Cyber Threat Intelligence: combattere le minacce con un approccio open - Iconsulting

In un mondo iperconnesso come quello attuale tutte le organizzazioni rischiano di finire nel mirino di attacchi cyber, volti ad acquisire dati sensibili o riservati, o più in generale, a violare il perimetro dell’organizzazione stessa per provocarle un danno.
Questo perimetro è stato reso ulteriormente fragile dalla transizione repentina a un nuovo modello di smart working, dovuto all’emergenza Covid-19: la necessità di garantire l’operatività del personale anche in condizioni di lavoro da remoto, spesso in lassi di tempo molto brevi, ha fatto emergere nuove potenziali vulnerabilità.
Gli Information Security Manager sono i soggetti incaricati a sorvegliare questo perimetro, ad esempio, scoprendo nel più breve tempo possibile se sono in corso dei tentativi di accesso malintenzionati agli applicativi aziendali o sono presenti malware negli allegati delle mail che si scambiano utenti e collaboratori.
In questo contesto un aiuto fondamentale arriva dalla Cyber Threat Intelligence, che permette di acquisire conoscenze preziose su quelle che possono essere le minacce incombenti o le vulnerabilità dei sistemi.
Negli ultimi anni l’attenzione verso il tema della sicurezza informatica è cresciuta notevolmente: secondo una ricerca dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, la cybersecurity è una delle priorità di investimento legate all’innovazione digitale. Il SANS Institute stima che il 95% di tutti gli attacchi alle reti aziendali sia il risultato di spear phishing di successo; è per questo che recentemente molta attenzione si focalizza sull’utente e sulla fase che viene detta prevent, cioè quella che cerca di evitare una compromissione intervenendo direttamente sulle persone prima che sulle tecnologie. Ciononostante, un’enorme quantità di soluzioni hardware e software hanno provato a dare risposte a questa esigenza, con la promessa di proteggere le aziende da qualsiasi tipo di minaccia. 

Cybersecurity: per i CIO è tutta una questione di tecnologia

Come rilevato da Gartner nella survey The Urgency to Treat Cybersecurity as a Business Decision, dopo anni di crescita globale degli investimenti in questo settore, ci si aspetta che nel prossimo futuro questi subiscano una contrazione. Anche se ci sono diverse ragioni dietro questo rallentamento del mercato, uno dei motivi principali è la difficoltà a misurare il ritorno degli investimenti: i CIO hanno affrontato l’intera tematica come una questione prevalentemente tecnologica e anche i decisori aziendali hanno faticato a collegare gli investimenti a reali obiettivi di business.
Molto spesso il motivo è legato al fatto che le piattaforme acquistate vengono utilizzate come delle “black-box”, che garantiscono un determinato livello di protezione, ma non offrono molta trasparenza su quali siano gli aspetti su cui gli Information Security Manager dovrebbero concentrare la propria attenzione.

I pilastri dell’approccio open di Iconsulting

Affrontare un progetto di cybersecurity per garantire il corretto funzionamento dei processi aziendali, non significa solamente scegliere un set di tecnologie. Richiede in primis un approccio che prenda in considerazione tutte le attività e funzioni aziendali, per avere una visione sui rischi e le minacce dei singoli ambiti, capire cosa monitorare e proteggere per ognuno.
Come spesso è accaduto anche in altri ambiti, il nostro consiglio è di non affidarsi a soluzioni pre-confezionate ma di utilizzare un approccio “aperto”, basato sull’incrementale raccolta e analisi delle informazioni a disposizione dell’organizzazione. Solo in questo modo è possibile governare e controllare consapevolmente gli aspetti ritenuti importanti per il proprio business.

Per perseguire con successo questo approccio open, sono 3 gli aspetti fondamentali da considerare: la tecnologia, i dati e il livello di automazione.

