Le capacità di threat intelligence sono sempre più importanti per rafforzare le difese contro il cybercrime. Poter raccogliere e analizzare i dati di sicurezza aiuta a comprendere gli scopi, i bersagli e le modalità d’attacco del cybercrime e quindi a difendersi meglio da sottrazioni di dati e altre minacce che possono compromettere la continuità del business e i rapporti con i clienti. Si tratta di un ambito della Security su cui Almaviva è impegnata da anni, e a seguito di intense attività di ricerca e sviluppo, ne ha condiviso i risultati, rendendo disponibile la piattaforma Joshua – CyberRisk Vision, tramite il moderno modello di Software as a Service (SaaS) .
I servizi offerti dalla piattaforma Joshua di Almaviva sono stati recentemente integrati con il SIEM cloud-native Microsoft Sentinel e resi disponibili agli utenti all’interno dell’Azure marketplace. Per capire cosa fa la threat intelligence e quali capacità Joshua porta in Sentinel, abbiamo intervistato Roger Cataldi, CISO di Almaviva e responsabile della Cyber Security Practice.
Indice degli argomenti
Surface Attack Management: analisi continuativa della superficie d’attacco
Per difendersi dalle minacce cyber serve innanzitutto avere visibilità di ciò che in modo consapevole, oppure no, esponiamo ai malintenzionati. Serve avere uno “specchio” con cui guardarsi le spalle dove potremmo essere colpiti. Questo è l’obiettivo di alcuni moduli di Joshua, in particolare il Cyber Footprint, permettendo quello che gli advisor chiamano con il termine Surface Attack Management (SAM), formalizzato tre anni fa da Gartner.
“Con SAM viene rappresentata in modalità continuativa l’attività preliminare dell’attacco informatico in modo da poter individuare gli anelli deboli nei sistemi – spiega Cataldi -. Per esempio servizi esposti su internet, tipo sistemi di sviluppo, test o dimostrative dimenticate, facili da violare”.
Nell’approccio classico ai temi di sicurezza le difese vengono applicate su ciò che il business ritiene importante, agendo secondo best practice e con assessment mirati a garantire le compliance. “Tutte modalità che hanno il limite d’essere prevedibili – continua Cataldi -. L’attaccante non prenderà mai di mira il servizio più protetto, ma quello più fragile, secondo le stesse logiche di business basate sul costo/benefici. Va a cercare servizi residuali che l’azienda ha attivato e mai dismesso”.
Con SAM si vanno inoltre a controllare anche i servizi dei principali fornitori. “Questo perché la catena del valore attraversa l’intera supply chain – precisa Cataldi -, occorre tener conto dell’esposizione al rischio che si acquisisce dalle terze parti”.
Le capacità di intelligence “lato business” per coinvolgere i decisori
Un aspetto importante per la threat intelligence è dare visibilità ai decisori e responsabili business delle vulnerabilità aziendali e di quelle acquisite attraverso le terze parti. Per questo è importante che le informazioni prodotte dagli strumenti di intelligence non siano comprensibili soltanto ai tecnici, ma anche ai C-level che devono valutare quanto rischio prendere e quanto eliminare con misure di rafforzamento delle difese.
“È molto importante che informazioni prodotte con SAM e altre analisi siano riportate in un linguaggio più comprensibile a C-level e top management – spiega Cataldi -. Il modo migliore per farlo è attraverso la correlazione tra le vulnerabilità e le conseguenze di natura economica e legale a cui l’azienda può andare incontro in caso di attacco”.
Poter sapere quanto fatturato andrebbe in fumo e quali danni l’azienda potrebbe essere costretta a pagare in caso d’attacco aiuta a dare un senso economico agli investimenti nella security. “Ad avere consapevolezza del rischio, per quindi decidere i trade-off tra marginalità ottenute con alti rischi per la security e quelle meglio tutelate sul fronte del cybercrime.
