La rapida crescita del mercato digitale e l’altrettanto veloce proliferazione delle minacce digitali in termini di cambiamento esponenziale, qualità e sofisticazione, richiedono un’evoluzione istantanea delle operazioni di difesa nella cyber security, oltre al cambiamento di tattiche e di mezzi.
Le piattaforme di protezione tradizionali sono passate dalle metodologie “dell’era di Internet” ad assetti spesso modulari e comprensivi di oggetti intelligenti o smart, in cui anche le componenti di AI contribuiscono al supporto decisionale. Inoltre, una recente ricerca evidenzia le oggettive difficoltà dei SIEM nell’individuare tutte le sofisticate TTPs degli attaccanti di nuova generazione.
Se i professionisti della cyber security hanno da tempo interiorizzato che l’unica costante è il cambiamento, le aziende affrontano ora il problema del doversi preparare opportunamente. Tuttavia, non tutte le imprese e specialmente le PMI, riescono a gestire l’evoluzione al loro interno. In aggiunta a soluzioni tecnologiche più appropriate alla situazione contestuale delle minacce, è opportuno rimettere gli specialisti di cyber security al centro dei processi di detection e difesa. Questo è il focus dei servizi gestiti di security.
Indice degli argomenti
I SIEM e le minacce avanzate e persistenti: cosa manca
Una recente ricerca commissionata da CardinalOPS dal titolo “Quantifying the Gap Between Perceived Security and Comprehensive MITRE ATT&CK Coverage” svolta sulle aziende della lista Fortune 1000 (la prime mille multinazionali miliardarie) ha evidenziato le difficoltà dei sistemi SIEM (Security Information and Event Management) nella copertura completa minacce di nuova generazione.
Dallo studio, condotto sulle implementazioni SIEM in tempo reale di alcune aziende operanti in diversi settori verticali, ha evidenziato come in media, una distribuzione SIEM abbia regole associate solo al 16% delle tecniche elencate nel framework MITRE ATT&CK, (un catalogo standard del settore di tattiche, tecniche e procedure utilizzate dagli aggressori). Inoltre, in generale sono molto al di sotto delle aspettative delle organizzazioni, tanto che non sono consapevoli del divario tra la sicurezza teorica, che presumono di avere, e l’effettiva sicurezza che ottengono nella pratica.
Ciò può dipendere anche da come i SIEM sono implementati e gestiti. A tal proposito Anton Chuvakin, Security Solution Strategy, Google Cloud ed ex Research Vice President e Distinguished Analyst di Gartner, sottolinea come per molte organizzazioni “l’acquisto di tecnologie di sicurezza sembra essere un compito molto più semplice che utilizzarle e renderle operative “.
A confermarlo proprio la ricerca che evidenzia una media del 25% delle regole SIEM violate o mai attivate principalmente a causa di campi che non vengono estratti correttamente o di fonti di log che non inviano i dati richiesti.
In effetti possono essere necessarie più regole per coprire completamente una particolare tecnica di attacco. Inoltre, solo il 15% delle regole SIEM porta al 95% dei ticket gestiti dal Security Operations Center (SOC), a dimostrazione che una piccola percentuale di “regole rumorose” impatta gli analisti SOC con allarmi di falsi positivi (FP) che li distraggono dalle reali minacce.
Alcune delle aziende intervistate investono miliardi di dollari in SIEM per individuare, correlare eventi di sicurezza e ricostruire dagli indizi raccolti, la dinamica di un attacco all’azienda, ma di fatto, sembra mancare l’efficacia dei risultati.
“I SIEM sono nati e sviluppati per garantire la conformità normativa”, spiega Davide Carlesi, direttore commerciale di Cyberoo riferendosi, ad esempio, al settore finance dove è necessario saper ricostruire dallo storico dei log le operazioni effettuate in casi di incidenti “per dare una visione olistica della sicurezza IT e una consapevolezza della situazione, ma un SIEM non sa studiare le tecniche di attacco e delle risposte di attacco degli attacchi informatici evoluti”. Il SIEM aggiunge, “non è nato per correlare gli attacchi sugli endpoint, bensì per analizzare i dati della parte IT Legacy. Inoltre, tutti i dati per il SIEM devono essere standardizzati e puliti. Certo i SIEM sono stati evoluti, ma questi tool non sono nati per la mitigation e la remediation. Se si ha bisogno di protezione c’è bisogno di altro”.
