Security Analytics


Dal monitoraggio degli eventi alla comprensione dei comportamenti e delle anomalie
Il budget destinato alla sicurezza dalle aziende in questi anni è cresciuto in media del 6%, nonostante la generale riduzione delle spese ICT e la congiuntura economica; eppure la capacità di fronteggiare efficacemente la varietà, velocità e dimensione degli attacchi ai sistemi e alle informazioni lascia molto a desiderare

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

 

L’esposizione a incidenti di sicurezza, come è noto, va di pari passo con la connessione delle aziende al Web. Quante più sono le informazioni scambiate in rete, tanto maggiore è il valore generato, e quindi l’interesse per il crimine. La professionalità degli “attaccanti” è aumentata, non si tratta più solo di fronteggiare la diffusione periodica di un virus o qualche evento occasionale di intrusione. Nel ruolo del cattivo oggi agiscono organizzazioni ben preparate, con fondi e risorse, e non solo il classico hacker solitario che agisce a scopo dimostrativo.

 

SMARTPHONE, TABLET, CLOUD, MA NON SOLO – È interessante come nei rapporti sulla sicurezza informatica pubblicati di recente, sono ai primi cinque posti le vulnerabilità introdotte dalla diffusione di smartphone e tablet, insieme ai rischi legati a servizi Cloud; l’attenzione verso questi elementi è corretta, tuttavia non sono gli unici aspetti da considerare.

La superficie di attacco è aumentata dall’arrivo in rete di sistemi legacy, progettati e realizzati venti o trenta anni fa, e che non furono pensati originariamente per essere accessibili online 24 ore al giorno. Altre opportunità di attacco sono generate dalla connessione in rete di sistemi non tradizionali, come i molti dispositivi connessi a reti IP presenti nelle automobili, nelle case, nei sistemi di controllo processo.

Per esempio, i parchimetri oggi possono essere pagati con bancomat e carte di credito, con soddisfazione sia per gli utenti che per le amministrazioni locali. Il fatto che siano in aree pubbliche e ben accessibili, introduce quindi un nuovo rischio: in che modo viene monitorata la sicurezza?

Leggi anche:  Sfera Defence, la nuova software house del Gruppo Olidata specializzata in cyber ed healthcare

C’è quindi un problema di fondo nell’approccio alla sicurezza.

Spesso la priorità viene data alla conformità alla normativa e agli standard, lasciando quanto rimane del budget alle altre iniziative. La conformità, o compliance, rappresenta per la sicurezza delle informazioni la “zona di comfort”, l’insieme di abitudini di cui abbiamo confidenza e che ci fanno sentire tranquilli. È un’attività alla quale il budget viene destinato senza troppe discussioni, e che porta ad adottare le best practices, costruite sugli standard di sicurezza.

Questo è assai pericoloso, perché porta a una visione monoculturale, a una mentalità del gregge che è il tallone d’Achille della gestione del rischio.

 

IL PROFILO DI RISCHIO – Ogni azienda è unica, i suoi rischi e le sue vulnerabilità sono a loro volta unici, e difficilmente possono essere indirizzati da un insieme di prodotti e di servizi valido per tutti. Va compreso il profilo di rischio dell’azienda, e quale insieme di linee di difesa lo gestisce meglio.

Un errore comune è considerare critico ogni sistema e ogni informazione. Spesso classificando i dati sensibili, finisce nel perimetro di quanto va protetto quasi l’80% delle informazioni dell’azienda, eppure non più del 5% delle informazioni sono realmente sensibili, nel senso che la loro perdita porta a un danno reale per il business. Cercare di proteggere ogni cosa porta alla mancanza di focalizzazione.

Il rischio va gestito con la prospettiva di anticipare gli attacchi che arriveranno. Il problema quindi è come monitorare la sicurezza delle informazioni e dei sistemi, quali linee di difesa predisporre, e come reagire quando l’attacco si verifica.

