Rilevare con largo anticipo le minacce di security a reti e servizi IT è vitale per la difesa delle infrastrutture digitali di grandi e piccole aziende. Se da una parte l’impiego delle più sofisticate tecniche d’analisi ML/AI (Machine Learning / Artificial Intelligence) permette di rilevare attacchi zero-day, anomalie nel traffico di rete e nei comportamenti degli utenti, dall’altra restano forti limitazioni nelle capacità dei team di security di correlare informazioni provenienti da più fonti, disporre della potenza d’analisi per individuare in tempo reale i problemi e alzare difese appropriate.
Per difendere reti e sistemi in modo efficace non basta il solo monitoraggio locale, serve condividere le informazioni d’intelligence, avere conoscenza su rischi emergenti e su potenziali bersagli a livello globale. Un contesto che dà ai grandi provider di servizi in rete la capacità d’individuare precocemente le tracce criminali, servendosi dei dati raccolti a livello geografico e della potenza analitica dei sistemi in cloud. Potenza che Google Cloud Chronicle si propone di mettere a disposizione delle imprese e dei fornitori di servizi di sicurezza gestita. Una mossa che potrà davvero aiutare la lotta al cyber crime?
Indice degli argomenti
Perché la security ha bisogno della potenza del cloud
Le capacità di rilevamento, d’analisi e di risposta dei sistemi di sicurezza hanno bisogno di alte prestazioni, scalabilità e velocità di reazione. La complessità delle infrastrutture, la crescita nel numero di applicazioni in uso e degli strumenti impiegati per gestire la sicurezza ha aumentato la quantità di dati da analizzare rispetto al passato, causando perdite di visibilità e riducendo la capacità d’intervenire in tempo utile. Il modello di sicurezza corrente, fondato sull’impiego dei tool SIEM (Security Information and Event Management), comporta costi che crescono in proporzione con la quantità delle informazioni gestite.
Una condizione che obbliga a fare delle scelte, disincentivando la cattura e l’analisi di tutte le informazioni potenzialmente rilevanti. Con l’impiego in azienda dei servizi in cloud IaaS, SaaS e PaaS in affiancamento a quelli erogati dal data center (ambienti ibridi) è aumentata la complessità e la difficoltà a integrare le informazioni che servono per avere visibilità sulle reti. In ambiti multicloud si ha spesso a che fare con tool di monitoraggio e gestione diversi per ciascun provider. Per ridurre l’esposizione al rischio non basta l’aggiornamento periodico delle difese e la formazione dei team.
Servono competenze, specializzazione, capacità di mettere a fattor comune i grandi investimenti necessari. Le stesse motivazioni che, su fronti diversi dalla security, hanno già convinto la grande parte delle imprese a utilizzare i servizi in cloud.
Google Cloud Chronicle e i vantaggi del threat hunting condiviso
L’idea di sfruttare le capacità di raccolta e d’elaborazione dei dati del cloud ai fini della security è alla base del progetto avviato nel 2016 all’interno di Alphabet (casa madre di Google) e concretizzato nei servizi di Chronicle, oggi parte di Google Cloud.
Chronicle è pensato per raccogliere, normalizzare, analizzare ed estrarre le informazioni utili alla sicurezza dalla mole dei dati tecnici, di monitoraggio di reti e sistemi, prodotta all’interno delle imprese. Capacità utili al “threat hunting” che si avvantaggiano delle tecnologie di ricerca, analisi AI e visibilità globale che Google può avere su tutto ciò che oggi accade nel web. Prerogative che consentono ai team SOC (Security Operation Center) aziendali o a fornitori esterni di ottenere informazioni tempestive sulle minacce in circolazione e di operare in modo proattivo per ridurre il rischio.
L’utilizzo del cloud permette di scavalcare le segregazioni di dominio, aziendali e geografiche che affliggono la condivisione delle informazioni d’intelligence digitale. Un problema di cui ancora oggi può approfittare il cybercrimine nel momento in cui, per esigenze di business, le aziende sono costrette a fare aperture nel perimetro della rete per consentire il telelavoro e più strette integrazioni digitali con i partner di filiera e i clienti.
Le funzioni di Chronicle per la raccolta e la fruizione dei dati
Come anticipato, Chronicle sfrutta l’infrastruttura di Google per la ricerca delle informazioni significative per la sicurezza a partire da log e altri dati generati dai sistemi in rete. Il servizio ha le capacità per raccogliere, normalizzare, indicizzare ed elaborare dati in tempo reale e quindi offrire risultati analitici sulla base dei contesti d’uso e degli specifici rischi. Per il caricamento dei dati, Chronicle offre diverse opzioni.