  • La tecnologia.
    In massima sintesi una piattaforma di Cyber Threat Intelligence è un grande sistema di analisi di log (a livello applicativo, di sistema, hardware, di rete, etc.). In un approccio open è opportuno dotarsi di un sistema che faccia da collettore di tutti questi log e sia in grado di memorizzarli, processarli e interrogarli in tempi rapidi: esistono diverse architetture di riferimento, la più famosa delle quali è sicuramente lo stack ELK.
  • I dati.
    Praticamente non esiste sistema informativo/informatico che non generi log. Dalle applicazioni on premise ai sistemi in Cloud, dagli apparati di rete ai database, tutto produce una scia di informazioni che è sufficiente analizzare per capire cosa stia succedendo: la questione semmai è decidere da cosa cominciare! Un buon punto di partenza solitamente sono i log dei sistemi di autenticazione, dato che indicativamente tutte le applicazioni aziendali si interfacciano con essi e sono un punto di accesso unificato alle informazioni del proprio business.
  • Il livello di automazione.
    La prima fase, generalmente più esplorativa, consiste nel fare un assessment delle informazioni di interesse per il Security Manager, solitamente con analisi di correlazione dei dati su periodi temporali lunghi realizzati attraverso cruscotti e dashboard. La fase successiva prevede invece di rendere il sistema “actionable”, gestendo ingestion e processing in real-time dei dati e attivando meccanismi di alerting e di feedback sui sistemi analizzati, in modo che rispondano in maniera autonoma in caso di rilevamento di anomalie.

Il nostro approccio in azione

Andiamo a vedere più nel dettaglio l’approccio descritto. Se la propria organizzazione utilizza la suite Microsoft, un esempio abbastanza semplice ma molto potente di questo approccio open prevede di integrare sullo stack ELK le informazioni provenienti dai log di accesso delle applicazioni Office 365. Vediamo di seguito come abbiamo guidato e applicato questo approccio ad una nostra azienda cliente.

Tecnologia: stack ELK
• Logstash/Beats: Ingestion e processing dei log
• Elasticsearch: Storage ed indicizzazione
• Kibana: Visualizzazione

Dati: log di accesso a Office 365 ottenute attraverso le  diverse API messe a disposizione da Microsoft Graph (ad esempio https://graph.microsoft.com/v1.0/auditLogs/signIns)

Livello di automazione: in questo esempio i dati vengono recuperati in near-realtime (aggiornamento ogni 5 minuti) e visualizzati su 2 dashboard realizzati con Kibana.

Il risultato è una analisi dei tentativi di login a tutti gli applicativi integrati con Office 365, classificabile per:

  • Provenienza (ad es: provincia/regione/nazione)
  • Tipo di dispositivo e/o browser
  • Applicazione
  • Esito (login riuscito/fallito)

Per approfondire le cause dei tentativi di login falliti, è facile realizzare una analisi di approfondimento in cui si mettono in relazione temporale gli accessi tentati con quelli riusciti, individuando alcuni KPI di interesse, come:

  • Massimo numero di accessi con errore per il corrispondente intervallo temporale
  • Percentuale di accessi con errore rispetto al totale degli accessi

Il processo per la gestione di questi dati è piuttosto semplice perché le classi di informazioni analizzabili sono relativamente poche e i tipi di correlazione che è possibile individuare sono soprattutto di tipo temporale. Nonostante ciò, la dashboard realizzata è ricca di informazioni e può essere utilizzata per diverse analisi sull’organizzazione oltre che per garantire la sicurezza del perimetro delle informazioni aziendali.

Perché sposare un approccio open

In sintesi, alle aziende che si trovano ad affrontare un progetto di Cyber Threat Intelligence, consigliamo di adottare un approccio open, perché:

  • Si tratta di un approccio incrementale alla tematica della Cybersecurity, che parte da esigenze specifiche del proprio contesto e prevede un basso investimento iniziale rispetto alle soluzioni di mercato.
  • Con questo approccio è facile fare sperimentazione e cercare le soluzioni che per la propria organizzazione presentano il miglior rapporto costo/beneficio, oltre a incentivare una cultura orientata all’innovazione e a dare la possibilità di sviluppare un laboratorio interno per l’innovazione basata sui dati
  • Grazie all’approccio open data platform, i dati che vengono raccolti per finalità di sicurezza possono essere riutilizzati in tantissimi altri use case di interesse per l’azienda (analisi della copertura commerciale, orientamento degli investimenti in asset digitali, monitoraggio della produttività dei collaboratori, etc.)

Giorgio Gabbani – Senior Manager

All the tech, business news and trends you need to know. Delivered to your inbox.
Share
Share