Nel 2021 abbiamo vissuto un’accelerazione della trasformazione in chiave digitale dei processi aziendali, un incremento del lavoro da remoto e dell’utilizzo di dispositivi mobile e servizi cloud. Tutto questo ha comportato una mutazione e un incremento del rischi cyber, portando le aziende di tutti i settori e dimensioni a riconsiderare la propria Security Posture, per allinearla a nuovi requisiti.
Quello che è chiesto oggi, a un CISO, un Chief Information Security Officer, è di fornire all’organizzazione
- una migliore visibilità su minacce, vulnerabilità, esposizione complessiva del business ai rischi cyber
- un migliore controllo, da tradurre in maggiore efficienza e gestione dei costi correlati
- una capacità di risposta superiore e integrata nell’organizzazione
- una maggiore flessibilità rispetto al passato dell’intera architettura di sicurezza, per “accomodare” esigenze nuove e favorire gli sviluppi in chiave digitale del business.
Nel corso degli Eventi organizzati da The Innovation Group sui temi della cybersecurity, abbiamo affrontato questi temi con diversi Responsabili della Sicurezza con lo scopo di verificare come sono state affrontate queste sfide nell’ultimo anno, e trarne quindi le priorità per il 2022.
A Nicla Diomede, CISO dell’Università di Milano, abbiamo chiesto cosa ha insegnato l’esperienza del Covid19, come sono evoluti gli attacchi nell’ultimo anno, come è stata offerta sicurezza alle persone e all’organizzazione in una situazione in cui le persone si sono trovate da un momento all’altro ad operare in remoto.
Nicla Diomede. “Si è trattato di un’importante sfida per me, in qualità di CISO dell’Università, per la grande eterogeneità degli utenti, 15mila, oltre ai collaboratori esterni. Oggi tutti le persone condividono le stesse infrastrutture ma con esigenze molto diverse: ad esempio, nell’ambito dei progetti di ricerca, abbiamo un’ampia condivisione di dati con aziende ed enti di ogni parte del mondo. In aggiunta è stato sdoganato l’utilizzo di dispositivi personali degli utenti da reti domestiche. In più, sono cambiati gli attacchi, che si sono intensificati e volti soprattutto a rilevare i punti vulnerabili. Avendo in Università anche attività di ricerca a tema Covid, era necessario proteggere queste strutture critiche con azioni mirate di protezione”.
Un cambiamento repentino di scenario, la necessità di far fronte a un maggior numero di attacchi con risorse limitate, un’infrastruttura sempre più complessa da proteggere, soluzioni eterogenee di sicurezza da gestire. Quali sono diventate le priorità del Responsabile della Cybersecurity in questo contesto?
“La nostra strategia di sicurezza, considerato il nuovo scenario, è stata quella di rafforzare da una parte le capacità di detection e reaction immediata ai tentativi di attacco – ha detto Nicla Diomede – e dall’altra le policy di difesa delle nostre risorse. Da anni ci siamo dotati di un’architettura di sicurezza in cui abbiamo integrato diverse componenti di sicurezza tra cui SIEM, firewall, endpoint protection e piattaforme di Threat Intelligence in modo da consentire, tramite gli script di automazione realizzati dal nostro SOC, un’azione coordinata, sinergica e tempestiva: abbiamo intensificato le personalizzazioni e le integrazioni in modo da avere regole di protezione che oggi sono automatiche, dinamiche, temporanee, diversificate per tipo di attacco e sorgente di provenienza e attivate sin dalle prime fasi di un attacco. Oltre alle minacce già intercettate dai firewall, le automazioni realizzate ci hanno consentito di passare dai 5.000 blocchi automatici al giorno agli attuali 15.000.
Abbiamo inoltre potenziato le nostre infrastrutture di security dotandoci anche di soluzioni di Cloud Security, di Endpoint protection evoluto (EDR/XDR) e soluzioni SOAR (Security Orchestration, Automation e Response) in modo da migliorare la nostra visibilità, la capacità di difesa e di orchestrare e automatizzare le risposte agli incidenti, attivando le opportune contromisure in modo sempre più “chirurgico”. A supporto del SOC, una dashboard aiuta gli analisti ad avere visibilità immediata degli attacchi in corso, per avere idea a colpo d’occhio di cosa avviene, e avere gli strumenti corretti per agire. Dal punto di vista tecnologico, inoltre ci stiamo muovendo per superare l’approccio classico VPN e adottare soluzioni di tipo Cloud Access Security Broker. L’altro aspetto importante è poi sempre sensibilizzare gli utenti: affrontiamo il tema della Security Awareness con bollettini, arricchimento delle pagine del sito di ateneo con pillole educative, una guida con indicazioni precise per avere strumenti utili e lavorare in sicurezza da remoto”.
