Sistemi di sicurezza e buone pratiche informatiche riducono, ma non azzerano del tutto, il rischio d’incorrere nei problemi IT con le inevitabili conseguenze per le attività aziendali: a mettere a repentaglio l’operatività non sono soltanto le minacce informatiche o fragilità di vario tipo che possono compromettere l’accesso alle applicazioni o la tutela dei dati, ma anche la scarsa preparazione nell’incident management (la gestione degli incidenti).
Oltre a piani d’azione aggiornati e team preparati, per affrontare efficacemente gli incidenti servono strumenti aggiornati, sperimentati e al passo con i cambiamenti dello scenario IT.
Il contesto degli incidenti IT non si limita al perimetro del data center, comprende sistemi e dati distribuiti, servizi che si appoggiano su ambienti ibridi, cooperanti in rete con servizi multicloud. Va da sé che ambienti sempre più complessi rendano necessario rivisitare le tradizionali modalità.
Indice degli argomenti
L’incident management al servizio della continuità aziendale
Con incident management non si identifica una tecnologia specifica bensì i processi che servono per gestire in modo efficace gli eventi avversi: dai blocchi di funzionamento delle infrastrutture IT e di rete alle compromissioni dei dati, sia accidentali sia fraudolente con accessi non autorizzati.
La disciplina dell’incident management prende in carico azioni da realizzare prima, durante e dopo gli incidenti per minimizzare le conseguenze e ripristinare la normale operatività nel più breve tempo possibile.
Per questi scopi sono utilizzati tool di monitoraggio (per rilevare i problemi), sistemi di segnalazione (per avvisare gli amministratori), strumenti di gestione IT e di orchestrazione (per realizzare manualmente o in automatico le misure di contrasto).
A fianco delle azioni che mitigano problemi IT e di rete, il processo d’incident management deve tener conto degli impatti sulle persone e sulle prescrizioni di legge in merito alla tutela dei dati (quindi degli obblighi previsti dai regolamenti attuativi del GDPR che possono comportare pesanti multe per l’azienda). Mentre, da una parte, il processo punta a ridurre al minimo l’effetto degli incidenti sul business, dall’altra deve poter dare massima visibilità dei problemi al management e a chi deve intraprendere le azioni tecniche e organizzative per ridurre gli incidenti futuri.
Nuovi rischi e opportunità negli ambienti ibridi e multicloud
L’utilizzo dei servizi in cloud, oggi sempre più comune anche per le applicazioni core business aziendali, amplia il perimetro fisico in cui avviene l’elaborazione dei dati, aumentando le superfici d’attacco per la cybersecurity e la complessità delle azioni di monitoraggio e contrasto agli incidenti. C’è però anche un lato positivo.
Il cloud ha in dote l’accesso a risorse esterne virtualmente infinite (per storage, macchine virtuali, reti e via dicendo) utilizzabili per rimpiazzare rapidamente i sistemi compromessi e garantire supporti stabili e sicuri ai processi d’incident response. Risorse che sono sfruttabili solo se l’azienda ha risolto i problemi legati alla complessità di gestione degli ambienti ibridi e multicloud, dotandosi degli strumenti d’orchestrazione e controllo più efficaci.
La capacità di rispondere velocemente agli incidenti ha infatti molti punti in comune con l’efficienza dei processi che nel day by day servono a realizzare operazioni di provisioning di nuovi servizi, load balancing, backup dei dati e nell’emergenza il disaster recovery.
La disponibilità dei log presso i cloud provider, unitamente alle capacità d’integrazione e di analisi dei dati offrono le capacità utili per identificare subito le attività sospette e prevenire incidenti.
Incident management: le basi per una strategia di successo
La creazione di un efficace processo d’incident management mette in gioco risorse tecnologiche e organizzative a misura della strategia di gestione del rischio dell’impresa, quindi scelte in base alle criticità del settore e delle aree operative interessate.
La capacità di reazione, nota come incident response, si avvale del supporto di strumenti che aiutano i team a prendere le decisioni più appropriate, affinarle nel tempo e gestire le problematiche conseguenti agli incidenti. Velocità di rilevazione e di risposta possono variare in funzione dell’esposizione agli attacchi, del potenziale danno e del rispetto delle normative di legge. Le velocità più elevate rendono necessario l’utilizzo dell’automazione.
Affinché l’incident response sia efficace serve predisporre piani contenenti i set di procedure più appropriati, linee guida per le comunicazioni tra l’incident response team (IRT) e gli altri team aziendali interni (dipartimento legale, DPO, amministratori di sistema) e con interlocutori esterni (forze dell’ordine, responsabili del trattamento, Autorità Garante, fornitori e clienti).
Per gli incidenti che comportano violazioni della privacy dei dati valgono le modalità e le tempistiche di comunicazione fissate agli art.33 e art.34 del GDPR e norme attuative.
Gli strumenti a supporto del monitoraggio e della prevenzione
Per reagire prontamente agli incidenti serve avere strumenti di controllo e di gestione efficaci. Serve la capacità di monitoraggio su sistemi e processi on premise e in cloud per riuscire a cogliere tempestivamente le anomalie e i tentativi di effrazione.