I SIEM sono stati un’importante pietra miliare delle operazioni di sicurezza informatica. Hanno aperto la strada alla centralizzazione e alla razionalizzazione del flusso di incidenti, consentendo alle organizzazioni di introdurre SOC (Security Operation Center) e creare flussi di lavoro attorno a questi incidenti, assegnando le priorità e la classificazione degli avvisi in arrivo per far emergere i casi reali.
Ma oggi che la quantità di avvisi in arrivo ha un tasso di crescita in continua accelerazione, i SOC possono essere in affanno. È, quindi, necessario dotarli di strumenti più efficienti rispetto alle minacce evolute.
Dunque, se le organizzazioni devono proteggersi efficacemente è fondamentale che imparino ad avere migliore comprensione della copertura delle minacce attualmente in gioco e a ottimizzare gli strumenti e l’organizzazione della sicurezza.
I motivi del cambio di approccio alla security: i servizi Managed Detectin & Response
Nell’ambito del passaggio di approccio, una prima doverosa puntualizzazione riguarda l’introduzione delle tecnologie di SOAR (Security Orchestration, Automation & Response) nei SOC, per automatizzare tutto il carico di lavoro spesso ripetitivo correlato ai controlli degli avvisi di sicurezza che è genericamente time consuming e a scapito degli analisti.
I SOAR supportano i processi SOC automatizzando e orchestrando le tecnologie nell’environment dell’azienda, per lasciare più libertà gli analisti rispetto allo studio di minacce di nuova generazione.
Naturalmente possono rivelarsi strumenti efficaci, ma molte aziende non hanno SOC interni e non possono permettersi di spendere in questo tipo di tecnologie, in aggiunta ai SIEM.
Si deve anche considerare che anche gli attaccanti si dotano di ML e di automazione, sia per gli attacchi, sia per il trading finanziario a loro vantaggio durante il picco di bad reputation e questo rende le “prassi umane” quasi irrilevanti. In sostanza nella “guerra informatica”, tutto questo stato delle cose ha decretato una corsa alla diagnosi precoce.
Per ovvie ragioni, prima si determina che qualcosa è anomalo e minore è il danno totale. È proprio a questo punto che gli strumenti e i servizi Managed Detection & Response (MDR) hanno guadagnato il favore del mercato della sicurezza informatica. La sfida che sono chiamati a vincere è legata alla capacità di identificare e contenere la minaccia prima che l’entità del danno raggiunga il suo massimo livello.
Gartner definisce gli MDR come servizi di monitoraggio, rilevamento e risposta leggeri 24 ore su 24, 7 giorni su 7, sfruttando una combinazione di tecnologie distribuite a livello di host e di rete, analisi avanzate, intelligence sulle minacce ed esperienza umana nell’indagine e nella risposta agli incidenti.
I fornitori di MDR effettuano la convalida degli incidenti e possono offrire servizi di risposta remota, come il contenimento delle minacce e supporto per riportare l’ambiente di un cliente ad una situazione di normalità.
I vantaggi del Managed Detection and Response
Alcuni dei vantaggi comuni della adozione di servizi Managed Detection and Response sono:
- Garanzia della sicurezza durante l’adozione delle pratiche da WFH (Work From Home) che estendono la superficie di attacco: in tempi di pandemia, adottare le pratiche di lavoro a distanza rappresenta un beneficio per l’azienda e ne accelera la crescita, rendendo produttiva la forza lavoro remota. I servizi MDR possono supportare il mantenimento in sicurezza della popolazione aziendale remotizzata.
- Copertura h24x7 con costi fissi e noti in anticipo con livelli di servizio concordati: la carenza di personale, di competenze e di budget impedisce l’acquisizione di tecnologie di detection e la realizzazione di SOC interni per la mitigazione e remediation.
