Cosa fare per difendersi quando ci si rende conto di essere esposti a una minaccia informatica? Quali strategie implementare e come impostare un piano di recovery? Le risposte a queste domande sono state al centro del dibattito su Threat Management & Cloud Security che si è tenuto in occasione dell’evento online che si è svolto il 9 settembre dal titolo Time 4 Security – Per una sicurezza esponenziale organizzato da IBM, in collaborazione con Digital360, che ha inoltre approfondito le tematiche Digital Trust e Strategy and Risk.
“In media – ha dichiarato Alessio Pennasilico, Information & CyberSecurity Advisor, P4I – Partners 4 Innovation – il tempo medio per la gestione di un incidente è pari a 300 giorni, un numero ancora troppo alto per non destare le preoccupazioni oltre che dell’IT di tutto il business. Nel Rapporto Clusit 2020 si legge che l’anno scorso si è registrato un +37% di attacchi rispetto alla media degli ultimi 6 anni, che tra il 2014 e il 2019 gli attacchi gravi sono aumentati del 91% e nel triennio 2017-2019 questi ultimi sono cresciuti del 50% rispetto allo stesso intervallo temporale precedente”.
“Le aziende – ha sottolineato Enzo Mudu, Security Technical Sales Manager, IBM Italia – sono preoccupate per gli effetti di queste minacce, a livello di costi e di reputazione, e perciò sentono l’esigenza di dotarsi di strumenti che permettono di avere una ampia visibilità sui possibili pericoli e, in caso di problemi, permettano una capacità di risposta in breve tempo”.
Come agire in caso di minaccia alla sicurezza informatica? Il ruolo di X-Force IRIS
“Per poter rispondere al meglio a un attacco informatico – ha affermato Luca Pugliese, Italy team lead, IBM X-Force IRIS – è necessario avere accesso alle informazioni raccolte dagli esperti che hanno analizzato l’attacco stesso, così come a dati aggiornati di threat intelligence; è inoltre necessario avere visibilità sulle attività di rete e poter contare su una politica di ritenzione e salvaguardia dei log appropriata. Avendo tutto questo a disposizione si può procedere alla definizione del Computer Security Incident Response Plan (Csirp) e poi si devono testare le politiche di incident response, identificare le lacune nella documentazione e implementare una politica di back up adeguata”.
Il compito di X-Force IRIS Incident Response and Intelligence Services è proprio quello di mettere a fattore comune i dati sulle minacce alla sicurezza informatica (in modo che l’organizzazione abbia tutte le conoscenze possibili per difendersi) e di contribuire a stabilire i rimedi per ridurre al minimo le perdite causate dal verificarsi di un incidente e i piani per far si che situazioni analoghe non si ripresentino. È, in pratica, un alleato fondamentale per avere visibilità di attacchi alla data security anche nel Dark Web (grazie alla componente Vision Retainer), per aiutare le aziende a esercitarsi nella gestione dei rischi (mediante le simulazioni preparate nel contesto di X-Force Command Center) e per rilevare e interrompere gli attacchi agli endpoint in tempo reale con Managed Detection and Response.
Obiettivo rischio controllato, così funziona IBM QRadar Security Information and Event Management
“Più che di rischio zero, che è impossibile – ha detto Alfonso Ponticelli, Security Technical Sales, IBM Italia – dobbiamo puntare al rischio controllato che presuppone una pianificazione strategica della difesa”.
Le aziende oggi troppo spesso si limitano a un approccio ad hoc, pensato in reazione alla singola minaccia, ma all’aumentare dei tool adottati per rispondere a ciascuna problematica si accresce la complessità dei sistemi e si fa fatica ad avere una visibilità integrata. In un contesto di questo tipo è utile il lavoro di una soluzione SIEM – Security Information and Event Management che faccia capo a un SOC – Security Operation Center capace di identificare i rischi.
Nello specifico, IBM QRadar Security Information and Event Management (disponibile on-premise e in cloud), effettuando un monitoraggio costante, supporta i team di sicurezza nell’individuare e stabilire le priorità delle minacce ed elabora insight intelligenti che consentono di rispondere rapidamente per abbassare l’impatto degli incidenti; il sistema accorpa i dati degli eventi di log e di flusso di rete provenienti da tantissime tipologie di dispositivi, endpoint e applicazioni distribuite per poi fare le correlazioni tra tutti i dati raccolti e raggruppare gli eventi correlati in singoli avvisi per accelerare l’analisi e la correzione degli incidenti.
Inoltre, QRadar Advisor with Watson permette di automatizzare le attività SOC di routine e individua eventuali affinità tra problematiche di security dando agli analisti feedback utili per compiere ricerche più approfondite e per capire gli impatti delle minacce stesse.
Cloud security, come fare? Le prerogative di IBM Cloud Pak for Security
Cloud e hybrid allargano inevitabilmente il perimetro di attacco e richiedono un ripensamento della strategia di sicurezza complessiva. Per questo è stata pensata la soluzione IBM Cloud Pak for Security.
“Nella vision IBM relativa al Threat management, la soluzione IBM Cloud Pak for Security – ha raccontato Alessandra Pecorari, Security Technical Sales, IBM Italia – è stata realizzata integrando diversi strumenti quali QRadar, Splunk, CarbonBlack, AWS e altri per isolare le minacce e ridurre i falsi positivi lasciando i dati dove risiedono; permette l’orchestrazione della risposta anche grazie all’utilizzo di playbook precostituiti e pronti all’uso”.
IBM Cloud Pak for Security ha dunque funzionalità di Threat intelligence insights, Data explorer e SOAR – Security orchestration, automation and response, lavorando in qualsiasi tipo di ambiente ibrido e multicloud.
IBM QRadar, ecco in che modo ha contribuito alla sicurezza della Università La Sapienza di Roma
“Con oltre 113mila studenti nel 2019 La Sapienza è l’Università più grande d’Europa e quindi, siamo inevitabilmente l’ateneo più attaccato del Continente – così ha esordito Francesco Ficarola, Chief Security Officer, La Sapienza – Università di Roma –attualmente respingiamo 630milioni di richieste malevole al giorno e le nostre sonde IPS – Intrusion prevention system fermano 537mila attacchi al giorno, mentre registriamo 29mila eventi di anti virus e anti bot sempre quotidianamente”.
L’Università ha adottato la piattaforma QRadar (presente in Consip) con cui ha la possibilità di avere sempre sotto controllo che cosa sta accadendo.
“Abbiamo beneficiato – ha aggiunto Ficarola – delle possibilità di integrazione e automazione del prodotto che è stato inserito in una infrastruttura caratterizzata da varie soluzioni di terze parti. In particolare, IBM F-Force Exchange (la piattaforma in cloud di condivisione di dati di threat intelligence) è un aiuto prezioso e costante. Una azienda indipendente ha calcolato che, in seguito all’integrazione del SIEM di Big Blue con le soluzioni di sicurezza in essere, l’Università ha ottenuto un aumento del security rating, passando da un punteggio di 550 punti (livello basso) a uno di 750 (fascia avanzata), tra i più alti per le pubbliche amministrazioni italiane”.
