Gli attacchi legati alla sicurezza informatica sono numerosi e diversificati, ma anche progressivamente più dannosi e dirompenti, tanto da essere oggi una “costante della cronaca giornalistica”.
In aggiunta emergono frequentemente nuovi tipi di incidenti e quindi si rendono necessarie non solo capacità di protezione preventive basate sui risultati delle valutazioni del rischio, ma anche capacità di risposta agli incidenti per rilevarli e gestirli rapidamente, riducendo al minimo la perdita e la distruzione di dati, mitigando i punti deboli sfruttati e ripristinando i servizi IT.
L’introduzione dell’automazione di alcune delle prassi di gestione degli incidenti, specialmente quelle più ripetitive e standardizzate, permette la contrazione del tempo di risposta, di ripristino e il conseguente contenimento dei danni economici e reputazionali che ogni organizzazione sperimenta durante un incidente di sicurezza.
Il tempo rappresenta, quindi, un fattore critico e strategico del processo di gestione degli incidenti.
Indice degli argomenti
Il processo di incident handling
“Un incidente di sicurezza informatica è una violazione o una minaccia imminente di violazione delle pratiche di sicurezza standard, dei criteri di utilizzo accettabili o delle politiche interne di una organizzazione in materia di sicurezza informatica” (fonte: NIST 800-61).
Saper gestire gli eventi/ incidenti di sicurezza è una capacità cruciale per qualsiasi organizzazione pubblico privata, piccola, media o grande, perché gli attacchi spesso compromettono i dati personali e aziendali ed è fondamentale rispondere rapidamente ed efficacemente quando si verificano violazioni della sicurezza.
Per poter gestire gli incidenti è necessario preparare in anticipo un piano di risposta comprensivo di tecnologie, organizzazione, processi e persone adeguatamente preparate.
Un piano di risposta agli incidenti di sicurezza (Incident response plan) è un piano scritto e documentato con fasi distinte che aiuta i professionisti IT e il personale a riconoscere e ad affrontare un incidente di sicurezza informatica che può consistere in una violazione dei dati o in un attacco informatico con finalità che variano al variare degli attaccanti e delle loro motivazioni. Gestire correttamente un piano di risposta agli incidenti comporta aggiornamenti e formazione regolari.
Il National Institute of Standards and Technology (NIST) nel 2012 ha pubblicato la Guida alla gestione degli incidenti di sicurezza (Computer security Incident Handling Guide – NIST 800-61 r2).
in relazione alle sue responsabilità statutarie ai sensi della legge federale sulla gestione della sicurezza delle informazioni (FISMA) del 2002 e da allora queste raccomandazioni costituiscono uno standard.
Il processo di risposta agli incidenti del NIST è un’attività ciclica caratterizzata dall’apprendimento continuo e dai progressi per scoprire come proteggere al meglio l’organizzazione. Comprende sei fasi principali: preparazione, rilevamento, analisi, contenimento/eradicazione, recupero e miglioramento (lessons learned).
Ma creare solo un piano di risposta può non essere sufficiente come misura isolata se non inserita in un sistema organizzativo di misure.
Ad esempio, il Payment Card Industry Data Security Standard – PCI DSS (standard proprietario per la sicurezza informatica gestito dal PCI Security Standards Council, fondato da American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc n.d.r.), richiede (requisito 12) che le aziende finanziarie non solo compilino il piano ma che provvedano anche a:
- testare il piano di risposta agli incidenti almeno una volta l’anno (12.10.2 );
- assegnare ad alcuni dipendenti la disponibilità 24 ore su 24, 7 giorni su 7 per affrontare i casi incidente (12.10.3);
- formare adeguatamente e regolarmente il personale con responsabilità di risposta agli incidenti (12.10.4);
- impostazione di avvisi da sistemi di rilevamento delle intrusioni, prevenzione delle intrusioni e monitoraggio dell’integrità dei file (12.10.5);
- implementare un processo per aggiornare e gestire il piano di risposta agli incidenti in base al settore e ai cambiamenti organizzativi (12.10.6).
La criticità di avere un piano omnicomprensivo di misure è anche legato al numero degli eventi incidente che una organizzazione che una organizzazione sperimenta ed al numero di eventi che riesce a prevenire o a trattare “per tempo”. Riccardo Baldanzi, CEO di 7Layers, spiega che in tema di risoluzione degli incidenti di sicurezza una delle principali sfide affrontate è l’elevato numero di incidenti trattato dal SOC/MDR: “Riceviamo ogni giorno circa 800 milioni di eventi, di cui solo 12600 sono alerts e 770 vengono poi trasformati in incidents. Grazie all’intelligenza artificiale, di questi 770, 620 vengono “accelerati” e solo 150 vengono scalati all’analista esperto”.
L’automazione nel processo di incident handling
Per velocizzare i processi di gestione incidenti le organizzazioni sono spesso ricorse all’incremento di risorse umane nei team di security per il monitoraggio e le indagini specifiche.
Tuttavia, attività ripetitive e time-consuming spesso portavano gli analisti dei SOC a non potersi concentrare sugli attacchi più sofisticati, dove invece l’intervento dell’essere umano fa una grande differenza.
Una soluzione recente risiede nell’introduzione di elementi di automazione di alcuni dei sotto processi di gestione degli incidenti, quali, la raccolta delle informazioni dai sistemi di frontiera (information gathering), il processo di arricchimento / validazione dei dati (enrichment), la classificazione dell’evento (labelling).