- I ransomware possono abbattersi e si deve lavorare alla prevenzione: i servizi di rilevamento e risposta gestiti sono fondamentali per prevenire campagne di phishing che solitamente avviano infezioni da ransomware. Tutte le organizzazioni, in particolare le piccole e medie imprese, sono prese di mira e non serve rifugiarsi nel “a me non succederà”.
- Gli attacchi informatici sono costosi, la prevenzione è un investimento: i costi diretti legati agli attacchi informatici sono costituiti dai riscatti nei casi di ransomware o dalla perdita immediata del valore legato ai dati sottratti, ma indirettamente includono il costo dei tempi di inattività, la perdita di entrate e i danni al marchio a lungo termine per non parlare dei costi legati alla rimozione dei malware, all’analisi forense e alla ricostruzione dei sistemi.
In aggiunta, a seconda dalla soluzione MDR prescelta, vi sono vantaggi aggiuntivi che dipendono dalla qualità delle singole tecnologie implementate e dalle competenze degli specialisti che erogano il servizio.
Nel caso di Cyberoo, Davide Carlesi specifica: “Il servizio MDR è costituito da un mix di tecnologie e competenze altamente integrato. Si tratta di strumenti come il CSI, la nostra Threat Intelligence, il Cypeer, il nostro XDR, coniugati alle professionalità dei nostri cyber security specialist dell’I-SOC che analizzano e forniscono indicazioni per la mitigazione e la remediation”.
L’outcome al cliente è un portale che in near real time che visualizza lo stato della situazione. “Il tool XDR – aggiunge – è un elemento passivo della rete che acquisisce informazioni dagli endpoint, dalla rete colleziona eventi di cyber security sugli attacchi informatici e indica la risposta per proteggersi dall’attacco scremando ciò che è irrilevante”.
L’XDR lavora da solo o con un SIEM che gli fa da fonte di dati. “L’automatic response, ovvero autoremediation, è un feature aggiunte di recente e configurabile nel Cypeer agent. Permette di attuare correttivi di sicurezza, ma questa operatività sulla remediation passa dall’I-SOC e deve essere impostata con il cliente in base alle sue esigenze e alla catena del soccorso. In sostanza supportiamo l’impresa per implementazione delle policy di sicurezza, demandando l’operatività all’azienda direttamente o tramite il partner tecnologico operativo della catena del soccorso”.
Come scegliere il fornitore appropriato
Per scegliere il fornitore MDR più appropriato è necessario ricordare che mentre gli analisti dei SOC sono specialisti del mercato IT, chi eroga un servizio MDR dovrebbe avere figure specializzate sugli attacchi informatici evoluti.
Criteri di valutazione possono includere:
- numero delle risorse a disposizione per la turnazione h24x7x365;
- livello di esperienza;
- lingue supportate (molti forum di attaccanti parlano in russo o cinese o coreano);
- etica dei professionisti.
Anche le tecnologie abilitanti di XDR e Threat Intelligence (TI) sono importanti e su queste è necessario valutare le modalità e frequenza di aggiornamento, le performance, le capacità di OSINT (per le TI), le fonti dei dati, le modalità di deduzione di incidenti etc.
Davide Carlesi in proposito chiarisce come in Cyberoo siano presenti 52 ethical hacker nell’I-SOC che si avvicendano su 4 turni per coprire il 24x7x365. Il team è frutto di accurate selezioni in Ucraina, grazie alla partnership con l’università di Ternopil con cui Cybeoo collabora alla formazione dei nuovi talenti accogliendone annualmente alcuni in Stage.
“In termini qualitativi – conclude – il nostro I-SOC è organizzato in livelli operativi, in base alla tecnologia abilitante. Il valore aggiunto è un unicum di persone e tecnologia integrate fra loro in un unico processo di sicurezza. Siamo certificati iso27001 e stiamo valutando la roadmap per la certificazione CERT. L’affidabilità degli analisti e del loro operato è garantita da prassi di “segregation of duties”, dalla visibilità di soli metadati e dalla presenza di figure “sentinella”, ovvero aziendalmente parlando, di supervisor che effettuano controlli, rendendo il sistema organizzativo del tutto autoconsistente”.
Contributo editoriale sviluppato in collaborazione con Cyberoo