L’approccio olistico alla sicurezza
di Mario Farris, Business Development Director @ Workgroup Consulting
Le mutazioni delle abitudini degli utenti informatici delle organizzazioni, la crescente ingegnosità dei cyber criminals e le conseguenti evoluzioni delle tecnologie di protezione dei sistemi rendono complesso l’orientamento per chi debba effettuare delle scelte nel campo della sicurezza ICT.
Abbiamo voluto fornire una visione di sintesi di quelle che sono le esposizioni per le organizzazioni, le tecnologie di protezione che si sono delineate nel mercato e la migliore strategia da adottare per gestire in modo efficiente il governo della sicurezza.
Le organizzazioni, gli asset informativi e le nuove minacce
Partendo dall’etimologia del termine “informatica”, INFORmazione autoMATICA, è naturale essere d’accordo sull’affermazione che la sicurezza IT debba avere il focus nella salvaguardia del PATRIMONIO INFORMATIVO di una organizzazione, la cui parte più atomica è costituita dal DATO, trattato, reso persistente e trasportato mediante le infrastrutture ICT: hardware, software di base e software applicativo.
La configurazione aperta di queste infrastrutture ICT e quindi l’ampia connettività delle stesse (internet, mail, mobile computing, cloud computing…) hanno fatto insorgere nelle organizzazioni esposizioni a nuove minacce:
- quelle esterne, le più tangibili, una volta mirate a creare disguidi per il puro gusto della sfida, oggi orientate ad ottenere vantaggi economici;
- quelle interne, più subdole, poiché spesso sono rappresentate dalle stesse persone che operano all’interno di una organizzazione; possono essere di origine colposa o dolosa.
I principali vendor in ambito sicurezza informatica propongono sul mercato varie soluzioni per proteggersi da queste minacce:
- Protezione del perimetro contro intrusioni dall’esterno (già note e consolidate da tempo);
- Accessi ai sistemi sempre più sofisticati e sicuri;
- Protezione dalla perdita di dati, dolosa o colposa;
- Protezione contro frodi occupazionali e in ambito WEB.
Siamo passati da una sicurezza sistema-centrica, in cui prodotti e servizi si concentravano nella difesa perimetrale delle aziende dalle minacce (soprattutto esterne), ad una sicurezza info-centrica dove in uno scenario di connettività estesa l’obiettivo è assicurare l’integrità dei dati, la continuità dell’attività aziendale e la difesa dalle minacce interne ed esterne.
La necessità del cambio di approccio
Risulta quindi difficile destreggiarsi in uno scenario come questo, dove da un lato le minacce sono diverse, mutevoli e agguerrite, e dall’altro le soluzioni per combatterle sono numerose e complesse.
E’ necessario MUOVERSI dalla tradizionale gestione “contingente” della sicurezza ad una visione strategica e complessiva della protezione.
Occorre pertanto rivedere e attualizzare la concezione delle minacce, avere una VISIONE complessiva dei RISCHI, ORGANIZZARE e GOVERNARE le strategie di difesa con APPROCCIO OLISTICO, utilizzando tecnologie appropriate e sinergiche.
La nostra visione per gli scenari attuali.
Proteggere i dati dalle minacce interne ed esterne, monitorando gli eventi, governando la sicurezza con approccio organico e complessivo:
eXtended MONITORING Vision
for THREATS Protection
La visione si declina in un approccio mirato alla identificazione delle specifiche esigenze dell’organizzazione, valutando la tecnologia più appropriata sulla base anche di quanto già implementato ai fini della sicurezza, salvaguardando quindi gli investimenti già fatti in passato.
Assodato che tutte le organizzazioni abbiano consolidato nel tempo soluzioni per la difesa del perimetro (concezione sistema-centrica), la nostra visione rafforza e completa una strategia di difesa portando il focus sui seguenti aspetti:
- Prevenzione della perdita di informazioni (DLP – Data Loss Prevention):
migliorare la consapevolezza dell’effettivo rischio mappando i dati sensibili, monitorando le azioni degli utenti sugli stessi,sensibilizzando gli utenti sul concetto di riservatezza. La prevenzione diventa ancora più efficace quando si implementano controlli che blocchino fuoriuscite di informazioni da parte di utenti inconsapevoli o malevoli.
- Analisi dei comportamenti per la FRAUD Detection:
dalla registrazione delle attività degli utenti sugli applicativi gestionali, all’analisi comportamentale per intercettare tentativi di frode: VIP Data Leakage, violazione di codici/regolamenti interni aziendali, distrazione di denaro.
Le migliori tecnologie di behavior analysis sono quelle che analizzano il comportamento direttamente alla fonte, ovvero con sistemi che intercettano e monitorano il traffico di rete acquisendo i pacchetti riferiti al traffico generato dagli applicativi gestionali, basati su sistemi legacy o su protocollo http, oggi comunemente utilizzato nelle intranet aziendali anche estese, vedi reti di agenzie assicurative o filiali bancarie.
- Security Information & Event Management (SIEM):
sistemi che raccolgono tracce degli eventi di un sistema informatico;
i dati vengono analizzati, correlati e quindi trasformati in informazioni significative sullo stato di protezione del sistema.
Questa tipologia di architetture, attingendo dai LOG dei vari devices dell’infrastruttura ICT (firewalls, antivirus, server, IDS, DLP etc.) e delle applicazioni gestionali, è in grado di fornire una visione complessiva dello stato di sicurezza dell’organizzazione generando alerts al verificarsi di eventi anomali.
Così come accade con le tecnologie di FRAUD Detection, anche queste soluzioni hanno insiti strumenti di pattern analysis e discovery; tramite le correlazioni è possibile infatti rilevare situazioni comportamentali anomale (umane o dei sistemi):- pattern discostanti da baseline conosciute (statistical correlation)
- matching di pattern malevoli noti su lassi temporali brevi (real time correlation)
- matching di pattern malevoli noti su lassi temporali estesi (historical correlation)
Ora, volendo astrarci dalle specifiche tecnologie, ci rendiamo conto come alla base di una efficace strategia di difesa vi sia un comune concetto di detection di pattern malevoli sui sistemi, consapevoli o inconsapevoli, derivanti da azioni umane (data leakage, data loss, frauds, hackers) o da malware (malicious software in tutte le salse).
La nostra impressione è che le tecnologie si stiano orientando verso un paradigma di malicious pattern detection inteso in senso ampio, e le architetture SIEM sono a nostro avviso una concreta manifestazione di questo orientamento. Le successive e prevedibili evoluzioni di queste tecnologie confermeranno questi trends, e noi già ci sentiamo di proporle ai nostri clienti avendo come target un ampio spettro di utilizzo nelle strategie di difesa.