Non sono semplici rumor, ma la dura realtà: gli attacchi ai sistemi informativi aziendali sono ormai un dato di fatto.
Per questo molte aziende stanno concentrando i loro sforzi per potenziare la sicurezza. Obbiettivo? La prevenzione, ma anche il rilevamento tempestivo delle minacce.
In questo articolo approfondiremo il tema del rilevamento degli attacchi, le cui componenti chiave sono due:
- la riduzione di quello che è definito dwell time, ossia il lasso di tempo in cui un elemento presente in un sistema (in questo caso un virus) rimane in un particolare stato
- il controllo del movimento laterale effettuato dell’autore di un attacco.
In estrema sintesi, l’azione è duplice: da un lato si cerca di monitorare la minaccia e dall’altro il mandante che agisce in clandestinità. Il team preposto a questa attività è il Security Operations Center (SOC) che, a tutti gli effetti, è una business unit strategica per la sicurezza.
Obiettivo n. 1: ridurre il tempo di permanenza del virus
Gli esperti spiegano come i responsabili della sicurezza debbano adoperarsi per ridurre questo dwell time, concentrandosi sul rilevamento del lasso di tempo in cui un l’hacker sia riuscito a rimanere nel sistema prima di essere intercettato. I cybercriminali, infatti, agiscono nell’ombra per scatenare azioni mirate ad acquisire dati sensibili. Non a caso, le ricerche più aggiornate raccontano come le aziende compromesse siano davvero moltissime. Ma c’è un altro dato inquietante: le statistiche illustrano come ci vogliano anche 10 mesi prima che un’organizzazione si accorga di aver subito una violazione (che, in genere, si traduce in un danno significativo).
Obiettivo n. 2: arginare l’azione clandestina
Con il movimento laterale, invece, si intende la mappatura che indica quanto velocemente un avversario possa muoversi all’interno di un rete aziendale e la quantità di danni causati dai suoi movimenti. Spesso un avversario prende di mira un client che poi utilizza per penetrare in altri client e diffondersi così rapidamente in tutta la rete. A questo proposito, gli esperti sottolineano come la corretta progettazione di reti altamente segmentate possa contribuire a limitare i danni. L’individuazione tempestiva e il controllo del danno subito richiedono una totale visibilità dell’ambiente che si deve presidiare, attraverso un monitoraggio continuo. Questo è quanto si prefigge un SOC. Molte aziende hanno concentrato i loro sforzi nella creazione di un Security Operations Center ma, in realtà, non sono in molte a sapere davvero da dove iniziare per rendere questa unità effettivamente operativa. Al suo livello più elementare un SOC, ovvero un centro di operazioni di sicurezza, è dedicato alla correlazione e all’analisi dei dati relativi a ciò che accade all’interno di un’azienda, con una particolare attenzione nel rilevamento tempestivo delle minacce all’interno della rete messa sotto sorveglianza.
La rivoluzione copernicana della sicurezza
Tutti i dati e le informazioni devono essere consolidati in un’unica dashboard. Gli esperti sottolineano come le aziende debbano orientarsi a un modello di data center definito a girasole, ovvero in cui da un’unica dashboard sia possibile seguire tutti i tipi di analisi.
Il CISO, infatti, deve rimanere al centro della governance. Se diversi soggetti gestiscono un diverso tassello della sicurezza, il coordinamento diventa difficile e, in ultima istanza, dilaziona notevolmente nel tempo il rilevamento della vulnerabilità. Il SOC, dunque, deve anche avere l’autorità di agire quando viene rilevato un problema, agendo in modo tempestivo. Più è ampio il lasso di tempo dell’intervento, più aumenta in modo esponenziale il margine di rischio.
In quanto tempo un SOC diventa operativo ed efficiente
Per avere un SOC per essere pienamente efficiente ci possono volere anni. Per accelerare i tempi, servono parametri chiari rispetto alle attività sospette sulla propria rete. A questo punto, meglio optare per un paio di parametri ben definiti che possono essere tracciati e segnalati, rispetto a una moltitudine troppo specifica, che potrebbe consentire comunque al virus di diffondersi. Una chiara focalizzazione è fondamentale, non solo per capire il proprio valore nella gestione di eventuali problemi, ma anche per constatare senza alcun dubbio il proprio livello di sicurezza.
Tecnologia e staff adeguato
Le soluzioni di sicurezza sono composte da un pool di tecnologie e da un pool di persone. Le aziende spesso stanziano un grosso budget per l’acquisto di diverse soluzioni destinate alla sicurezza, ma non investono sulle persone di cui hanno bisogno per implementare la soluzione. Ogni voce di bilancio, invece, dovrebbe includere sia il budget economico che il numero di risorse necessarie a dare vita alla soluzione preposta.
Molte orgnizzazioni hanno attrezzature costose, ma non hanno personale adeguato e preparato per far funzionare correttamente un Operations Center. I parametri da impostare per la sicurezza delle proprie infrastrutture di rete e la gestione degli eventi affidati a un software, infatti, non bastano a rilevare gli attacchi, a meno che non siano stati configurati correttamente. Ci vuole sempre e comunque personale adeguato.
La sicurezza è parte di una buona gestione informativa
Spesso, quando le aziende impostano un SOC, provvedono alla registrazione completa di ogni dispositivo presente sulla rete con un conseguente sovraccarico di informazioni. Per questo motivo è meglio avere piccole quantità di informazioni corrette (come ad esempio i tentativi di accesso non riusciti) piuttosto che gran quantità di informazioni inutili.
Molti SOC sprecano un sacco di tempo ad analizzare qualsiasi piccola anomalia e, in questo modo, impiegano molto tempo nel conseguire quelle informazioni che potrebbero fermare sul nascere qualsiasi tentativo di intromissione. Un altro suggerimento utile è quello di applicare filtri adatti e trasparenti: così facendo, gli analisti possono usufruire delle informazioni di cui hanno bisogno, quando ne hanno bisogno.
In sintesi, durante l’impostazione, la distribuzione e l’esecuzione di un Security Operation Center, è importante:
· Definire chiaramente gli obiettivi che garantiscono il successo della strategia
· Progettare un piano a lungo termine, ma eseguito a breve termine
· Determinare le metriche per identificare ciò che funziona e ciò che non funziona
· Studiare come configurare tutti gli strumenti in uso
· Affidarsi a esperti, anche terziarizzando nel caso, per potenziare i livelli di monitoraggio e di controllo
· Determinare la capacità di storage e le fonti di dati critici
