Dalla gestione dei log al monitoraggio degli eventi complessi, come cambia la cyber security

pittogramma Zerouno

Attualità

Dalla gestione dei log al monitoraggio degli eventi complessi, come cambia la cyber security

La nuova dimensione della cyber security passa dal concetto di detection and response: ecco come cambiano le tecniche di protezione.

15 Lug 2020

di Marco Schiaffino

Ormai lo dicono tutti gli esperti di cyber security: la sicurezza al 100% non esiste. Può sembrare una visione pessimista, ma rappresenta bene la realtà che vivono tutte le aziende, che si trovano a essere bersagliate costantemente dagli attacchi dei pirati informatici. A imporre un cambio di prospettiva nella sicurezza informatica, però, non è solo il progressivo aumento dell’attività da parte dei cyber criminali. Un ruolo fondamentale lo hanno anche le trasformazioni che stanno interessando le infrastrutture IT.

Il mondo dell’IT non è più così semplice

La visione tradizionale della cyber security si basava su due semplici pilastri: il rilevamento dei malware sugli endpoint (tipicamente PC) e il controllo dei collegamenti tra l’interno del network aziendale e l’esterno, partendo dall’assioma secondo cui tutto ciò che si trova all’interno del perimetro aziendale può essere considerato affidabile mentre ciò che arriva dall’esterno deve essere controllato. Nel panorama attuale, questo tipo di impostazione non è più attuabile. I motivi sono numerosi e riguardano, per prima cosa, la complessità degli ecosistemi digitali. Questa è aumentata esponenzialmente sia a causa del proliferare di collegamenti sempre più flessibili (come le reti Wi-Fi), sia per l’uso intensivo di una varietà di dispositivi “intelligenti” (dagli smartphone ai device della Internet of Things) che hanno ampliato e sfumato i confini del perimetro di rete. Al punto che definire un “dentro” e un “fuori” oggi è qualcosa di terribilmente difficile.

Il ruolo del cloud

Un ulteriore elemento di complessità è introdotto dalle piattaforme cloud, che a fronte di indubbi vantaggi a livello di prestazioni, flessibilità e ottimizzazione dei costi pongono anche qualche problema di sicurezza. Il tema, in questo caso, non è quello di una “debolezza” del cloud a livello tecnico, quanto di una oggettiva difficoltà da parte degli amministratori IT ad adattarsi alla logica che ne consegue. La formula del “Software as a Service” (SaaS) richiede infatti un approccio completamente diverso alla protezione dei dati che si concentra, nella pratica, sulla gestione e il controllo degli accessi. In altre parole: se qualsiasi utente deve essere in grado di accedere ai servizi e alle risorse cloud in qualsiasi condizione, per esempio in mobilità, l’idea di utilizzare la vecchia prospettiva di un controllo della rete aziendale mostra tutti i suoi limiti. Quest’ultima, infatti, si ridefinisce di volta in volta a seconda del dispositivo utilizzato, dalle modalità di connessione e dalla tipologia stessa di servizio che viene usato.

Il nuovo obiettivo è la trasparenza

Come adeguarsi alla nuova realtà della cyber security? La risposta è in un cambio di filosofia che sostituisce il concetto di rete aziendale come “fortino inespugnabile” con quello di un’area sottoposta a un minuzioso sistema di sorveglianza. L’idea è quella di rendere “trasparente” qualsiasi attività in modo che possa essere monitorata e controllata, individuando tempestivamente eventuali anomalie che possano indicare un pericolo. Un ruolo fondamentale, di conseguenza, lo hanno i log. È proprio attraverso la raccolta e l’analisi sistematica di tutti gli eventi registrati all’interno della rete che è possibile controllare ciò che accade a livello IT e individuare eventuali attacchi prima che possano provocare danni. Ogni dispositivo connesso (in un’accezione ampia del termine) a livello aziendale diventa, oltre che un asset da proteggere, una sorta di “sensore” che permette di esercitare il controllo sulle attività in corso. La cyber security declinata nella logica della detection and response punta a offrire un livello di protezione adeguato al contesto attuale, che focalizzi l’attenzione sul tema degli accessi a risorse e servizi, della protezione dell’identità digitale e del monitoraggio delle attività all’interno della rete aziendale estendendola anche alla dimensione del cloud.

Che cosa serve?

Le soluzioni tecnologiche per adottare questo tipo di approccio non mancano e lo sviluppo di sistemi SIEM (Security Information and Event Management) in grado di “digerire” le informazioni provenienti dai più disparati tipi di dispositivi consentono di raccogliere con estrema efficacia tutte le informazioni che servono. L’impiego di sistemi di intelligenza artificiale, inoltre, permettono di elaborare e analizzare i dati attraverso processi automatizzati. Un contributo, quello dell’AI, che risulta fondamentale soprattutto nel definire le correlazioni tra gli eventi (o log) per consentire il monitoraggio degli eventi complessi, quelli cioè che possono rappresentare degli indicatori di compromissione. Indispensabile, però, è avere a disposizione un team di esperti di sicurezza interni o affiancati agli amministratori IT che siano in grado di “leggere” queste informazioni e mettere in campo tutte le contromisure necessarie per bloccare l’attacco, anche nell’ottica di eseguire l’analisi forense prevista dalle normative vigenti.

HWG - white paper - Cyber rischio: prevenire e rispondere agli incidenti

Marco Schiaffino

Giornalista

Marco Schiaffino si occupa di nuove tecnologie e sicurezza informatica dal 2000, come redattore (e in seguito caporedattore) di Computer Magazine. Giornalista freelance, ha collaborato con varie riviste di settore e siti di news, tra cui PC Professionale, CHIP e Il Fatto Quotidiano. È autore e conduttore della trasmissione rubrica radiofonica settimanale Doppio Click su Radiopopolare.

Articolo 1 di 4