Da molte parti il tema del consolidamento delle competenze di security viene sentito come prioritario, unito alla necessità, come ha sottolineato Diomede, di incrementare l’efficacia della detection e della risposta.
Come migliorare quindi le capacità del SOC (security operation center), sfruttare le nuove tecnologie (come la gettonata Extended detection and response (XDR)), che in parte risponde a questi bisogni) e nel contempo migliorare in efficienza, integrando capacità interne ed esterne, del proprio staff e dei security provider? Ne abbiamo parlato con Corradino Corradi, Head of ICT Security, Privacy & Fraud Management, Vodafone Italia.
Corradino Corradi. “Oggi il tema dell’evoluzione dei SOC è centrale nel disegno di una moderna strategia di cybersecurity. Tradizionalmente si è partiti con la realizzazione di un SIEM basato sulla correlazione di eventi per evolversi verso un CSIRT, in una logica che passa dal mero monitoraggio degli eventi, alla detection e gestione dell’incidente, fino l’escalation dello stesso. Ultimamente però, essendo tutti “inondati” di grandissime moli di dati, il SIEM ha cominciato a mostrare i suoi limiti, e in tanti stanno pensando di complementarlo con EDR / XDR, soluzioni anti-malware evolute ed in grado anche di fare più velocemente la detection dei movimenti laterali del malware all’interno delle organizzazioni. Se correttamente configurati gli EDR / XDR consentono di ottenere alert immediati e “contestualizzati” da dare in gestione direttamente al SOC.
Un ulteriore approccio che comincia a dare risultati interessanti è quello di raccogliere gli alerts direttamente dagli endpoint, collezionarli in Data Lake invece che in tradizionali DB relazionali (o nel SIEM), e quindi utilizzate tecniche di Big Data Analytics sui dati di sicurezza raccolti. In questo modo si creano delle viste (simili a quelle realizzate con strumenti oggi già usati in altri ambiti, ad esempio nel marketing): la direzione è quella di un’analisi del dato sempre più in “real- time”, sfruttando tecniche di analytics e know-how già presente in azienda.
L’analisi dei Big Data della security risponde quindi alla necessità di velocizzare la risposta ai cyber-attack, sempre più sentita dal CISO. Tenendo però presente che l’efficacia della sicurezza dipende soprattutto dal disegno di processi semplici e dinamici, da tecnologie allo stato dell’arte e da una forte integrazione, in modo da poter accedere a tutti i dati della sicurezza da un punto centrale. Un approccio oggi sempre più seguito è quello della Security Orchestration, Automation e Response (SOAR), un’architettura di sicurezza che si pone l’obiettivo di gestire al meglio minacce e vulnerabilità, nonché la risposta agli incidenti, tramite un’automazione più spinta, la scrittura di regole, un coordinamento generale, una maggiore proattività e una più stretta integrazione di tutte le fasi, dal monitoraggio, al rilevamento integrato delle minacce e alla risposta agli incidenti, ad altre funzionalità.
Il vantaggio di automatizzare le attività della security è evidente, non potendo disporre di risorse infinite: a cosa prestare però attenzione?
“Con SOAR, puoi creare delle regole e, almeno per i casi più semplici, auto-generare l’incidente e far partire delle remediation automatiche – ha commentato Corradino Corradi -. Ovviamente questo non è possibile per i casi complessi, mentre è molto utile per quelli semplici, per ridurre il rumore di fondo, la pressione sulle persone e quindi in ultima analisi, incrementare efficacia e ridurre i tempi di risposta sul sottoinsieme di incidenti più complessi e rischiosi.
Quindi, riprendendo quanto detto prima, nel caso di eventi noti, dove si conosce già il tipo di malware, la signature e quant’altro, una buona strategia è automatizzare detection e risposta. Nei casi più complessi invece, è fondamentale riuscire ad intercettarli, come trend o come fenomeno (soprattutto se nuovo e mai codificato prima), attraverso i Data Lake o attraverso l’analisi del comportamento anomalo o inatteso della rete e degli end-point”.
A cura di:
Elena Vaciago, @evaciago
Articolo precedente: L’AGENDA 2022 DEL CISO: VANTAGGI E RACCOMANDAZIONI PER SOAR E XDR, 10 gennaio 2022