La sicurezza delle informazioni oggi non è solo prevenzione, è riconoscere che per minimizzare il danno, bisogna sapere che gli attaccanti sono entrati, capire come e cosa hanno fatto, e in che modo reagire.

Leggi anche:  La sperimentazione dell’intelligenza artificiale nel dark web

Questo richiede professionisti della sicurezza che sappiano pensare come il nemico. È una mentalità diversa dalle classiche competenze IT.

Così, quando qualcuno buca i firewall per rubare i dati delle carte di credito, può entrare in azione una seconda linea di difesa. Si possono cercare anomalie nell’uso dei dati, per esempio la copia o il download di tutte le carte fa scattare un piano di risposta e mitigazione, l’attività può essere bloccata nel suo corso, e una copia dei dati e dei sistemi conservata per una futura analisi. Si possono comunicare agli enti emettenti i numeri delle carte violate, e il supporto clienti può avviare il contatto con i proprietari delle carte compromesse.

 

VISUALIZZARE I COMPORTAMENTI ANOMALI – Bisogna dunque passare dal monitoraggio dei log alla comprensione dei fenomeni, dalla raccolta dei dati alla visualizzazione dei comportamenti anomali. Questo vuol dire, per esempio, passare dal monitoraggio di quali badge hanno accesso a una data area, a verificare quante volte i badge sono usati per entrare in aree a cui il possessore non ha diritto di accedere.

Vuol dire passare da una vista basata sugli asset a una vista basata sui dati e sui processi.

La tradizionale difesa del perimetro è la prima linea di difesa. Una volta che il perimetro è stato violato, l’approccio convenzionale non basta. Né la continua evoluzione della tecnologia e delle nuove sfide di sicurezza possono essere affrontate da sistemi discreti che proteggono asset specifici, o da tecnologie specifiche come l’email scanning.

Per comprendere meglio i rischi e individuare tempestivamente gli attacchi, le organizzazioni di sicurezza si rivolgeranno alle tecnologie di Business Intelligence, alle piattaforme di Data Analysis che consentono di gestire grandi volumi di dati, di aggregarli e individuare pattern. Sarà possibile connettere i log degli IDS a nuove sorgenti di informazione, e questo aprirà nuove opportunità di analisi. Si potranno integrare efficientemente nuove sorgenti di informazioni, simulare correlazioni e attacchi, e determinare le cause delle vulnerabilità.

Leggi anche:  Remise en Forme e Cybersicurezza

 

BIG DATA E ANALYTICS – Gestire il rischio e connettere le informazioni rendono Big Data e Analytics le nuove competenze necessarie per la gestione della sicurezza. Per esempio, in diverse istituzioni finanziarie gli esperti di sicurezza stanno adottando le tecniche di analisi usate dai traders, con l’obiettivo di individuare e mitigare i danni di attacchi sofisticati, e rispondere con maggiore rapidità.

Questa visione di una piattaforma di Security Analytics in grado di collegare eventi e informazioni a supporto delle decisioni, per ora rimane una visione. Ci sono comunque molti “basics” da rivisitare: molti attacchi possono essere mitigati dalla gestione disciplinata e consistente delle patch software, degli interventi a valle dei penetration test periodici, e del training agli utenti.

Secondo il recente “Security Intelligence Report” (volume 11) di Microsoft, meno dell’1% degli attacchi verificatisi nella prima metà del 2011 ha sfruttato vulnerabilità zero-day, ovvero non ancora nota al vendor. Al contrario, il 99% degli attacchi in questo periodo ha distribuito malware attraverso tecniche comuni, come il social engineering e il software non patchato.

Mentre gestiranno questo “back to basics”, i chief information security officer potranno definire di quali dati aziendali – dati operazionali – avranno bisogno per alimentare la loro piattaforma di Security Analytics, e in che modo costruire la sicurezza all’interno dei nuovi sistemi.

La sicurezza non può essere più considerata un’aggiunta finale.

Marco Bresciani responsabile IT Security di Accenture

marco.bresciani@accenture.com