La piattaforma Joshua per la threat intelligence
Per mettere in pratica la metodologia SAM, analizzare i rischi dal lato client/utente e portare l’intelligence di security sul tavolo del top management, Almaviva ha sviluppato Joshua CyberRisk Vision, piattaforma che è stata recentemente inclusa da Microsoft nel marketplace di servizi di security relativi a Microsoft Sentinel.
“Con Joshua sono fornite le interfacce per fare quantitative risk analysis e per esaminare i trend sulla base dei dati storici – spiega Cataldi -. Le informazioni di rischio sono rese accessibili anche in modo sintetico, attraverso indicatori simili a termometri”. Per il test degli ambienti client, aziendali e privati Almaviva ha reso disponibile il servizio gratuito dedicato CheckMe, che sfrutta l’information sharing intelligence della Community Edition di Joshua per riconoscere le risorse IP compromesse e altre vulnerabilità sui sistemi fissi e mobili, sintetizzando le risposte con un semaforo a colori di facile interpretazione.
“Entro la fine di quest’anno rilasceremo il modulo per la valutazione del rischio economico, tarato per operare sull’intero business aziendale così come sul dettaglio dei singoli servizi – spiega Cataldi -. Altre capacità permetteranno agli utenti di conoscere in tempo reale cosa sta accadendo per poter mettere in atto più rapidamente le contromisure e preparare piani di crisi con le azioni efficaci”.
I vantaggi dell’integrazione con Microsoft Sentinel
Per estendere la fruibilità di Joshua, Amaviva è impegnata nello sviluppo delle interfacce per permettere l’interoperabilità di Joshua con le principali piattaforme di security e servizi in cloud. La recente integrazione con Microsoft Sentinel promette di valorizzare con le capacità diintelligence i dati che vengono raccolti all’interno della piattaforma di security cloud-native di Microsoft.
Dalle funzioni integrate di SIEM (Security Information and Event Management) e di SOAR (Security Orchestration, Automation and Response) realizzate da Microsoft Sentinel, Joshua ricava i dati per i propri compiti d’intelligence e rappresenta una ulteriore fonte di indicatori di compromissione e di correlazione della piattaforma Microsoft. “Alimentando in tempo reale gli indicatori di compromissione – precisa Cataldi –, quindi recuperando in modo automatizzato le informazioni aggiuntive che servono per arricchire di significato le rilevazioni”. Informazioni che Joshua raccoglie da una pluralità di fonti: “Non solo quelle disponibili sui grandi registri internazionali, ma anche dai contesti geografici locali e settoriali simili – spiega Cataldi -. Questo è molto importante perché in ogni geografia ci sono differenze significative nell’uso dei sistemi, nelle segregazioni dati, nelle tipologie dei sistemi in uso che ha molto senso considerare per ottenere risultati efficaci”.
Checkme: l’intelligence come strumento di consapevolezza
Per ridurre i rischi è importante portare le capacità di threat intelligence al livello degli endpoint aziendali, sia per proteggere meglio i dispositivi client, sia per aiutare gli utenti finali ad acquisire maggiore consapevolezza dei propri comportamenti digitali. “Le persone concorrono attivamente alla sicurezza, non soltanto quando si connettono in mobilità o in smart working – spiega Cataldi -. Se una postazione di lavoro, aziendale o non, è compromessa viene messa a rischio la sicurezza dell’intera azienda. E l’ingenuità degli utenti è un bersaglio privilegiato per il cybercrime, per gli attacchi di social engineering”.
Per questo servono le capacità specifiche per l’analisi dei client, degli IP di navigazione e delle versioni dei browser per rilevare le esposizioni ai pericoli potenziali. “Poiché queste funzioni devono essere usate da utenti finali, è importante che non richiedano installazioni software e competenze specifiche per essere usate – precisa Cataldi -. Devono dare un’immediata valutazione del livello di sicurezza dell’utente, riportando le informazioni nel modo più semplice e comprensibile possibile”.
Contributo editoriale sviluppato in collaborazione con Almaviva/Microsoft
