Il monitoraggio degli eventi continuativo, eterogeneo ed estensivo non si può fare a mano. Serve che le macchine ci aiutino con l’intelligenza artificiale. Alcune considerazioni a fronte del libro “SOC e Continuous Monitoring: faccia a faccia con la cybersecurity”
Il 13 marzo è stato presentato a Security Summit il libro “SOC e Continuous Monitoring: faccia a faccia con la cybersecurity” liberamente scaricabile dal sito del Clusit (c4s.clusit.it). Gli autori hanno spiegato come organizzare un Security Operation Center per il Continuous Monitoring. Con i tempi che corrono è assolutamente necessario adottare un presidio continuativo dei sistemi informativi (24×7). È sicuramente un bell’impegno per ogni azienda italiana, ma la pena da scontare in caso di omissione è una decisa esposizione a frodi o altri incidenti di sicurezza. Le aziende e le organizzazioni ormai ne sono pienamente consapevoli per via delle conseguenze degli incidenti che impattano indifferentemente il settore pubblico e privato, ma per quanto riguarda le appropriate misure di sicurezza c’è ancora molto da fare.
Il presidio oltre che essere continuativo deve essere eterogeneo: non ci si può limitare ai soli apparati di rete ma bisogna produrre, raccogliere e correlare i log da ogni sistema informatico come i sistemi operativi, i database, gli application server e le applicazioni. Inoltre bisogna integrare, analizzare e correlare altre importanti informazioni come quelle relative alla modifica dei dati presenti nei directory services e quelle di accesso ai sistemi informatici che sono presenti nelle piattaforme di controllo accessi e nell’identity management (IAM). Nel libro si elencano nel dettaglio tali sorgenti classificandole in dispositivi di sicurezza, sistemi operativi e DBMS e, infine, applicazioni e web service.
Non solo. Il presidio deve essere estensivo: bisogna coprire tutto quanto è on-premise (locale nel proprio data center) e nel cloud espresso come servizi IaaS, PaaS e SaaS (Infrastructure, Platform e Software as a Service) e che sia “sactioned” (servizi ufficialmente approvati dall’azienda) e non (hidden IT ovvero procurato in maniera autonoma dai dipendenti senza alcuna approvazione). Non si può sottovalutare il tema della correlazione delle informazioni perché è estremamente difficile e importante. Le diverse fonti producono informazioni potenzialmente ma non nativamente correlabili.
Il log di un normale firewall contiene degli IP address (centinaia di migliaia o milioni di righe con IP address e porta sorgente e destinazione) mentre il log di un sistema di controllo accessi contiene degli user name, orari di accesso e altre cose, il log di un’applicazione potrebbe contenere una diversa codifica dell’utente insieme ad altre informazioni e così via. Persino la sincronizzazione esatta degli orologi dei diversi sistemi deve essere considerata. Nella normale operatività un’azienda media può facilmente produrre milioni di righe di log al giorno. È praticamente impossibile analizzare tali quantità manualmente e di conseguenza le macchine devono aiutare.
[spacer color=”8BC234″ icon=”fa-star-o” style=”1″]
Intelligenza Artificiale al #WeChangeIT Forum di Data Manager
L’intelligenza artificiale sarà anche tema centrale dell’evento annuale di Data Manager che riunirà la comunità IT italiana il 21 Giugno all’ UniCredit Pavilion. L’agenda completa e l’opportunità di registrarsi a questo link
[spacer color=”8BC234″ icon=”fa-star-o” style=”1″]
Per dare un maggior senso all’analisi, serve poter mettere in relazione una richiesta di accesso che proviene dalla rete, raggiunge un directory service per l’autenticazione, arriva all’applicazione e passa al database per eseguire un’operazione inconsueta che potrebbe essere (in certi orari, su certi sistemi, da certi account, il giorno dopo un accesso sospetto a un server non “patchato”) un indicatore di una compromissione e di un attacco informatico in corso. Se si riuscisse a semplificare e in parte automatizzare l’analisi di tali eventi (e la risposta), si potrebbe aumentare nettamente la probabilità di proteggere i beni aziendali e ottimizzare l’uso delle risorse umane predisposte al monitoraggio. Per far fronte a questa sfida, si affacciano sul mercato delle soluzioni tecnologiche basate sul machine learning e sull’intelligenza artificiale di cui si fa un gran parlare e che in futuro faranno la differenza. Il tema però è futuribile e controverso anche secondo l’opinione dei 7 responsabili SOC intervistati nel libro.
Alessandro Vallega, Consiglio Direttivo CLUSIT
