“Un sistema immunitario intelligente e integrato: questo è il nostro approccio alla sicurezza”, esordisce Francesco Teodonno, IBM Security Leader di IBM Italia, nella recente intervista rilasciata a ZeroUno: “Un approccio che va a toccare i vari controlli di sicurezza che in un’azienda devono essere presidiati con tecnologie, processi e persone: sicurezza applicativa, mobile, dei dati, della rete, delle identità. Tutti questi controlli devono poi essere integrati l’uno con l’altro con un livello di intelligence che ci faccia capire cosa succede nei vari ambiti”.
Di questo servizio fa parte anche il seguente articolo:
- IBM Zurich Research Laboratory: crittografia a prova di computer quantistico e cloud oriented
Secondo il manager IBM, tutti questi livelli di sicurezza oggi nelle aziende italiane vengono presidiati solo parzialmente: “Quindi dobbiamo, prima di tutto, portare le aziende a capire l’importanza di un controllo pervasivo e poi la necessità di una security intelligence che aiuti, chi deve gestire la sicurezza, a capire quello che sta avvenendo dentro e fuori l’azienda”.
La security intelligence targata Watson
Ed ecco che nella security si introducono i temi dell’intelligenza artificiale e del machine learning: “La presenza di alcuni di questi controlli di sicurezza richiede la gestione di un numero di dati enorme, in tempi molto brevi e l’uomo, che rimane l’ultimo decisore, deve avere un sistema che gli consenta di prendere decisioni con una base di dati che sia il più possibile precisa”.
Molte aziende, sicuramente le più grandi, hanno dei Security Operation Center dove vengono correlati tutti i dati che arrivano dalle varie aree di competenza e, grazie a un software SIEM (Security Information and Event Management) che segnala un possibile incidente di sicurezza, gli analisti di security decidono il da farsi. “Un SIEM si basa su regole, protocolli più o meno consolidati rispetto ai quali si segnala l’anomalia di un evento che può quindi rappresentare un incidente di sicurezza. Ma per decidere se un’anomalia è davvero un incidente di sicurezza bisogna correlare molti dati e se l’analista deve farlo senza alcun supporto, la reazione può essere molto lenta”, ricorda Teodonno che spiega come il SIEM di IBM, IBM QRadar Security Intelligence Platform, sia un sistema di security intelligence che, grazie a IBM QRadar Advisor with Watson, consente di avere un’informazione molto dettagliata di quello che sta avvenendo, dei vettori di attacco, dei modelli di comportamento dell’attacco, dello stadio in cui si trova: “I nostri studi indicano che le aziende impiegano in media fino a 200 giorni per accorgersi di un attacco; grazie a QRadar Advisor queste informazioni dettagliate sono disponibili in un tempo medio che va dai 3 ai 5 minuti (ma nella maggior parte dei casi si ferma a 3) e in questo lasso di tempo l’analista capisce se l’alert è davvero un incidente di sicurezza”.
Utilizzando i dati raccolti da IBM X-Force, la task force dell’azienda sulla security, sulla base delle centinaia di SOC gestiti da IBM nel mondo e dei dati di altri partner, “Watson dispone di una base dati strutturati superiore ai 10 miliardi di elementi – prosegue Teodonno – che vengono aumentati continuamente; a questa si aggiungono dati non strutturati che derivano dai siti web, dai blog, dai social, con oltre 1 milione e 200 mila documenti ai quali se ne aggiungono 10/15.000 ogni giorno”.
Soli non si arriva da nessuna parte: la forza della collaborazione
Ma la forza di un sistema di security intelligence viene dalla possibilità di imparare potendo utilizzare un bacino il più ampio possibile, quindi poter condividere i dati sugli attacchi è fondamentale: “Insieme all’AI e al cloud, quello della collaborazione è un tema forte della security. I diversi attori devono lavorare insieme perché se il cybercrime è globale anche la risposta deve esserlo”.
A supporto di questa affermazione, il manager IBM ricorda la disponibilità di IBM X-Force Exchange, una piattaforma in cloud di condivisione di dati che consente di consultare, condividere e utilizzare la threat intelligence: “La piattaforma consente di ricercare rapidamente le minacce globali di sicurezza più recenti, aggregare informazioni utilizzabili, consultare esperti e collaborare con i colleghi. IBM X-Force Exchange, supportato da informazioni generate automaticamente e manualmente, sfrutta la portata di IBM X-Force Force per consentire agli utenti di tenere sotto controllo le minacce emergenti”.
Infine, ma non certo per importanza, il manager IBM ricorda come quello della sicurezza sia un tema di cultura: “La sicurezza è fatta di tecnologie, processi e persone. Se questi tre elementi non lavorano insieme, in modo coordinato, il livello di sicurezza non potrà mai alzarsi. Inoltre, oggi le minacce informatiche si estendono a mondi, come quello industriale, che fino a qualche anno fa ne erano praticamente immuni. Dai singoli prodotti, come le automobili, alle infrastrutture critiche, agli impianti produttivi è necessario effettuare analisi per modellare correttamente i sistemi di sicurezza”.
