Serve più intelligenza per l’analisi dei log?

Il monitoraggio degli eventi continuativo, eterogeneo ed estensivo non si può fare a mano. Serve che le macchine ci aiutino con l’intelligenza artificiale. Alcune considerazioni a fronte del libro “SOC e Continuous Monitoring: faccia a faccia con la cybersecurity”

Il 13 marzo è stato presentato a Security Summit il libro “SOC e Continuous Monitoring: faccia a faccia con la cybersecurity” liberamente scaricabile dal sito del Clusit (c4s.clusit.it). Gli autori hanno spiegato come organizzare un Security Operation Center per il Continuous Monitoring. Con i tempi che corrono è assolutamente necessario adottare un presidio continuativo dei sistemi informativi (24×7). È sicuramente un bell’impegno per ogni azienda italiana, ma la pena da scontare in caso di omissione è una decisa esposizione a frodi o altri incidenti di sicurezza. Le aziende e le organizzazioni ormai ne sono pienamente consapevoli per via delle conseguenze degli incidenti che impattano indifferentemente il settore pubblico e privato, ma per quanto riguarda le appropriate misure di sicurezza c’è ancora molto da fare.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Il presidio oltre che essere continuativo deve essere eterogeneo: non ci si può limitare ai soli apparati di rete ma bisogna produrre, raccogliere e correlare i log da ogni sistema informatico come i sistemi operativi, i database, gli application server e le applicazioni. Inoltre bisogna integrare, analizzare e correlare altre importanti informazioni come quelle relative alla modifica dei dati presenti nei directory services e quelle di accesso ai sistemi informatici che sono presenti nelle piattaforme di controllo accessi e nell’identity management (IAM). Nel libro si elencano nel dettaglio tali sorgenti classificandole in dispositivi di sicurezza, sistemi operativi e DBMS e, infine, applicazioni e web service.

Non solo. Il presidio deve essere estensivo: bisogna coprire tutto quanto è on-premise (locale nel proprio data center) e nel cloud espresso come servizi IaaS, PaaS e SaaS (Infrastructure, Platform e Software as a Service) e che sia “sactioned” (servizi ufficialmente approvati dall’azienda) e non (hidden IT ovvero procurato in maniera autonoma dai dipendenti senza alcuna approvazione). Non si può sottovalutare il tema della correlazione delle informazioni perché è estremamente difficile e importante. Le diverse fonti producono informazioni potenzialmente ma non nativamente correlabili.

Leggi anche:  WatchGuard potenzia il rilevamento e la risposta alle minacce con il nuovo “ThreatSync+ NDR” basato sul AI

 

Il log di un normale firewall contiene degli IP address (centinaia di migliaia o milioni di righe con IP address e porta sorgente e destinazione) mentre il log di un sistema di controllo accessi contiene degli user name, orari di accesso e altre cose, il log di un’applicazione potrebbe contenere una diversa codifica dell’utente insieme ad altre informazioni e così via. Persino la sincronizzazione esatta degli orologi dei diversi sistemi deve essere considerata. Nella normale operatività un’azienda media può facilmente produrre milioni di righe di log al giorno. È praticamente impossibile analizzare tali quantità manualmente e di conseguenza le macchine devono aiutare.

[spacer color=”8BC234″ icon=”fa-star-o” style=”1″]

Intelligenza Artificiale al #WeChangeIT Forum di Data Manager

L’intelligenza artificiale sarà anche tema centrale dell’evento annuale di Data Manager che riunirà la comunità IT italiana il 21 Giugno all’ UniCredit Pavilion. L’agenda completa e l’opportunità di registrarsi a questo link

[spacer color=”8BC234″ icon=”fa-star-o” style=”1″]

Per dare un maggior senso all’analisi, serve poter mettere in relazione una richiesta di accesso che proviene dalla rete, raggiunge un directory service per l’autenticazione, arriva all’applicazione e passa al database per eseguire un’operazione inconsueta che potrebbe essere (in certi orari, su certi sistemi, da certi account, il giorno dopo un accesso sospetto a un server non “patchato”) un indicatore di una compromissione e di un attacco informatico in corso. Se si riuscisse a semplificare e in parte automatizzare l’analisi di tali eventi (e la risposta), si potrebbe aumentare nettamente la probabilità di proteggere i beni aziendali e ottimizzare l’uso delle risorse umane predisposte al monitoraggio. Per far fronte a questa sfida, si affacciano sul mercato delle soluzioni tecnologiche basate sul machine learning e sull’intelligenza artificiale di cui si fa un gran parlare e che in futuro faranno la differenza. Il tema però è futuribile e controverso anche secondo l’opinione dei 7 responsabili SOC intervistati nel libro.

Leggi anche:  Il 2024 porterà una guerra dei requisiti per Zero Trust

Alessandro Vallega, Consiglio Direttivo CLUSIT