In ambito SOC l’adozione di un processo strutturato di monitoraggio continuo degli eventi di sicurezza (security intelligence), in grado di combinare le capacità di correlazione offerte dalla piattaforma SIEM con le misure organizzative e procedurali, può dare un enorme contributo nel fronteggiare in modo adeguato i tentativi di violazione.
“In seguito a quanto richiesto dalle norme relative alla privacy, avevamo predisposto un sistema di log management per il controllo degli accessi degli amministratori di sistema” ha spiegato Fabio Bucciarelli, Responsabile Sicurezza Informatica di Regione Emilia Romagna. “Abbiamo quindi pensato che potesse essere l’occasione per sviluppare una soluzione più ampia, per garantire maggiore sicurezza”.
Il contesto è quello di un CED con 5.000 postazioni lavoro, 600 server e 250 amministratori, quindi una realtà piuttosto complessa, che eroga servizi sia all’interno della Regione, sia per alcuni aspetti anche a realtà esterne (ASL, agenzie regionali).
La soluzione di monitoraggio della cybersecurity sviluppata da Regione ER negli ultimi 3 anni prevede la raccolta di una media di oltre un miliardo di eventi su base settimanale, cui fa seguito un processo di continuous monitoring, con la razionalizzazione e successiva aggregazione e correlazione delle segnalazioni, valutandone l’efficacia tramite la misurazione di KPI. La consapevolezza di quanto accade normalmente nei punti chiave della rete aziendale permette l’avvio di notifiche tempestive nel caso di deviazioni rispetto a un comportamento nella norma, deviazioni che potrebbero rappresentare le prime avvisaglie di eventuali comportamenti ostili.
Il sistema è stato anche successivamente integrato sia con il processo di gestione incidenti di sicurezza informatica dell’ente sia con le attività di gestione del rischio. Il sistema fa uso anche di fonti esterne, un servizio di reputation su indirizzi Ip e nomi di dominio fornito da una società specializzata esterna. Ancora da sviluppare invece il tema del collegamento con i CERT esterni (è stata però già fatta una richiesta verso il CERT PA).
“La soluzione ci permette di essere oggi più efficaci, più veloci e meglio organizzati nella gestione della cyber security – ha commentato Fabio Bucciarelli – oltre che più informati su quanto succede e con un livello di compliance più alto, anche in prospettiva, considerando le novità sul fronte della privacy ed eventuali esigenze di notifica in caso di data breach”.
Fabio Bucciarelli, Responsabile Sicurezza Informatica di Regione Emilia Romagna, interverrà al Cybersecurity Summit 2016, il prossimo 5 aprile a Roma, presentando l’esperienza con un intervento specifico sul tema “Continuous Monitoring e gestione avanzata degli incidenti di sicurezza”.
A cura di: Elena Vaciago, The Innovation Group
