Security monitoring

L’adozione di un processo di monitoraggio continuo degli eventi di sicurezza può dare un valido contributo nel fronteggiare adeguatamente le minacce informatiche

Nella rapida evoluzione delle architetture digitali alle quali abbiamo assistito in questi ultimi anni si è affermata l’adozione dei servizi cloud e l’integrazione nel sistema informativo dei dispositivi mobili, ed è sempre più diffusa l’apertura verso l’esterno dell’infrastruttura ICT onde migliorare i processi di business e l’interazione con i partner. Questo rende sempre più complesso il rispetto dei principi di sicurezza da parte dell’organizzazione: un valido approccio al problema è rappresentato dall’introduzione di un processo di monitoraggio continuo degli eventi di sicurezza con l’obiettivo di valutare le deviazioni rispetto ai comportamenti standard, rafforzare la consapevolezza e le tecniche di difesa. Occorre innanzitutto disporre di una accurata classificazione degli asset da proteggere, valutata in base a parametri quali la sensibilità dei dati trattati, il ruolo di business, o l’ambiente di installazione; a un sistema che sia già stato oggetto di tentativi di attacco dovrà essere assegnato un profilo di rischio maggiore.

Le cose da fare

Gli eventi di sicurezza rilevati dovranno essere trasferiti su una piattaforma centralizzata di log management in grado di fornire in modo nativo funzionalità a garanzia dell’integrità dei dati raccolti, oltre a velocizzare le operazioni di analisi dei file di log e degli eventi a ritroso per periodi sufficientemente lunghi; anche gli eventi generati dai sistemi middleware e dalle applicazioni software devono essere tracciati secondo un formato standard. Le soluzioni tecnologiche SIEM (Security Information & Event Management) consentono di aggregare e correlare gli eventi sia in base alla rilevazione di situazioni predefinite che in base a regole personalizzabili in funzione del contesto; sarà quindi possibile incrociare le informazioni disponibili con quelle ottenute mediante il monitoraggio del traffico sul network, la dislocazione dei dispositivi nelle diverse sedi oppure il grado di criticità dei server monitorati. È inoltre possibile processare gli eventi raccolti secondo un livello di priorità calcolato in base ad alcuni parametri quali la frequenza di ripetizione, la sua provenienza da un asset censito, oppure il grado di vulnerabilità rilevato negli assessment. Si può aumentare l’efficacia del processo attraverso l’integrazione con i servizi di threat intelligence in grado di verificare e analizzare informazioni sull’insorgenza di nuovi attacchi, diffusione di vulnerabilità, azioni riconducibili al cybercrime, oppure ad altre attività con intento frodatorio.

La giusta percezione dei rischi

Le considerazioni sin qui espresse non possono prescindere dal fatto che le contromisure tecnologiche debbano essere accompagnate da corrispondenti misure organizzative che formalizzino politiche e obiettivi che l’organizzazione intende perseguire nelle attività di analisi e di gestione degli incidenti di sicurezza informatica. Dato il trend crescente degli attacchi informatici, la leva economica sfruttata dalle organizzazioni dedite al cybercrime e gli obblighi normativi quali il Nuovo Regolamento Europeo Data Protection, risulta fondamentale il supporto di alcune figure chiave: in primis, il management cui deve riportare direttamente una figura di raccordo, l’Incident Handling Leader, a sua volta coadiuvato da un team operativo ben preparato operativamente nella gestione delle emergenze. Data la rilevanza ormai assunta in tutti i settori dalle tecnologie informatiche, è fondamentale intraprendere delle azioni concrete in grado di ridurre in modo efficace il livello di rischio; il processo di monitoraggio continuo svolto attraverso una struttura denominata SOC (Security Operations Center) rappresenta indubbiamente un valido investimento in grado di dare, in tempo pressoché reale, la giusta percezione dei rischi corsi quotidianamente da parte di un’organizzazione.

Leggi anche:  Italia secondo Paese europeo per numero di stalkerware installati sui dispositivi

Roberto Obialero, membro del Comitato Tecnico Scientifico di Clusit