Il valore della Discovery nel contenere gli attacchi cyber

Il valore della Discovery nel contenere gli attacchi cyber

Il valore della Discovery nel contenere gli attacchi cyber

Le statistiche ci dicono che il tempo medio di discovery di una violazione di dati aziendali era di 201 giorni nel 2016 e nel 2017 è migliorato di poco: 197 giorni. Questo significa che le organizzazioni impiegano in media 6 mesi per accorgersi di una fuga di informazioni dai propri sistemi. Una maggiore rapidità nell’identificare il data breach permettere invece sia di contenere l’incidente sia di ridurre i danni. Oggi l’obiettivo di una soluzione di discovery è quello di portare idealmente a qualche ora il tempo di rilevazione di questi fenomeni: come realizzarla è oggetto di questa intervista con Matteo Herin, RSO di Leroy Merlin.
TIG. Quali sono state le motivazioni dietro la vostra strategia di cybersecurity?

Matteo Herin. Leroy Merlin è uno dei principali player della GDO in Italia e in Europa, presente con 48 negozi distribuiti su tutto il territorio nazionale. Nel contesto attuale di mercato, la nostra realtà deve affrontare numerose sfide: ci viene richiesta una presenza omnicanale (fisica, web e digital), abbiamo oltre 130 applicativi di cui il 10 % legacy, contiamo 7.000 endpoint distribuiti sul territorio, una forte presenza di fornitori e sistemi specializzati, elevati volumi transazionali, una customizzazione del software pervasiva.

Con un perimetro quindi sempre più ampio da proteggere, ci siamo accorti che era sfidante garantire una governance efficace. In aggiunta, la soluzione di security preesistente, basata su sistemi di identificazione del malware di tipo standard, non era più in grado di sostenere le problematiche aziendali di sicurezza: va considerato come era cresciuta presso le nostre sedi la presenza di un gran numero di consulenti e partner, i nuovi rischi portati dalla rapida introduzione di nuove tecnologie e servizi, oltre all’eterogeneità di sistemi presenti in ogni singolo punto vendita.

Difficilmente saremmo arrivati ad avere una governance completa della sicurezza per tutti gli ambienti senza il ricorso ad un’ampia attività organizzativa. Inoltre, avevamo il sospetto che gli strumenti antimalware tradizionali non “vedessero” tutta una serie di attività molto più sofisticate, ad esempio gli attacchi di tipo fileless, che sono eseguiti in memoria e non lasciano traccia, scrivendo il loro codice solo in sezioni di memoria dedicate a specifici processi spesso legittimi.

TIG. Come avete quindi risolto il problema di garantire un livello minimo di protezione omogenea attraverso tutta l’organizzazione?

Matteo Herin. Abbiamo scelto un approccio non tanto preventivo quanto di rilevazione, attraverso la piattaforma di security monitoring Aramis realizzata da Aizoon, che analizza il traffico di rete basandosi su un insieme di tecniche (di machine learning, analitiche per il riconoscimento di anomalie, di threat intelligence). La soluzione è in grado di rilevare in qualsiasi momento cosa succede in rete, agendo in sostanza come un sonar, ossia “individuando gli attacchi sulla base del rumore che fanno”.

Se oggi un attaccante sta cercando di violare un sistema di domotica ad esempio, lo fa per lo più con tool automatici, con vari tentativi di forzatura dei servizi esposti realizzati in automatico e rilevabili analizzando il traffico di rete. Per quanto riguarda invece i rischi connessi al download di malware, oggi sono per la grande maggioranza da ricollegare alla email. Negli attacchi di questo tipo, i messaggi più sofisticati, oltre a superare il filtro antispam, inducono gli utenti a cliccare su un link o ad aprire un allegato. In questo modo avviene il download del malware, il codice malevolo si installa e comincia ad esfiltrare o cifrare documenti e informazioni anche riservate. Anche in questi casi, la soluzione Aramis individua traffico anomalo in rete, e quindi siamo in grado di risalire e bloccare un’attività malevola in corso.

TIG. Quali erano le caratteristiche che ricercavate e come si è svolta la prova del servizio di monitoraggio della sicurezza offerto da Aizoon?

Matteo Herin. Cercavamo una soluzione e competenze specialistiche: in Aramis abbiamo trovato sia una forte specializzazione sia la disponibilità dei servizi con un ISOC verticale che accompagna la piattaforma. Con Aizoon abbiamo realizzato un “Proof of Value” (PoV) della durata di 8 settimane, più lungo del solito, ma la nostra l’esigenza era di avere una visione  ampia  e di tenere sotto osservazione costantemente anche i negozi. Del resto, una prova di poche settimane nel nostro caso non era sufficiente: abbiamo operato con  il giusto tempo per valutare bene il  prodotto nella complessità e specificità che ci caratterizza. Inoltre, nel nostro caso c’era anche il supporto fornito dal ISOC, quindi analisti che sono stati formati e informati sulla nostra realtà per fornire un vero valore aggiunto.

TIG. Quali sono stati i risultati del PoV?

Matteo Herin. Il test ha dimostrato che avevamo visto giusto: c’erano veramente degli attacchi in corso (per fortuna senza conseguenze) che non stavamo rilevando. Il report finale, partendo da un’analisi su 650 milioni di connessioni raccolte ed analizzate da Aramis, oltre 40 milioni di eventi generati dalle analitiche, circa 120 comportamenti sospetti analizzati dal team I_SOC, è arrivato infine a segnalarci 33 minacce. Tra queste rientravano sia configurazioni non ottimali sia attacchi in corso non rilevati, ossia tentativi di breach che partivano dalla ricerca di vulnerabilità nelle nostre infrastrutture.

TIG. Quali azioni sono state intraprese dopo le segnalazioni? E come funziona ora il servizio?

Matteo Herin. Oltre alla riconfigurazione del network, all’ottimizzazione di regole e all’indicazione di protocolli ammessi più stringenti e precisi, ritenendo che specifiche attività sospette (come quelle basate su sistema di anonimizzazione TOR) non siano accettabili nel nostro contesto, abbiamo cominciato a studiare un disegno futuro di risposta agli attacchi.

attacchi cyber

Ora che il sistema è in produzione, riceviamo su base settimanale un riepilogo e ogni 2 settimane una sessione di mezz’ora per parlare della risoluzione delle problematiche presentate. In caso di Warning gravi, qualora non ci sia tempo da perdere, arriva anche una chiamata diretta da parte degli analisti.

TIG. Quali prevede saranno nel prossimo futuro i vostri sviluppi sul fronte disclosure, infosharing e condivisione di alert con terze parti?

Matteo Herin. Stiamo sicuramente andando verso questa direzione: oggi all’interno del gruppo si condividono già queste informazioni in modo trasparente. Abbiamo un SOC di gruppo, per cui spesso si scambiano i rispettivi report: in un caso, la somma delle rilevazioni è servita a comprendere meglio un incident causato da un malware (che aveva prodotto un movimento laterale osservato proprio in Italia).

TIG. Nell’ultimo anno molte aziende hanno anche vissuto l’impatto dell’adeguamento al GDPR: quali sono state le conseguenze nel vostro caso?

Matteo Herin. Noi, essendo parte di gruppo ADEO, abbiamo avuto come principale difficoltà la necessità di integrare procedure e processi tra tutte le realtà. Abbiamo lavorato sia internamente sia con terze parti per la compliance. Si è trattato di mettere mano a processi molto articolati, con grande impatto organizzativo. È stato d’aiuto aver definito una task force trasversale interna, con rappresentanti lato ICT, marketing, HR e legale. Oggi si sta proseguendo, lavorando soprattutto sull’automazione per rendere cost effective le diverse attività.

INTERVISTA A:

Matteo Herin

Matteo Herin, RSO di Leroy Merlin

A cura di:

Elena Vaciago, The Innovation Group

@evaciago