La prima prevede l’impiego di agenti nei punti nodali della rete aziendale, software capaci d’instradare su cloud i log di sistema, di prelevare pacchetti dati sospetti e di interrogare gli archivi dei SIEM già esistenti.
Un’altra opzione di caricamento prevede l’invio a Chronicle delle informazioni attraverso API, senza la necessità d’installare alcunché sulla rete aziendale. Sempre via API, Chronicle può essere integrato con i servizi cloud di terze parti, per esempio, per operare con i servizi su Azure e di Office 365.
Attraverso le capacità di normalizzazione e di analisi dei dati, Chronicle produce viste unitarie su ciò che accade all’infrastruttura aziendale, indicando i livelli di rischio e come far fronte alle minacce. Le informazioni di Chronicle possono essere fruite dai team di security attraverso un comune browser oppure essere utilizzate via API con software ad hoc, per esempio, per innescare altri processi.
Le situazioni d’impiego e l’automazione nella remediation
Le capacità di Chronicle fanno fare un salto di qualità nella gestione degli allarmi. Nel caso, per esempio, di una segnalazione di advanced persistent threat (APT) su un dominio di rete, Chronicle è in grado d’identificare rapidamente tutti gli host che hanno avuto accesso a quel dominio nell’arco degli ultimi 12 mesi. Analizzando i dati su indirizzi IP e hostname ricava le correlazioni più utili ai team di security per capire che cosa sta accadendo.
Molti attacchi prendono forma attraverso malware che sono iniettati nelle reti attraverso le vulnerabilità di piattaforme, domini, IP pubblici o per errati comportamenti degli utenti. Il modello dati unificato di Chronicle (contenente le informazioni rilevanti relative ad apparati e interazioni) aiuta i team ad avere un quadro completo della situazione nel contesto d’attacco, assegnare le giuste priorità alle azioni da compiere oppure per eliminare i falsi positivi.
Il cloud di Chronicle mette a disposizione alcune capacità di remediation automatizzate, tipiche dei SOC. Lo fa attraverso un proprio strumento di security orchestration, automation and response (SOAR) Siemplify che permette di automatizzare l’applicazione delle difese. Le capacità analitiche del sistema, accessibili dall’esterno attraverso API, permettono d’integrare le capacità di Chronicle con i processi interni di sicurezza dell’azienda, gestione di ticket o d’ingaggio dei SOC.
L’esperienza di DGS con Google Chronicle
Tra le società che hanno sperimentato sul campo le capacità di Chronicle c’è DGS, system integrator specializzato in cyber security, con esperienza più che ventennale nella protezione delle informazioni. “Siamo stati tra i primi a sperimentare Chronicle – spiega Gianluca Cimino, CSO di DGS –, a capire il valore associato al servizio e a creare un team nel laboratorio di threat intelligence per studiare applicazioni e integrazioni.
Con Chronicle abbiamo da poco stretto una partnership strategica che ci permette di offrire ai nostri clienti servizi di cybersecurity efficaci e proattivi”. DGS impiega Chronicle per individuare i trend d’attacco, i potenziali bersagli e per correlare i dati di security. “Il motore di correlazione, di tipo non supervisionato, estrae informazioni dai dati senza alcun condizionamento umano – spiega Cimino. Questo ha grande valore laddove le regole sono create da persone e gli attacchi possono superarne l’immaginazione. Si aggiunge alle capacità di Siemplify per l’automazione delle azioni di difesa”.
Le capacità di Chronicle aggiungono valore alle soluzioni del portafoglio DGS (tra queste: AlgoSec, CyberArk, Check Point, Forescout Solutions, Fortinet, Sentilel One…), aiutando l’integrazione delle difese in modo da non lasciare zone d’ombra. “Aiuta i nostri clienti a unificare il controllo della sicurezza, fornendo informazioni in base ai ruoli aziendali – precisa Cimino. Migliora inoltre le capacità di ‘visione laterale’ utili per sventare gli attacchi e per individuare le meccaniche che possono sfuggire alle difese esistenti”.
DGS impiega Chronicle nelle soluzioni personalizzate di security per le grandi realtà aziendali dove i servizi in cloud integrano le capacità delle componenti di sicurezza già in uso. Soluzioni rivolte alle realtà del mondo energy e utility (DGS ha maturato esperienza nella protezione delle infrastrutture critiche), finance, industry e della pubblica amministrazione. Nell’ambito del crescente impegno di DGS verso le esigenze di security delle piccole e medie aziende, Chronicle entrerà a far parte delle soluzioni pacchettizzate per questo specifico mercato.
Contributo editoriale sviluppato in collaborazione con DGS / Google Chronicle
