fbpx
Bitcoin, Blockchain e il ginepraio delle fonti (in)attendibili
25 Novembre 2019
Una volta che la privacy è invasa, la privacy è perduta
2 Dicembre 2019

La conoscenza è la soluzione alle sfide attuali della Cyber Security

Al giorno d’oggi i professionisti della cyber security devono affrontare una quantità di sfide senza precedenti e, allo stesso tempo, di opportunità. Tra queste ultime devono essere annoverate le informazioni sulle potenziali minacce e vulnerabilità che, all’interno dei sistemi di sicurezza, possono aiutare i professionisti a svolgere il proprio lavoro in maniera più efficace.

Le informazioni di sicurezza, come quelle provenienti dai Cyber Threat Hunter, permettono alle organizzazioni di prevenire e di ridurre al minimo i danni derivanti dalle violazioni ai loro sistemi?

Ogni giorno i team di sicurezza (SOC) ricevono un’enorme quantità di avvisi non correlati alle reali minacce a cui sono esposti. Da ciò consegue una serie di effetti negativi, quali: l’aumento dei costi di gestione, la perdita di produttività e la riduzione dei livelli di sicurezza.

Alcune recenti soluzioni tecnologiche riescono a fornire un valido supporto alla risoluzione di queste problematiche, perché sfruttano le potenzialità offerte dal Machine Learning e dal Data Analytics.

Come ci dimostrano le recenti statistiche sui Cyber Security Incident, questo approccio non è ancora pervenuto ai risultati attesi. L’analisi degli eventi avversi ha messo in risalto, in molti casi, una scarsa compliance tra gli elementi caratterizzanti l’organizzazione e le soluzioni di sicurezza adottate.

Per risolvere queste problematiche occorre adottare una strategia operativa, coerente con l’organizzazione, e un’infrastruttura tecnologica che siano in grado di dare un significato a tutti i dati e, di conseguenza, semplificarne l’analisi.

Pertanto i sistemi di Cyber Threat Intelligence, su cui si fondano i moderni sistemi di Cyber Security, non devono eseguire le loro analisi basandosi solo sui dati provenienti dai sistemi di apprendimento interni ed esterni – quali gli Alerts, i Behavior o i Security Feed – ma devono comprendere ed esaminare anche gli indicatori che rappresentano il contesto in cui operano.

Apprendere il contesto organizzativo

Il concetto chiave può essere sintetizzato in un solo termine: la conoscenza (o knowledge).

L’esame approfondito dei Cyber Security Incident ha evidenziato numerose organizzazioni criminali, dotate di un’elevata capacità di attacco, in grado di intraprendere una serie di azioni complesse e sofisticate per il raggiungimento dell’obiettivo, a cui corrispondete una crescente intensità degli effetti negativi.

Le minacce di Cyber Security più nefaste attaccano i target su più fronti e agiscono sfruttando tattiche complesse e strumenti eterogenei. Di conseguenza l’azione di contrasto deve, necessariamente, prevedere una capacità di Detection e Response che prenda in considerazione tutti i fattori rappresentavi dell’organizzazione stessa.

I principali componenti, che da un lato aiutano a comprendere le criticità di un’organizzazione e, dall’altro, contribuiscono ad alimentare un efficace sistema di Cyber Threat Intelligence, possono essere individuati come segue:

  • le persone: la classificazione degli attori, la descrizione dei ruoli e delle responsabilità, la consapevolezza del Cyber Risk;
  • i processi: la descrizione delle attività e delle procedure adottate, i comportamenti degli attori, le interazioni interne ed esterne, la governance;
  • la tecnologia: le caratteristiche e la mappatura delle reti e dei sistemi informatici, degli strumenti di sicurezza e degli altri apparati intelligenti;
  • le informazioni: il dizionario delle informazioni gestite, la distinzione tra dati sensibili, classificati e non, le informazioni per la gestione della sicurezza;
  • la valutazione dei rischi: l’analisi dei rischi e delle vulnerabilità, l’accettazione del rischio residuo, il risk assessment;
  • i sistemi di controllo: le policy di sicurezza, i permessi di accesso, i sistemi di autovalutazione e di audit, ecc.

Attuando un processo di Data Fusion, le predette informazioni devono essere integrate a quelle pertinenti la Cyber Security (già citate) e produrre una base informativa più coerente, accurata e utile al processo di difesa.

Adottare soluzioni basate sull’Intelligence

Le soluzioni di difesa Intelligence Driven aiutano i team ad affrontare efficacemente le nuove sfide. Queste tecnologie, che sfruttano il Machine Learning e la capacità di analisi dei Big Data, possono notevolmente favorire e velocizzare il processo di identificazione e analisi dei trend più importanti migliorando così la protezione dalle minacce reali.

Per gestire e risolvere gli attuali problemi di sicurezza le organizzazioni hanno bisogno di nuove tecnologie, come l’apprendimento automatico (ML) e l’intelligenza artificiale (AI), perché i processi di sicurezza convenzionali non possono essere ridimensionati e non sono idonei a gestire le attuali esigenze di Cyber Security.

Il Machine Learning e l’Intelligenza Artificiale facilitano le attività di:

  • analisi di tutte le informazioni che arrivano,
  • identificazione dei posti giusti in cui cercare le anomalie,
  • risposta di cui le organizzazione hanno bisogno per trovare le minacce in pochi minuti o giorni (e non settimane o mesi).

Le capacità computazionali e analitiche di un framework di Cyber Threat Intelligence permettono di identificare segnali come gli utenti più rischiosi all’interno di un’organizzazione e le potenziali minacce che questi rappresentano.

