Lo scenario della
cyber security è in continua evoluzione e mette CISO, CSO e staff della sicurezza IT di fronte a
minacce sempre più frequenti, pericolose ed articolate. Da un lato le
architetture IT aziendali sono sempre più d
istribuite e frammentate, cosa che rende impossibile immaginare la classica cyber difesa perimetrale. Banalmente perché
il perimetro dell’IT non esiste più. Non ci sono più un “dentro” in cui le risorse IT sono più al sicuro e un “fuori” in cui sono più minacciate. Questo è vero già da tempo, l’avvento del
lavoro ibrido, dell’edge computing e del cloud ha ulteriormente aumentato il livello di
distribuzione delle risorse e dei dati da proteggere.
Parallelamente, le aziende hanno davanti un “nemico” che è molto più organizzato e ricco di risorse rispetto a qualche tempo fa. Il
cyber crime è oggi una forma di criminalità organizzata al pari di quelle a cui siamo già abituati nel mondo fisico. Si muove per
precise motivazioni economiche e ha imparato a mettere in atto, di volta in volta, gli attacchi che sono più redditizi in un certo momento storico e per determinati tipi di aziende-bersaglio.
Tutte le aziende sono bersagli appetibili perché tutte possiedono qualcosa di prezioso: i loro dati. E soprattutto i dati dei loro clienti e partner commerciali.
L’approccio tradizionale è superatoIn questo scenario il problema principale per chi si occupa di cyber security nelle imprese è
avere una visione sempre aggiornata e precisa della propria “security posture”. Quali attacchi, più o meno importanti, sta subendo la mia rete? Quali eventi potenzialmente sospetti stanno coinvolgendo i miei asset digitali? Cosa posso intuire dal comportamento dei miei utenti ipoteticamente leciti? Quali delle tante minacce in rete potrebbero toccarmi da vicino, nel prossimo futuro? E soprattutto, considerato che il tempo e le risorse a disposizione degli staff IT sono sempre limitati, cosa può essere ignorato in un dato momento e cosa invece va affrontato immediatamente?
Segui il webinar NetWitness/RSA Security con il distributore a valore Arrow “Il perimetro digitale senza confini: serve visibilità completa e pervasiva”, in programma il prossimo 4 novembre alle 11.00.
Storicamente,
le piattaforme SIEM hanno cercato di rispondere a buona parte di queste domande. Si sono affermate come
“collettori universali” degli eventi collegati alla cyber security, andando a formare una base di conoscenza che gli analisti di sicurezza potevano esaminare per individuare minacce, attacchi, falle, interventi da eseguire, azioni di remediation da mettere in atto. Il problema è che oggi il volume e la velocità degli attacchi in rete rende questo approccio inadeguato, se non viene aggiornato allo stato dell’arte. Inoltre, gli eventi in rete collegati alla cyber security sono troppi per poterli esaminare nel modo tradizionale.
Serve una soluzione avanzata che garantisca
visibilità, analisi e automazione di pari passo. Una soluzione che
guardi a tutte le sorgenti dati possibili (file di log, traffico di rete, cloud, comportamento degli utenti, profili d’uso degli endpoint, metadati, informazioni di threat intelligence) e che
le analizzi e correli centralmente per una
semplificazione ed automazione dei processi.Non più dunque solo SIEM ma anche XDR per la protezione ed il
controllo esteso del traffico sul network e sugli end points. Assemblare una quantità di informazioni tale da raggiungere una visibilità idealmente “totale” è poi solo l’inizio. Oggi il fattore probabilmente più importante nella reazione ad un attacco, qualsiasi forma esso prenda, è la
rapidità di risposta. Questo significa che una piattaforma di cyber security non deve solo individuare tutti gli eventi anomali ma selezionarli automaticamente per presentare allo staff di cyber security solo quelli davvero importanti. Se così non fosse, sarebbe troppo elevato il rischio di perdere tempo dietro ad eventi anomali sì, ma poco significativi, mentre un attacco più importante è in corso. Funzioni di
analisi proattiva dei dati di security sono possibili, ma solo grazie ad elementi di machine learning che possano filtrare enormi basi di conoscenza.
Il
machine learning fa da ponte tra la parte, fondamentale ma non sufficiente, di detection e quella di response, che deve essere sempre più ottimizzata. Il tempo, quando si reagisce ad un attacco, è infatti cruciale. Questo significa che una piattaforma di sicurezza che prenda le mosse dai modello convenzionale dei SIEM deve acquisire anche
funzioni di orchestrazione ed automazione. Orchestrazione perché deve essere in grado di far interagire sinergicamente moduli di sicurezza diversi che hanno ciascuno la loro specificità e utilità. Automazione perché, una volta individuata una minaccia, deve mettere velocemente in atto le misure di reazione e mitigation più opportune.
A seconda delle necessità e delle preferenze dei CSO o CISO, poi, queste funzioni cosiddette di
Security Orchestration, Automation and Response (SOAR) devono essere modulabili, ossia più o meno libere di intervenire senza il coinvolgimento del personale umano.
Serve armoniaVisibilità, trasversalità dal cloud agli endpoint, threat intelligence, orchestrazione, automazione, machine learning: a posteriori sembra quasi ovvio che una moderna piattaforma di sicurezza abbia tutte queste componenti. Ma integrarle e farle operare in armonia non è affatto scontato: bisogna avere adottato un
approccio architetturale chiaro in cui le varie funzioni di cyber security condividano informazioni in tempo reale e si completino a vicenda senza lasciare “aree grigie” che sarebbero rapidamente sfruttate dai cyber attaccanti. Ma, allo stesso tempo, un
approccio modulare che sappia adattarsi alle scelte che il singolo utente avrà già fatto in quanto ad architetture IT in generale e di cyber security in particolare.
D’altronde, la cyber security interessa tutti ma non è per questo diventata un campo per tutti.
Tutti temi al centro del webinar
NetWitness/RSA Security con il distributore a valore Arrow “
Il perimetro digitale senza confini: serve visibilità completa e pervasiva”, in programma il prossimo
4 novembre alle 11.00.