Gestione dei log ingegnerizzata attraverso un SIEM di ultima generazione, che incorpora il machine learning per automatizzare la raccolta, la correlazione, l’analisi e l’invio della reportistica più funzionale ai team preposti alla gestione del presidio aziendale.
A scegliere questa soluzione, in particolare, un grande gruppo assicurativo italiano che, all’inizio del 2019, aveva necessità di risolvere un problema di compliance associato alla gestione dei log.
Gestione dei log e compliance
La premessa del caso era che già dal 2008 il Garante Privacy, con apposito Provvedimento, aveva introdotto l’obbligo per le aziende di sottoporre a tracciatura gli accessi degli amministratori di sistema e conseguente verifica annuale del loro operato. Tale obbligo è stato rafforzato dall’entrata in vigore del Reg. UE 679/2016 che, seppur senza nessun esplicito riferimento al termine log, aveva introdotto il tema della Security by Design stabilendo, per altro, che le misure adottate devono essere periodicamente riviste per garantirne l’adeguatezza rispetto al livello di rischio (art. 32 del Regolamento) e la rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti. Con il GDPR, inoltre, il Garante ha introdotto anche il principio di accountability (2 comma, art. 5), che obbliga i responsabili del trattamento dei dati ad avere un sistema di tracciabilità e rintracciabilità dei log. Una corretta gestione dei log, in caso di ispezioni da parte delle autorità competenti, permette di dimostrare che sono state effettuate tutte le azioni di tutela conformi alle normative.
Come presidiare un perimetro molto ampio e sfidante
La compagnia assicurativa ha scelto di adottare una soluzione SIEM di ultima generazione. Una scelta non banale: il gruppo, infatti, conta oltre 500 dipendenti, con sedi distribuite in modo capillare su tutto il territorio italiano e un’infrastruttura complessa, composta da centinaia di server.
Il perimetro del presidio è ampio e sfidante. Tra dipendenti, consulenti, fornitori e venditori, gli accessi alla rete sono nell’ordine delle migliaia: solo gli utenti dell’active directory sono più di 5mila.
Inizialmente, per la gestione dei log, la direzione aveva preso in considerazione due soluzioni SIEM, di pari livello. Confrontandosi con DIGI International, già partner storico dell’organizzazione per tutti i temi legati alla sicurezza, l’azienda ha scelto IBM QRadar. La soluzione integra l’intelligenza artificiale (IBM Watson) a supporto di un sistema di correlazione, monitoraggio e analisi di log ed eventi estremamente evoluto. QRadar, oltre a garantire la conformità normativa rispetto alla gestione dei log, elimina tutti i rumori di fondo, traducendo in tempo reale i processi di valutazione e di intervento dei manager rispetto ad anomalie e casi sospetti.
Gestione dei log: l’importanza di una consulenza a valore aggiunto
A detta del cliente, al di là delle technicality legate alla gestione delle licenze e della delivery, il contributo del partner è stato fondamentale a livello di data science del log management. Qualunque system integrator, infatti, è in grado di installare una soluzione SIEM. Il differenziante sta nella capacità del consulente di recepire le esigenze del cliente e soddisfarle in un progetto articolato all’interno di un contesto assicurativo in tempi brevi e con risultati tangibili immediati. Accogliendo i vari desiderata del team ICT, gli esperti DIGI hanno svolto un grosso lavoro di razionalizzazione dei processi associati all’impostazione della reportistica e delle segnalazioni. In qualità di Solution Provider, DIGI International ha inserito numerose tipologie di log source tra domain control, firewall, router, antivirus, mail server e via dicendo, finalizzando la gestione dei log in modo tale da rendere massimamente funzionale la comprensione del perimetro da presidiare.
Nel work in progress del progetto, in cui sono state agganciate al SIEM gli asset critici aziendali, la direzione ha subito intuito le possibilità applicative di QRadar e si è fatta main sponsor dell’innovazione. La Compagnia, infatti, aveva anche l’esigenza di potenziare i livelli di sicurezza dei sistemi integrando una soluzione a supporto dell’incident response. La scalabilità di QRadar ha consentito di definire velocemente report e dashboard di sintesi allineati alle esigenze di controllo dei manager, associate ad analisi contestuali all’attività specifica.
Il SIEM abilitatore di una security a 360 gradi
Attraverso la definizione di correlazioni calibrate non solo sulla necessità ma anche le funzionalità degli obiettivi, è stato così possibile rilasciare un progetto SIEM allo stato dell’arte.
La configurazione del SIEM, tra design dell’architettura, set up della piattaforma QRadar e generazione dei report è stata completata in tre settimane. Grazie al training on the job il team di security e IT, costituito da un team di 5 persone, ha imparato a gestire gestisce la soluzione in modo assolutamente indipendente, analizzando i file log, definendo gli alert e generando report in totale autonomia. A Natale la soluzione era già in produzione e la direzione ha riconosciuto il successo del progetto, definendolo il migliore dell’anno.
L’agilità del SIEM IBM e il successo del progetto hanno fatto immediatamente intuire alla direzione l’orizzonte applicativo di una soluzione di gestione dei log e degli eventi così evoluta. L’evolutiva, infatti, è di estendere le potenzialità della piattaforma anche a tutta l’infrastruttura ICT aziendale: server, macchine e sistemi di rete.
