Attualità

Dalla gestione dei log al monitoraggio degli eventi complessi, come cambia la cyber security

La nuova dimensione della cyber security passa dal concetto di detection and response: ecco come cambiano le tecniche di protezione.

Pubblicato il 15 Lug 2020

cyber security

Ormai lo dicono tutti gli esperti di cyber security: la sicurezza al 100% non esiste. Può sembrare una visione pessimista, ma rappresenta bene la realtà che vivono tutte le aziende, che si trovano a essere bersagliate costantemente dagli attacchi dei pirati informatici. A imporre un cambio di prospettiva nella sicurezza informatica, però, non è solo il progressivo aumento dell’attività da parte dei cyber criminali. Un ruolo fondamentale lo hanno anche le trasformazioni che stanno interessando le infrastrutture IT.

Il mondo dell’IT non è più così semplice

La visione tradizionale della cyber security si basava su due semplici pilastri: il rilevamento dei malware sugli endpoint (tipicamente PC) e il controllo dei collegamenti tra l’interno del network aziendale e l’esterno, partendo dall’assioma secondo cui tutto ciò che si trova all’interno del perimetro aziendale può essere considerato affidabile mentre ciò che arriva dall’esterno deve essere controllato. Nel panorama attuale, questo tipo di impostazione non è più attuabile. I motivi sono numerosi e riguardano, per prima cosa, la complessità degli ecosistemi digitali. Questa è aumentata esponenzialmente sia a causa del proliferare di collegamenti sempre più flessibili (come le reti Wi-Fi), sia per l’uso intensivo di una varietà di dispositivi “intelligenti” (dagli smartphone ai device della Internet of Things) che hanno ampliato e sfumato i confini del perimetro di rete. Al punto che definire un “dentro” e un “fuori” oggi è qualcosa di terribilmente difficile.

Il ruolo del cloud

Un ulteriore elemento di complessità è introdotto dalle piattaforme cloud, che a fronte di indubbi vantaggi a livello di prestazioni, flessibilità e ottimizzazione dei costi pongono anche qualche problema di sicurezza. Il tema, in questo caso, non è quello di una “debolezza” del cloud a livello tecnico, quanto di una oggettiva difficoltà da parte degli amministratori IT ad adattarsi alla logica che ne consegue. La formula del “Software as a Service” (SaaS) richiede infatti un approccio completamente diverso alla protezione dei dati che si concentra, nella pratica, sulla gestione e il controllo degli accessi. In altre parole: se qualsiasi utente deve essere in grado di accedere ai servizi e alle risorse cloud in qualsiasi condizione, per esempio in mobilità, l’idea di utilizzare la vecchia prospettiva di un controllo della rete aziendale mostra tutti i suoi limiti. Quest’ultima, infatti, si ridefinisce di volta in volta a seconda del dispositivo utilizzato, dalle modalità di connessione e dalla tipologia stessa di servizio che viene usato.

Il nuovo obiettivo è la trasparenza

Come adeguarsi alla nuova realtà della cyber security? La risposta è in un cambio di filosofia che sostituisce il concetto di rete aziendale come “fortino inespugnabile” con quello di un’area sottoposta a un minuzioso sistema di sorveglianza. L’idea è quella di rendere “trasparente” qualsiasi attività in modo che possa essere monitorata e controllata, individuando tempestivamente eventuali anomalie che possano indicare un pericolo. Un ruolo fondamentale, di conseguenza, lo hanno i log. È proprio attraverso la raccolta e l’analisi sistematica di tutti gli eventi registrati all’interno della rete che è possibile controllare ciò che accade a livello IT e individuare eventuali attacchi prima che possano provocare danni. Ogni dispositivo connesso (in un’accezione ampia del termine) a livello aziendale diventa, oltre che un asset da proteggere, una sorta di “sensore” che permette di esercitare il controllo sulle attività in corso. La cyber security declinata nella logica della detection and response punta a offrire un livello di protezione adeguato al contesto attuale, che focalizzi l’attenzione sul tema degli accessi a risorse e servizi, della protezione dell’identità digitale e del monitoraggio delle attività all’interno della rete aziendale estendendola anche alla dimensione del cloud.

Che cosa serve?

Le soluzioni tecnologiche per adottare questo tipo di approccio non mancano e lo sviluppo di sistemi SIEM (Security Information and Event Management) in grado di “digerire” le informazioni provenienti dai più disparati tipi di dispositivi consentono di raccogliere con estrema efficacia tutte le informazioni che servono. L’impiego di sistemi di intelligenza artificiale, inoltre, permettono di elaborare e analizzare i dati attraverso processi automatizzati. Un contributo, quello dell’AI, che risulta fondamentale soprattutto nel definire le correlazioni tra gli eventi (o log) per consentire il monitoraggio degli eventi complessi, quelli cioè che possono rappresentare degli indicatori di compromissione. Indispensabile, però, è avere a disposizione un team di esperti di sicurezza interni o affiancati agli amministratori IT che siano in grado di “leggere” queste informazioni e mettere in campo tutte le contromisure necessarie per bloccare l’attacco, anche nell’ottica di eseguire l’analisi forense prevista dalle normative vigenti.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati