Security analytics cyber security

La logica della cyber-security, negli ultimi anni, è cambiata radicalmente. Se fino a qualche anno fa l’impostazione era quella di definire e difendere un perimetro, oggi questa prospettiva è stata decisamente superata, aprendo la strada a un approccio che punta principalmente sulla security analytics. Un termine apparentemente vago, che per gli esperti di cyber-security ha però una valenza (e un valore) ben specifici: quelli di garantire un monitoraggio efficace di reti e dispositivi.

La sicurezza al 100% non esiste

La sicurezza al 100% non esiste

È il nuovo mantra di chi si occupa di sicurezza e parte da una considerazione piuttosto semplice: se un pirata informatico è sufficientemente motivato e ha sufficienti mezzi a sua disposizione, prima o poi troverà un modo per fare breccia nei nostri sistemi. A rendergli più facile il lavoro ci ha pensato quella digital transformation che, oltre a offrire vantaggi in termine di produttività e di flessibilità, ha sfumato il concetto di perimetro fino a renderlo estremamente rarefatto. I servizi cloud da una parte, l’ampia adozione del lavoro in mobilità dall’altra, hanno allargato le maglie a tal punto da rendere obbligatorio un cambio di paradigma: non solo continuare a concentrarsi sul rendere “ermetica” l’infrastruttura ma focalizzarsi anche sul rilevamento e contrasto degli attacchi.

Trasparenza e controllo dell’infrastruttura IT

Trasparenza e controllo dell’infrastruttura IT

Per usare una metafora, nell’era della security analytics non dobbiamo più pensare ai nostri sistemi IT solo come a un fortino da difendere, ma come uno spazio in cui dobbiamo predisporre un sistema di sensori (la security analytics, appunto) in grado di individuare eventuali intrusioni.

Il cuore di tutto è il SIEM (Security Information and Event Management) cioè il sistema che consente di registrare tutti gli eventi in qualche modo correlati alla cyber-security, ordinarli, organizzarli e analizzarli per rilevare eventuali anomalie che possono indicare un attacco. Si tratta di un’attività complessa, che esamina le informazioni attraverso diverse prospettive e che richiede, prima di tutto, che l’intera infrastruttura IT sia trasparente. In altre parole, ogni endpoint, dispositivo e servizio attivi all’interno o all’esterno della rete devono essere “leggibili”, in modo che il sistema possa estrarre i dati e analizzarli in maniera appropriata.

Il doppio ruolo del fattore umano

Il doppio ruolo del fattore umano

L’analisi dello user behaviour

Uno degli aspetti rilevanti a livello di security analytics coinvolge gli utenti e, in particolar modo, le loro attività all’interno del sistema IT dell’azienda. Lo strumento adottato è quello dell’analisi dello user behaviour, cioè l’elaborazione e il controllo dei comportamenti abituali degli utenti che utilizzano i servizi e accedono alle risorse all’interno dell’azienda. Nella maggior parte dei casi, una violazione avviene infatti attraverso attacchi che prendono di mira gli account o i dispositivi degli utenti. L’individuazione di un comportamento anomalo, per esempio una connessione a un servizio al di fuori dell’orario abituale o l’accesso a una risorsa che di solito l’utente non utilizza, rappresentano indizi preziosi per individuare in tempo un attacco.

Comprendere i dati e prendere le decisioni

Il secondo ruolo che coinvolge il fattore umano è quello relativo all’analisi dei segnali raccolti dai sistemi di security analytics. Anche se buona parte delle attività sono affidate a procedure automatizzate o addirittura all’intelligenza artificiale, la “lettura” complessiva richiede necessariamente l’intervento umano. Il supporto di un SOC (Security Operation Center) dedicato è infatti indispensabile sia per scremare le segnalazioni dai “falsi positivi” e stabilire se gli indizi corrispondano veramente a un attacco informatico, sia per definire le contromisure da mettere in campo. Un’attività, questa, che richiede un alto livello di professionalità e infrastrutture adeguate, che consentano di avere una “copertura” continua (24/7) a livello di detection and response.

 

NovaNext, system integrator, security advisor e training center per i professionisti dell’ICT, progetta e realizza le più avanzate soluzioni in ambito Security, Data Center, Networking, Collaboration e offre una gamma completa di Managed Security Services. Gli esperti NovaNext accompagnano i Clienti nella scelta, nell’attivazione e nella gestione dei mezzi di protezione più adeguati a supportare l’evoluzione strategica dell’Azienda, in tutta sicurezza.