Processi di security monitoring all’interno di un’organizzazione: esigenze ed implementazione
A cura di Roberto Obialero, IT Security iPRO
Nell’ambito della Digital Transformation si assiste ad una rapida evoluzione nelle architetture dei sistemi ICT a supporto: oltre all’adozione generalizzata di servizi cloud ed all’integrazione nel sistema informativo di dispositivi mobili è sempre più diffusa l’apertura verso l’esterno dell’infrastruttura onde migliorare l’interazione con partner e fornitori.
In questo contesto riveste una importanza fondamentale l’implementazione di un processo di monitoraggio continuo degli eventi di sicurezza con l’obiettivo di rafforzare le tecniche di difesa e migliorarne l’efficienza.
Il punto di partenza è rappresentato da una accurata classificazione degli asset, effettuata in base a parametri quali il livello di sensibilità dei dati trattati oppure il ruolo di business, in quanto ai fini del monitoraggio del livello di sicurezza un sistema dispiegato in ambiente di sviluppo isolato è sicuramente meno critico rispetto ad un sistema esposto su Internet; secondo una logica analoga un sistema che è già stato oggetto di tentativi di attacco, specie se con esito positivo, dovrà essere rappresentato da un profilo di rischio maggiore.
Onde attivare il processo è necessario anzitutto trasferire gli eventi di sicurezza registrati dagli asset su una piattaforma dedicata di log management che, oltre a fornire in modo nativo funzionalità a garanzia dell’integrità dei dati registrati, consenta di velocizzare le operazioni di analisi dei log e degli eventi a ritroso per periodi sufficientemente lunghi. Anche gli eventi generati, possibilmente secondo un formato standard, dalle applicazioni software devono essere tracciati.
Le soluzioni tecnologiche SIEM offrono la possibilità di correlare gli eventi, aggregando e contestualizzando meglio le informazioni raccolte, in modo da facilitare le attività di analisi; sarà quindi possibile incrociare le informazioni disponibili con quelle ottenute intercettando il traffico del network (i cosiddetti flow) con la topologia della rete, la dislocazione degli asset nelle sedi, gli amministratori di sistema coinvolti oppure il grado di criticità dei server monitorati.
La piattaforma è in grado di attribuire agli eventi raccolti un livello di priorità mediata con altre informazioni quali ad esempio la loro ricorrenza, la provenienza da asset sconosciuti, oppure l’associazione ad attività di security assessment in cui siano state individuate delle vulnerabilità.
Un maggior livello di efficacia nel processo di monitoraggio potrà essere garantito attraverso l’integrazione con i servizi di intelligence quali la verifica e l’analisi delle informazioni sull’insorgenza di nuovi attacchi, sulle azioni criminali dei gruppi collettivi, sulla diffusione delle vulnerabilità, oppure da attività ostili mirate ad attaccare l’organizzazione.
E’ opportuno che le contromisure tecnologiche siano accompagnate da corrispondenti misure organizzative che disciplinino in modo formale le attività di analisi e gestione degli incidenti di sicurezza informatica all’interno dell’organizzazione. E’ quindi fondamentale il coinvolgimento del management nel processo di monitoraggio continuo degli eventi di sicurezza e di un team operativo ben preparato sia sotto gli aspetti di gestione che tecnici.
Roberto Obialero interverrà sul tema del Security Monitoring nel corso del Cybersecurity Summit 2016, organizzato da The Innovation Group il prossimo 5 aprile a Roma.
Accedi subito al sito dell’Evento e Registrati!
(posti limitati, soggetti ad approvazione della Segreteria organizzativa.)