Monitoraggio continuo in cyber security: un approccio metodologico

Il monitoraggio continuo è essenziale nell’ecosistema della sicurezza informatica di un’organizzazione. Una corretta progettazione, implementazione e monitoraggio continuo forniscono uno specchio reale just-in-time di utenti, dispositivi, reti, dati, attività dei carichi di lavoro e stato nell’infrastruttura dell’organizzazione.

Tale processo aiuta anche a identificare qualsiasi intrusione nei sistemi e nell’infrastruttura dell’organizzazione per dare ai membri del team di sicurezza informatica la capacità di stare un passo avanti agli intrusi.

Oltre a questo, i professionisti IT e di assicurazione delle informazioni possono ottenere informazioni prima di un attacco contro la loro organizzazione attraverso il monitoraggio continuo.

Poiché le organizzazioni stanno perseguendo ampiamente la trasformazione digitale, molte hanno implementato sofisticati software applicativi per la digitalizzazione della propria attività, come Enterprise Resource Planning (ERP), sistemi bancari di base, sistemi di gestione delle carte, sistemi di gestione delle relazioni con i clienti, applicazioni mobili e applicazioni web per garantire servizi al cliente fluidi e riuscire così a coprire un numero sempre maggiore di clienti.

Nel nuovo ambiente, il numero di lavoratori remoti aumenta di giorno in giorno e aumenta la necessità di connettività remota per i fornitori di terze parti per implementare nuovi progetti, il che aumenta anche le minacce e i rischi informatici. Il gran numero di dipendenti che ora lavorano da casa solleva preoccupazioni sulla sicurezza dei dati poiché decentralizza le operazioni di rete, creando lacune nella rete aziendale.

L’importanza del SOC (Security Operation Center)

A tal fine, è possibile ottenere un monitoraggio continuo, implementando un Security Operations Center (SOC) significativo e funzionante nell’organizzazione. Per garantire un’efficace prevenzione, rilevamento, valutazione e capacità di rispondere alle attività avversarie, il SOC aiuta a identificare incidenti e intrusioni raccogliendo registri ed eventi da diversi sistemi e applicazioni, identificando e rilevando anomalie e generando avvisi.

WHITEPAPER Perché impostare una strategia di manutenzione dei server? Datacenter Sicurezza

Sebbene il SOC sia importante per il monitoraggio continuo, dipende da professionisti qualificati con esperienza in più aree: rete, sistemi, database, programmazione, sicurezza informatica, caccia alle minacce, governance IT, analisi forense digitale e conoscenza della valutazione delle vulnerabilità e dei test di penetrazione (VAPT).

È risaputo che i criminali nel mondo cibernetico non fanno pause, quindi le organizzazioni devono ottenere capacità di monitoraggio continuo implementando il SOC. Anche se le organizzazioni monitorano la propria infrastruttura e le proprie applicazioni nel normale orario lavorativo, non vi è alcuna garanzia che gli aggressori facciano lo stesso. Gli intrusi spesso eseguono i loro attacchi nei fine settimana e dopo il normale orario di lavoro. Un SOC centralizzato consente ad un’organizzazione di monitorare e ridurre le possibilità di attacco eseguendo il rilevamento precoce delle intrusioni.

Gli attacchi informatici causano alle organizzazioni perdite finanziarie, danni alla reputazione, interrompono le operazioni aziendali, portano a frodi transazionali e causano il mancato rispetto dei requisiti normativi. Il monitoraggio continuo può proteggere da questi risultati e garantire il ROI (Return on Investments) degli investimenti in sicurezza. Bloccare un singolo attacco informatico attraverso l’implementazione di un SOC efficace può garantire un significativo ritorno sull’investimento in sicurezza.

Strategia per un monitoraggio continuo di successo

Alla luce di quanto appena detto, è dunque utile fare alcune considerazioni per un monitoraggio continuo di successo.

Priorità delle minacce: le organizzazioni devono far fronte alla scarsità di risorse, quindi devono utilizzare le stesse in modo efficace ed efficiente e l’implementazione del SOC deve disporre di un piano per dare la priorità alle minacce informatiche e rispondere in modo tempestivo. Selezione di strumenti di monitoraggio continuo: per implementare il SOC, le organizzazioni devono connettere diverse soluzioni software, come SIEM, GRC, strumenti VAPT, test software, strumenti di gestione della configurazione e altro. Gestione delle patch pianificate: la gestione delle patch è fondamentale nella gestione del rischio informatico aziendale. Fallire in quest’area può portare ad attacchi informatici su sistemi vulnerabili. Distribuendo un’adeguata gestione delle patch, le organizzazioni possono disporre di sistemi aggiornati e protetti. Consapevolezza e formazione dei dipendenti: la sicurezza informatica non è mai garantita ed efficace al 100%, ma una forza lavoro consapevole della tecnologia può aiutare a ridurre la superficie di attacco. La forza lavoro consapevole della sicurezza informatica ha maggiori probabilità di aggiornare regolarmente i propri sistemi e applicazioni, rafforzando la sicurezza informatica complessiva delle organizzazioni. A seconda del loro livello di competenza, i dipendenti possono anche aiutare a identificare potenziali vulnerabilità all’interno dei sistemi.

I SOC raccolgono costantemente dati dall’interno dell’organizzazione e li mettono in relazione con i dati raccolti da una serie di fonti esterne che forniscono informazioni su minacce e vulnerabilità. Queste fonti di intelligence esterne includono feed di notizie, aggiornamenti delle firme, rapporti sugli incidenti, brief sulle minacce e avvisi di vulnerabilità che aiutano il SOC a tenere il passo con le minacce informatiche in evoluzione.

Il personale SOC deve costantemente fornire informazioni sulle minacce per gestire quelle note ed esistenti mentre lavora per identificare i rischi emergenti.

Prendendo spunto da un importante documento emesso dal National Institute of Standards and Technology NIST SP 800-137 , il monitoraggio continuo può essere eseguito al fine di:

mantenere costantemente la consapevolezza della situazione per i sistemi gestiti dalle organizzazioni e l’ecosistema dei fornitori; continuare a comprendere le minacce e le attività relative alle minacce; garantire l’efficace valutazione di tutti i controlli di sicurezza delle informazioni; garantire la raccolta, la correlazione ed analisi efficaci delle informazioni relative alla sicurezza; fornire una comunicazione fruibile dello stato di sicurezza a tutti i livelli dell’organizzazione; gestire in modo efficace ed efficiente il rischio informatico da parte dei funzionari dell’organizzazione; integrare framework di sicurezza delle informazioni e gestione dei rischi.

Per migliorare i vantaggi dell’investimento nella sicurezza IT e garantire il monitoraggio continuo della stessa, è importante generare avvisi tempestivi di attività e traffico sospetti. Per eseguire questo monitoraggio continuo, l’intelligenza e la consapevolezza umane sono molto importanti ma a volte non sufficienti.

Come migliorare in futuro

Se cerchiamo di analizzare e migliorare la posizione della sicurezza informatica ci accorgiamo che questa sta sempre più diventando un problema troppo grande per le capacità umane

In risposta a questa sfida senza precedenti, si fanno strada strumenti basati sull’intelligenza artificiale (AI) al fine di aiutare i team di sicurezza delle informazioni a ridurre il rischio di violazione e migliorare la propria posizione di sicurezza in modo efficiente ed efficace.

L’intelligenza artificiale e l’apprendimento automatico (machine learning) sono diventate tecnologie fondamentali per la sicurezza delle informazioni, poiché sono in grado di analizzare rapidamente milioni di eventi e identificare molti diversi tipi di minacce, dal malware che sfrutta le vulnerabilità zero-day all’identificazione di comportamenti rischiosi che potrebbero portare ad un attacco phishing o di codice dannoso.

Queste tecnologie apprendono nel tempo, attingendo allo storico delle azioni effettuate per identificare nuovi tipi di attacchi. Lo storico del comportamento crea profili su utenti, risorse e reti, consentendo all’intelligenza artificiale di rilevare e rispondere alle deviazioni dalle norme stabilite.

L’intelligenza artificiale

Ma quali sono i tipi di metodologie che si stanno affacciando sul mercato in aiuto al controllo e al monitoraggio dei sistemi?

L’intelligenza assistita, oggi ampiamente disponibile, migliora ciò che le persone e le organizzazioni stanno già facendo. L’intelligenza aumentata, emergente oggi, consente alle persone e alle organizzazioni di fare cose che altrimenti non potrebbero fare. L’intelligenza autonoma, in fase di sviluppo per il futuro, dispone di macchine che agiscono da sole.

L’apprendimento automatico, i sistemi esperti, le reti neurali e il deep learning sono tutti esempi o sottoinsiemi della tecnologia AI.

Machine learning: utilizza tecniche statistiche per dare ai sistemi informatici la capacità di “imparare” (ad esempio, migliorare progressivamente le prestazioni) utilizzando i dati anziché essere esplicitamente programmati. L’apprendimento automatico funziona meglio se mirato a un compito specifico piuttosto che a una missione di ampio respiro. Expert systems: sono programmi progettati per risolvere problemi all’interno di domini specializzati. Imitando il pensiero degli esperti umani, risolvono problemi e prendono decisioni utilizzando un ragionamento basato su regole attraverso cluster di conoscenza accuratamente studiati. Neural networks: utilizzano un paradigma di programmazione ispirato alla biologia che consente ad un computer di apprendere dai dati osservati. In una rete neurale, ogni nodo assegna un peso al suo input che valuta quanto sia corretto o scorretto rispetto all’operazione che viene eseguita. L’output finale è quindi determinato dalla somma di tali pesi. Deep learning: fa parte di una famiglia più ampia di metodi di acquisizione automatici basati su rappresentazioni di dati di apprendimento. Oggi, il riconoscimento delle immagini tramite deep learning è spesso migliore degli umani, con una varietà di applicazioni come veicoli autonomi, analisi di scansione e diagnosi mediche.

Abbiamo quindi a disposizione un panorama enorme di applicazioni che possono generare un sostanziale aiuto anche nel campo della sicurezza informatica in una battaglia continua tra minacce e contromisure.

WHITEPAPER Automotive: come il digitale migliora tracciabilità, flessibilità produttiva e performance Automotive Big Data

@RIPRODUZIONE RISERVATA