, anche in questa circostanza, un partner come CrowdStrike porterà grande valore”.