Sono comunemente deputati a svolgere queste attività gli intrusion detection system (IDS) assieme ad agenti software sugli endpoint capaci di rilevare modifiche non autorizzate, software pericolosi e di generare allarmi.
Un ruolo rilevante è giocato dai sistemi di Security Information ed Event Management (SIEM) che assieme a software antivirus e antimalware sono in grado di rilevare le compromissioni, oltre al traffico generato dai malware.
L’impiego dell’intelligenza artificiale (AI) nell’analisi dei log permette di correlare le informazioni provenienti da apparati e sensori per identificare pattern anomali nel traffico di rete o nell’uso delle applicazioni: situazioni meritevoli di segnalazioni agli amministratori o anche di blocchi automatici in tempo reale.
Anche i tool per l’endpoint detection and response (EDR) sono tra i presidi che possono evitare i danni conseguenti dalla connessione sia di dispositivi non autorizzati sia di dispositivi legittimi ma compromessi da soggetti estranei.
Quando un dispositivo si connette in rete, i tool EDR controllano che si tratti del dispositivo previsto e che abbia la configurazione software assegnata con gli aggiornamenti più critici, provvedendo ad automatizzare le azioni correttive e le segnalazioni agli amministratori.
Alcuni compiti EDR sono svolti da agenti locali che girano sul dispositivo endpoint e lo difendono anche in mancanza di rete, effettuando la cancellazione automatica dei dati da dispositivi che sono stati smarriti o sottratti agli utenti.
L’importanza della comunicazione tra persone per mitigare il rischio
Le capacità tecniche dei sistemi di rilevare anomalie e applicare contromisure non bastano se non sono affiancate da supporti efficaci alle comunicazioni tra utenti aziendali, team IT e persone deputate alla sicurezza.
Servizi di help desk e service desk sono indispensabili per raccogliere ed elaborare le segnalazioni degli utenti in merito ad anomalie dei servizi, perdite di credenziali e problemi correlati per avviare prontamente le misure più opportune.
Dal contatto con gli utenti emergono le fragilità dei servizi, dell’organizzazione, della formazione delle persone e quindi le necessità di rivedere policy, fare cultura della sicurezza, acquisire sistemi di difesa per mitigare nuovi rischi o recuperare più velocemente.
Sul fronte dello sviluppo applicativo, metodo e comunicazione tra i team sono la forza di DevOps (unione di development e operation) e DevSecOps (che include anche la security), che mettono su una catena di montaggio tutti i processi che vanno dal progetto allo sviluppo del codice fino al delivery applicativo. L’integrazione dei processi e del lavoro dei team di sviluppo e IT rendono più veloce l’identificazione delle vulnerabilità e la loro soluzione, a vantaggio di software più stabile e di qualità.
Il valore dell’esperienza nell’implementazione di processi efficaci
L’implementazione dell’incident management non può prescindere da un’analisi a tutto campo sul tema della sicurezza. “Per questi progetti è indispensabile adottare un approccio olistico – spiega Paolo Marco Salvatore, CTO di Sinthera (Sinthera è un system integrator italiano attivo su progetti di security e modernizzazione IT) – che inizia dalla valutazione delle potenziali conseguenze sul business degli incidenti e delle perdite di dati e che solo in seguito è declinato con le tecnologie e le procedure efficaci”.
Il vantaggio è che oggi le risorse in cloud rendono più semplice la gestione degli incidenti anche negli ambienti IT più complessi. “Come Sinthera, abbiamo esperienza nel consolidamento delle informazioni di security da fonti diverse su piattaforme come VMware Carbon Black e Cisco AMP – continua Salvatore –. Utilizzando servizi in cloud si riducono gli oneri di gestione degli EDR ed è possibile fruire di funzionalità avanzate di machine learning e intelligenza artificiale per l’analisi delle anomalie nei comportamenti d’uso e nell’accesso geografico”.
L’utilizzo del cloud aiuta inoltre a mettere a fattor comune la base esperienziale raccolta in contesti molto più vasti di quelli sviluppati all’interno di una sola azienda.
Le PMI che nel passato erano svantaggiate dalla mancanza di personale specializzato, hanno la possibilità di accedere ai grandi SOC (come Carbon Black di VMware ed altri) anche tramite servizi gestiti, possono inoltre dotarsi dei sistemi di autenticazione multifattoriale più robusti (per esempio con Cisco Duo Security) e servizi backup dei dati con più bassi tempi di ripristino.
Non va dimenticata l’importanza di migliorare la comunicazione interna e l’help desk. “Per questo servono piattaforme progettate in modo specifico per gestire problemi – precisa Salvatore –. Riteniamo fondamentale la conformità con gli standard ITIL e l’uso di componenti in open source, aspetti che sono alla base dei progetti che Sinthera realizza per i clienti”.
Contributo editoriale sviluppato in collaborazione con Sinthera