Difficile sfuggire al cybercrime: servono visibilità, analisi e automazione

L’approccio tradizionale ai SIEM è diventato limitante, di fronte a un panorama della cyber security che si fa sempre più complesso. Servono piattaforme che siano davvero di aiuto per gli staff della sicurezza IT. Come quella di NetWitness/Rsa Security. Segui il webinar per scoprire questo vendor di riferimento del mercato. Appuntamento il prossimo 4 novembre alle 11.00

Autore: Redazione ChannelCity

Lo scenario della cyber security è in continua evoluzione e mette CISO, CSO e staff della sicurezza IT di fronte a minacce sempre più frequenti, pericolose ed articolate. Da un lato le architetture IT aziendali sono sempre più distribuite e frammentate, cosa che rende impossibile immaginare la classica cyber difesa perimetrale. Banalmente perché il perimetro dell’IT non esiste più. Non ci sono più un “dentro” in cui le risorse IT sono più al sicuro e un “fuori” in cui sono più minacciate. Questo è vero già da tempo, l’avvento del lavoro ibrido, dell’edge computing e del cloud ha ulteriormente aumentato il livello di distribuzione delle risorse e dei dati da proteggere.

Parallelamente, le aziende hanno davanti un “nemico” che è molto più organizzato e ricco di risorse rispetto a qualche tempo fa. Il cyber crime è oggi una forma di criminalità organizzata al pari di quelle a cui siamo già abituati nel mondo fisico. Si muove per precise motivazioni economiche e ha imparato a mettere in atto, di volta in volta, gli attacchi che sono più redditizi in un certo momento storico e per determinati tipi di aziende-bersaglio. Tutte le aziende sono bersagli appetibili perché tutte possiedono qualcosa di prezioso: i loro dati. E soprattutto i dati dei loro clienti e partner commerciali.

L’approccio tradizionale è superato
In questo scenario il problema principale per chi si occupa di cyber security nelle imprese è avere una visione sempre aggiornata e precisa della propria “security posture”.
Quali attacchi, più o meno importanti, sta subendo la mia rete? Quali eventi potenzialmente sospetti stanno coinvolgendo i miei asset digitali? Cosa posso intuire dal comportamento dei miei utenti ipoteticamente leciti? Quali delle tante minacce in rete potrebbero toccarmi da vicino, nel prossimo futuro? E soprattutto, considerato che il tempo e le risorse a disposizione degli staff IT sono sempre limitati, cosa può essere ignorato in un dato momento e cosa invece va affrontato immediatamente?
Segui il webinar NetWitness/RSA Security con il distributore a valore ArrowIl perimetro digitale senza confini: serve visibilità completa e pervasiva”, in programma il prossimo 4 novembre alle 11.00. 
Storicamente, le piattaforme SIEM hanno cercato di rispondere a buona parte di queste domande. Si sono affermate come “collettori universali” degli eventi collegati alla cyber security, andando a formare una base di conoscenza che gli analisti di sicurezza potevano esaminare per individuare minacce, attacchi, falle, interventi da eseguire, azioni di remediation da mettere in atto. Il problema è che oggi il volume e la velocità degli attacchi in rete rende questo approccio inadeguato, se non viene aggiornato allo stato dell’arte. Inoltre, gli eventi in rete collegati alla cyber security sono troppi per poterli esaminare nel modo tradizionale.
Serve una soluzione avanzata che garantisca visibilità, analisi e automazione di pari passo. Una soluzione che guardi a tutte le sorgenti dati possibili (file di log, traffico di rete, cloud, comportamento degli utenti, profili d’uso degli endpoint, metadati, informazioni di threat intelligence) e che le analizzi e correli centralmente per una semplificazione ed automazione dei processi.
Non più dunque solo SIEM ma anche XDR per la protezione ed il controllo esteso del traffico sul network e sugli end points.
Assemblare una quantità di informazioni tale da raggiungere una visibilità idealmente “totale” è poi solo l’inizio. Oggi il fattore probabilmente più importante nella reazione ad un attacco, qualsiasi forma esso prenda, è la rapidità di risposta. Questo significa che una piattaforma di cyber security non deve solo individuare tutti gli eventi anomali ma selezionarli automaticamente per presentare allo staff di cyber security solo quelli davvero importanti. Se così non fosse, sarebbe troppo elevato il rischio di perdere tempo dietro ad eventi anomali sì, ma poco significativi, mentre un attacco più importante è in corso. Funzioni di analisi proattiva dei dati di security sono possibili, ma solo grazie ad elementi di machine learning che possano filtrare enormi basi di conoscenza.
Il machine learning fa da ponte tra la parte, fondamentale ma non sufficiente, di detection e quella di response, che deve essere sempre più ottimizzata. Il tempo, quando si reagisce ad un attacco, è infatti cruciale. Questo significa che una piattaforma di sicurezza che prenda le mosse dai modello convenzionale dei SIEM deve acquisire anche funzioni di orchestrazione ed automazione.
Orchestrazione perché deve essere in grado di far interagire sinergicamente moduli di sicurezza diversi che hanno ciascuno la loro specificità e utilità. Automazione perché, una volta individuata una minaccia, deve mettere velocemente in atto le misure di reazione e mitigation più opportune.
A seconda delle necessità e delle preferenze dei CSO o CISO, poi, queste funzioni cosiddette di Security Orchestration, Automation and Response (SOAR) devono essere modulabili, ossia più o meno libere di intervenire senza il coinvolgimento del personale umano.
Serve armonia
Visibilità, trasversalità dal cloud agli endpoint, threat intelligence, orchestrazione, automazione, machine learning: a posteriori sembra quasi ovvio che una moderna piattaforma di sicurezza abbia tutte queste componenti. Ma integrarle e farle operare in armonia non è affatto scontato: bisogna avere adottato un approccio architetturale chiaro in cui le varie funzioni di cyber security condividano informazioni in tempo reale e si completino a vicenda senza lasciare “aree grigie” che sarebbero rapidamente sfruttate dai cyber attaccanti. Ma, allo stesso tempo, un approccio modulare che sappia adattarsi alle scelte che il singolo utente avrà già fatto in quanto ad architetture IT in generale e di cyber security in particolare.
D’altronde, la cyber security interessa tutti ma non è per questo diventata un campo per tutti.
Tutti temi al centro del webinar NetWitness/RSA Security con il distributore a valore ArrowIl perimetro digitale senza confini: serve visibilità completa e pervasiva”, in programma il prossimo 4 novembre alle 11.00. 

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.