Per chi lavora nella cyber security, gli ultimi due anni hanno rappresentato una vera rivoluzione. A provocarla, la promulgazione ed entrata in vigore di una serie di normative a livello europeo che hanno imposto obblighi (e un sistema sanzionatorio) per le aziende, “forzando” un cambio di prospettiva fin troppo a lungo rimandato. A partire dal NIS (Network and Information Security) per arrivare al GDPR (Regolamento Generale sulla Protezione dei Dati) il nuovo quadro legislativo delinea un concetto di sicurezza informatica estremamente evoluto rispetto a quello cui eravamo abituati. Nel complesso, il legislatore non ha fatto altro che imporre un cambio di prospettiva che ha adeguato gli obblighi al panorama attuale, in cui garantire sistemi e procedure di cyber security è una necessità per qualsiasi azienda. Il complesso di obblighi istituito con le normative, a cui si dovrà aggiungere il decreto-legge 21 settembre 2019, n. 105 e i cui contenuti in termini di obblighi per le aziende sono ancora in via di definizione, sposta infatti il focus della cyber security su una logica di detect and response, abbandonando il vecchio concetto di protezione del perimetro. In altre parole, le aziende non possono più limitarsi a una logica di difesa del perimetro, ma devono implementare tutti gli strumenti e i processi che permettono di garantire una reale sicurezza attraverso sistemi di verifica, monitoraggio e revisione continua delle infrastrutture informatiche.
Indice degli argomenti
L’importanza dei processi
Il focus sulla protezione dei dati e sulla necessità di rispondere a un sistema di monitoraggio degli incidenti informatici ha un primo effetto sulla predisposizione degli strumenti: porre l’accento sulla definizione e implementazione di processi attraverso un Incident Response Plan, il cui obiettivo è duplice: da una parte rispondere all’esigenza di individuare gli attacchi e mitigare il danno, dall’altro quello di eseguire la post analysis che consente di delineare la reale portata dell’incidente. Fondamentale, di conseguenza, è la predisposizione di processi che consentano di mantenere un costante livello di monitoraggio delle infrastrutture (sia a livello di endpoint che di network) e definire le dinamiche della response in caso di violazione. In quest’ottica è bene tenere presente lo scenario attuale in cui si muovono le aziende, in particolare quelle che operano nel settore industriale, che sono sotto un attacco costante da parte di gruppi di pirati informatici e criminal hacker. In un panorama simile, l’incognita riguardo il verificarsi di un incidente informatico è rappresentata solo dal fattore tempo. Insomma: non è più questione di considerare “se” si verificherà un attacco, bensì di “quando”.
Gestire le vulnerabilità
Uno dei settori in cui è maggiormente rilevante il passaggio a una logica di processo è quella relativa al vulnerability management. Gli aggiornamenti software in grado di correggere le vulnerabilità, in un’ottica di prevenzione, rappresentano infatti il primo passaggio per garantire la sicurezza dei sistemi. Se il ragionamento può sembrare ovvio, nella pratica le cose non sono così semplici. L’applicazione di una patch, soprattutto se interessa applicazioni critiche, richiede infatti una fase di test e un’attenta pianificazione prima dell’installazione. Il rischio, infatti, è che una banale incompatibilità nella nuova versione del software possa provocare effetti indesiderati, instabilità dei sistemi o, peggio ancora, il loro blocco. La predisposizione di processi che consentono di regolare tutto il percorso, prevedendo anche l’applicazione di strumenti di mitigazione del rischio (per esempio a livello di impostazioni) consente di eliminare il rischio che l’azienda rimanga “scoperta” e che i pirati informatici trovino le porte spalancate per portare i loro attacchi.
Il ruolo del Security Operation Center
L’affidamento della protezione e della gestione dei processi a un Security Operation Center (SOC), che fino a qualche anno fa veniva considerata una prerogativa di aziende di grandi dimensioni, diventa oggi il perno intorno al quale ruota lo stesso concetto di cyber security. Solo un’attività continua di monitoraggio da parte del centro attraverso i sistemi SIEM (Security Information and Event Management) permette infatti di agire sia in una logica di prevenzione, per esempio attraverso l’elaborazione dell’attività di intelligence, sia in una logica di controllo, attraverso l’aggregazione dei log che consentono il monitoraggio delle attività sui sistemi. Nel dettaglio, i sistemi di next generation adottano tecniche di verifica basate su machine learning e intelligenza artificiale, oltre a rilevare URL, indirizzi IP e hash di file che sono stati individuati a livello di intelligence come indici di compromissione (IoC) e che vengono utilizzati come “attivatori” per avviare indagini più approfondite. In fase di remediation, invece, il compito del SOC è quello di mettere in campo tutte le attività necessarie per bloccare la minaccia impedendo il movimento laterale e la diffusione su altre macchine all’interno della rete. Il team effettua anche l’analisi dettagliata di come è avvenuta la breccia al fine di individuare tutte le macchine compromesse, capire come è avvenuta la violazione e individuare le azioni correttive da applicare per fare in modo che l’azienda non sia più vulnerabile a questi attacchi. Il processo prevede sia un’analisi accurata delle modalità con cui è avvenuta la violazione, sia l’individuazione di tutti i dispositivi eventualmente compromessi. Infine, il team procede all’individuazione e all’applicazione delle correzioni per porre rimedio alla situazione e predisporre tutte le misure per eliminare le vulnerabilità sfruttate nell’attacco.
Protezione a geometrie variabili
L’adozione di strumenti (e processi) come quelli descritti non richiede necessariamente una struttura on premise, che dal punto di vista delle aziende richiede notevoli capacità di investimento e che, soprattutto nel caso di aziende medio-piccole, è difficilmente sostenibile. L’implementazione deve piuttosto essere modulata sulle effettive esigenze, orientandosi per esempio verso l’adozione di un SOC esterno, che offre la possibilità di mettere in campo gli stessi strumenti senza quell’impegno in termini di spazio e di personale che richiede un centro operativo interno. Per garantire un’attività di intelligence e monitoraggio continua, cioè in una logica 24/7, sono infatti necessarie, come minimo, dalle 15 alle 20 persone. L’approccio secondo una logica “as a service” garantisce di avere lo stesso tipo di protezione attraverso sistemi di controllo gestiti in una struttura esterna o attraverso una modalità “ibrida” che permette di affiancare un SOC esternalizzato a un team di sicurezza interno, con il quale si coordina.
L’alternativa al SIEM
In alternativa alle più evolute soluzioni SIEM, è possibile inoltre adottare un sistema Endpoint Detection Response (EDR) che consente, attraverso il controllo della telemetria delle singole macchine, di attuare processi di individuazione e risposta estremamente efficaci. L’attività, gestita in remoto, permette di controllare i sistemi attraverso una logica simile a quella del SIEM, analizzando l’attività su ogni singolo endpoint per individuare tempestivamente gli indicatori di compromissione e avviare le analisi necessarie per capire se sia in corso una violazione. Allo stesso modo, i sistemi EDR consentono di avere un accesso garantito su tutte le macchine per attuare le azioni di remediation necessarie, per esempio isolarle per impedire la diffusione di un worm all’interno della rete locale. Insomma: se l’evoluzione dal punto di vista pratico e normativo ha imposto nuovi canoni per la cyber security, la buona notizia è che gli sviluppi a livello tecnologico e di mercato offrono oggi gli strumenti adeguati ad affrontarli. In qualsiasi situazione.