Ad esempio, sono in grado di rilevare un attacco completo ad un’organizzazione attraverso la disamina di una combinazione di dati provenienti dall’Active Directory, dal Repository degli IP Log, dai Proxy Web e dai dati dai DLP, e, di conseguenza, i team possono rapidamente visualizzare e comprendere lo stato degli utenti, dei repository, degli endpoint e del traffico di rete.

Tutto ciò consente di ottimizzare tempo, risorse e budget spesi per la fase di detection; riduce il tempo dedicato alla raccolta dei dati e concede più tempo alla comprensione di un attacco. Il team può valutare, in tempo reale, l’indice di rischio di un’entità come un utente, un file, un dispositivo client, un server, un indirizzo IP o un altro componente IT.

Se tutte queste informazioni potessero essere rappresentate in una dashboard intuitiva e interattiva, gli operatori sarebbero messi nelle condizioni di analizzare direttamente i dettagli delle caratteristiche, dei patterns di utilizzo e dei comportamenti di un’entità considerata a rischio più elevato rispetto ad altri. Il sistema d’Intelligence offre, inoltre, la possibilità di apprendere in modo dinamico i modelli di comportamento e di contesto per ciascuna entità e il modo in cui tali entità interagiscono tra loro. Il Machine Learning Analytics è in grado di distinguere facilmente le attività normali da quelle anomale. Ciò comporta una valutazione del rischio di altissima qualità e riduce i falsi positivi caratteristici di altri modelli di valutazione del rischio.

È importante sottolineare che un livello di sicurezza ottimale non dipende solo dalla distribuzione degli strumenti e dalla loro operatività. Gli operatori alla sicurezza devono lavorare a stretto contatto gli altri colleghi, per comprendere i dati e il contesto di riferimento.

Occorre, inoltre, tenere presente che ciò che rende una soluzione così efficace sono i dati. Più dati sono disponibili e meglio funziona la logica. Migliore è il funzionamento della logica e più velocemente i team possono rilevare una minaccia reale. E, infine, più velocemente sono in grado di rilevare una minaccia, più velocemente possono rispondere. Pertanto, se si utilizzassero le tecnologie basate sul Machine Learning, l’aggiunta di dati da più fonti eterogenee favorirebbe la rilevazione delle minacce.

Conclusioni

I vettori di attacco stanno diventando sempre più celati e variegati, permettendo agli utenti malevoli – come gli hacker o i criminali informatici – di non essere rilevati tramite gli strumenti tradizionali. Per comprendere realmente l’impatto di una minaccia, i team devono adottare un approccio olistico che sia in grado di valutare le informazioni da diversi punti di vista.

Gli strumenti di difesa basati su Machine Learning e Data Analytics consentono di accedere direttamente a un elenco di segnali di compromissione di ottima qualità, in modo da poter identificare rapidamente le minacce. Poiché nessun addetto alla sicurezza è in grado di superare la velocità computazionale con cui un sistema informatico può elaborare e correlare grandi quantità di dati provenienti da più fonti, questa soluzione offre una capacità di analisi con un livello di efficienza e produttività senza precedenti.

 

Articolo a cura di Vincenzo Calabrò

Vincenzo Calabrò

Referente Informatico e Funzionario alla Sicurezza CIS,
Professore a contratto di Tecnologie per la Sicurezza Informatica.

Si è laureato in Ingegneria Informatica ed in Sicurezza Informatica presso le Università di Roma La Sapienza e di Milano. Ha, altresì, conseguito i seguenti Master in Diritto, Economia e Tecnologie Informatiche, in Sicurezza Informatica ed Investigazioni Digitali, in Management & E-Governance per la Pubblica Amministrazione, in Information & Communication Technology e in Cybersecurity.

Dal 1992 ricopre, nei ruoli del Ministero dell'Interno, gli incarichi di Referente Informatico e di Funzionario alla Sicurezza CIS. In tale veste si occupa della gestione di diversi sistemi informativi, assicura la funzionalità delle connessioni telematiche esterne e contribuisce alla definizione e implementazione delle misure di sicurezza informatica. Ha, inoltre, partecipato alla progettazione e realizzazione di diverse banche dati relazionali, di applicativi gestionali, di sistemi collaborativi, di portali web e di alcune reti Lan e Wan.

Dal 2004 opera nel campo della Sicurezza Informatica dal punto di vista tecnico e giuridico. In particolare, realizza l’analisi dei sistemi e la progettazione degli interventi, la valutazione dei rischi per la riduzione delle minacce, il penetration test, la redazione dei piani di sicurezza e di protezione dei dati, lo sviluppo delle policy di sicurezza, la definizione di procedure per la gestione e la manutenzione dei sistemi, l’intervento in caso di emergenza per il contenimento dei danni.

Dal 2005 esercita, su incarico di Privati o della Procura, l'attività di Consulente Tecnico in procedimenti civile e penali, a fini legali e per utilizzo in Tribunale o in sede stragiudiziale, sui temi dell’Informatica Forense e delle Investigazioni Digitali che includono l'uso dell’ICT con particolare riferimento ai reati informatici e telematici.

Dal 2017 è Professore a contratto del corso di Tecnologie per la Sicurezza Informatica afferente al Corso di Laurea Magistrale in Ingegneria Informatica e dei sistemi per le Telecomunicazioni dell’Università degli Studi Mediterranea di Reggio Calabria.

È relatore in diversi corsi di formazione e seminari di aggiornamento professionale presso Enti della P.A., Associazioni Professionali ed Università.

È autore di alcuni articoli e saggi in tema di sicurezza informatica e investigazioni digitali.

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy