Il Security Operation Center è il cuore di una corretta gestione degli eventi di sicurezza, quindi deve oggi evolvere per tener conto della rapidità con cui si trasforma lo scenario dei cyber threat. Ne abbiamo parlato con Federico Santi, Security Principal – Hewlett Packard Enterprise
Quale sarà in futuro il ruolo del Security Operation Center considerando i nuovi trend legati alla necessità di incrementare Threat Detection e Incident Management?
Bisogna far evolvere il Security Operation Center per uscire da una logica arretrata che lo vede operare principalmente nel riconoscimento di signature note e invio contestuale di alert. Questa modalità operativa è reattiva e oramai non allineata con le evoluzioni del cyber threat, per cui una black list è già vecchia dopo un solo giorno.
Oggi il SOC, che ha un costo molto rilevante, 10 volte superiore a quello di qualche anno fa, deve sfruttare al meglio le proprie capacità lavorando in logica preventiva, ossia puntando a individuare attività sospette.
Molti attacchi non possono più essere individuati basandosi soltanto su analisi della signature. Bisogna dotare il Security Operation Center di strumenti e processi di Big Data intelligence che effettuano analisi comportamentali, ricercando anomalie e facendo i controlli prima dello scatenarsi di un evento. In HP il nostro motore di correlazione degli eventi è il modulo ESM di ArcSight, che contiene un engine in grado di analizzare e correlare tutti i log degli eventi che avvengono nell’organizzazione, anche quelli legati a comportamenti leciti, quindi ogni login, logoff, file access, database query, in modo da evidenziare eventuali anomalie.
Come si realizza in pratica una soluzione di Big Data security?
Il principale problema da risolvere è come gestire grandissime quantità di dati in quasi real time. Questo obbliga a spingersi ad utilizzare tecnologie Big Data, nel nostro caso la piattaforma HP Haven basata su Hadoop per analisi avanzate e predittive. Una soluzione completa di Big Data security secondo HP comprende anche aspetti di capacità operativa, archiviazione dei Big Data, capacità di elaborazione rapida, ed incorpora regole analitiche predefinite per individuare gli eventi più significativi, per la riduzione dei falsi positivi, aspetto molto importante, oltre che l’interfacciamento con il SIEM e la definizione di action da attuare immediatamente in caso di allarme.
Quali altri aspetti vede confluire nel SOC per renderlo più efficace?
Il Security Operation Center deve ad esempio avere visibilità di alcuni componenti business, come le informazioni che oggi risiedono in piattaforme GRC parallele. Ad esempio, dati legati a governance e compliance dovrebbero essere importati nel SIEM – un SOC potrebbe avere le capacità di tenere sotto controllo tutto, ma questo spesso non avviene. Un altro elemento che arricchisce e rende più efficace il SOC è la capacità avanzata di investigazione su quanto avviene nell’underground economy, infiltrando risorse proprie o utilizzando quelle di provider esterni per capire quali sono le attività degli hacker nei dark market. Capire cosa sta per succedere può essere la migliore difesa.
Oggi parlando di cyber crime i rischi reputazionali sono molto alti: quali azioni dovrebbero intraprendere le aziende?
Anche in questo caso la risposta sta in logiche preventive e di analisi di Big Data. Bisogna monitorare le fonti esterne, blog, forum e social network, per verificare se il brand è attaccato in qualche modo. Di nuovo si tratta di tenere sotto controllo volumi di dati molto alti in tempi strettissimi, fattibile solo con logiche Big Data, non è più pensabile ricorrere unicamente a persone che controllano il web. Il tutto deve essere finalizzato alla resilience dell’organizzazione, tenendo conto del fatto che il danno reputazionale è irreversibile, il danno all’immagine e al brand non può essere facilmente recuperato.
Quale cultura osservate nelle aziende italiane con riferimento alla Digital Forensics e alla capacità di dotarsi di prove legali per successive investigazioni?
Le aziende dovrebbero dotarsi di processi per la produzione di evidenze digitali in caso di incidente, ossia di un sistema di archiviazione di log realizzato in modo corretto, che limiti il rischio di successive manipolazioni con corruzione delle prove. In Italia spesso manca la cultura e questi processi non sono realizzati, per cui ad esempio più amministratori hanno le credenziali di accesso agli archivi e sono abilitati a cancellare eventuali tracce che servirebbero invece in sede investigativa e processuale. I log dovrebbero essere archiviati con tracce temporali certe e senza possibilità di modifiche – se questo non avviene l’IT è in qualche modo involontariamente complice di una cattiva gestione delle evidenze digitali. Su questi aspetti e sulla corretta risposta in caso di incidente le aziende saranno chiamate ad adeguarsi in un prossimo futuro con l’arrivo sia della Direttiva sulla Cybersecurity, o Direttiva NIS, alla cui definizione HP ha partecipato come parte attiva (chiamata dalla Commissione per un confronto con il mercato), sia per il Regolamento sulla Data Privacy GDPR, anch’esso in arrivo dal 2016.
A cura di:
Elena Vaciago, The Innovation Group