L’introduzione di algoritmi di automazione permette di accelerare le attività ripetitive, di velocizzare quindi il rilevamento della minaccia e sotto certe condizioni operative e di contesto, permette di introdurre una risposta automatica.
Non si tratta solo di sistemi di Security Orchestration, Automation and Response (SOAR) ma di introdurre anche sistemi intelligenti e automatici di analisi che velocizzano le attività di triage dell’evento di sicurezza permettendone la classificazione eventuale in “incidente di sicurezza” e consentendo l’eventuale attuazione di una prima risposta automatizzata.
Il tutto avviene grazie ad algoritmi di machine learning che dopo un appropriato tempo di apprendimento sanno operare in modo ottimizzato rispetto al “caso” di investigazione che devono analizzare e grazie ad algoritmi di AI che invece supportano l’analista di sicurezza nella “deduzione” che l’evento in studio sia effettivamente classificabile come incidente di sicurezza, scatenando il resto delle automazioni per l’eventuale fase di risposta e mitigazione.
Riccardo Baldanzi spiega che per contenere i tempi di analisi si possono adottare le capacità della AI: “che mappa il processo di ragionamento umano e imita il giudizio di un’analista, liberandolo da attività ripetitive, potenziando la collaborazione tra analisti e migliorando le decisioni di escalation integrando la conoscenza del contesto locale. L’intelligenza artificiale include indagini avanzate e integrate, permettendo di esaminare più sorgenti dati, tra cui EDR, NGFW, SIEM, IPS, EPP per identificare comportamenti dannosi reali nel tuo ambiente. Grazie all’analisi retrospettiva rivaluta costantemente la probabilità di una minaccia man mano che più informazioni vengono raccolte dai sensori di sicurezza. Poiché l’analista virtuale utilizza l’automazione nelle decisioni, può richiamare eventi accaduti in passato e correlare qualsiasi nuova informazione raccolta per arricchire gli incidenti per l’escalation e la remediation”.
È importante precisare la differenza fra machine learning e AI perché sono spesso usati come termini sinonimi ma non lo sono. L’Intelligenza Artificiale (AI) è un campo delle scienze che tenta di imitare l’intelligenza umana in un computer o in una macchina, ovvero cercano di creare sistemi informatici in grado di pensare e comportarsi proprio come gli esseri umani, ma a velocità più elevate e con maggiore potenza di elaborazione, per supportare gli esseri umani in compiti che richiedono forme tradizionali di intelligenza.
Gli algoritmi di AI sono chiamati a “deduzioni” cioè a creare nuovi concetti a partire da dati e informazioni sottoposte all’algoritmo.
Invece il “machine learning” letteralmente “l’apprendimento delle macchine”, noto come apprendimento automatico, è considerato un sottocampo dell’intelligenza artificiale, perché non crea un’intelligenza autonoma, ma costituisce un sistema di supporto che apprendere più rapidamente per svolgere un lavoro migliore nel portare a termine un compito particolare (Fonte Colorado State University EDU program).
Le differenze principali tra AI e Machine learning risiedono negli obiettivi, processi, ambiti e applicazioni in cui sono utilizzati (si rimanda per approfondimenti alla pagina della CSU EDU).
Il contenimento del tempo di detection come fattore decisivo
L’automazione introdotta all’interno di un processo di gestione incidenti consente il contenimento di molti degli indici di performance del SOC:
- Mean time to detect (MTTD)
- Mean time to acknowledge (MTTA)
- Mean time to recovery (MTTR)
- Mean time to contain (MTTC)
- Mean time between failures (MTBF)
e l’indice che misura la disponibilità dei sistemi (comprese le terze parti) oltre naturalmente a consentire la compliance dei tema di sicurezza ai livelli di SLA concordati per le loro attività, sia in relazione alle policy interne sia rispetto ad eventuali SLA legati ad attività di outsourcing.
Alcuni dei vantaggi dell’introduzione di algoritmi di automazione nel processo di gestione incidenti sono legati alla minimizzazione di inefficienze legate ai “falsi positivi” (eventi che apparentemente sembrano incidenti ma non lo sono, come i falsi allarmi), alle erroneee comunicazioni fra le risorse, o alla scarsità stessa di personale; ma è soprattutto il consumo di tempo legato ad alcune attività ripetitive e “noiose” da svolgere da parte del personale che può essere migliorato.
Riccardo Baldanzi chiarisce in questo senso: “è cruciale agire in tempi rapidi per limitare il numero di sistemi compromessi, bloccando repentinamente le attività dell’attaccante”.
Anche lo stress che grava sui temi di security è una componente che può aumentare la possibilità di errore anche in relazione all’ansia del fattore tempo da contenere.
Infine, si deve considerare che anche gli attaccanti hanno da tempo iniziato ad usare sistemi automatici di attacco e quindi automatizzare una parte della gestione incidenti consente almeno di “pareggiare i conti” e “liberare” i team di sicurezza dei SOC che possono dedicarsi a quelle minacce 0-day (le minacce di nuova concezione) che richiedono investigazioni approfondite e/o impegnative e a cui solo l’intelletto umano può dare risposta.
Contributo editoriale sviluppato in collaborazione con Gruppo Fastweb
