Axitea » Approfondimenti » Distribuire la sicurezza, automatizzare il monitoraggio e il contrasto, correlare eventi: una nuova Governance degli accessi e delle reti

Approfondimenti

Distribuire la sicurezza, automatizzare il monitoraggio e il contrasto, correlare eventi: una nuova Governance degli accessi e delle reti

20 Luglio 2021

 

Autore

Andrea Lambiase

Le sfide che si presentano nell’immediato futuro sono complesse: investono la capacità di aziende e organizzazioni di modificare processi, tecnologie, cultura, modi di vedere e concepire la sicurezza consolidati e stabili negli anni.
Tali sfide devono essere affrontate con capacità strategiche e organizzative innovative e capaci di includere, in sintesi, almeno le seguenti aree di azione:

  • Endpoint & Network Security: il peso della sicurezza informatica si è spostato drammaticamente dall’interno all’esterno del perimetro tradizionale delle aziende, investendo in pieno la componente endpoint di un’architettura ICT aziendale. Risulta sempre più necessario, di conseguenza, selezionare soluzioni o service provider in grado di offrire un elevato livello di protezione di tutti gli apparati a disposizione degli utenti (comprese le piattaforme di collaboration e i device privati o ad uso promiscuo) e della connettività necessaria al funzionamento dell’infrastruttura: soluzioni avanzate di automated detection & response per gli eventi di sicurezza connessi all’utilizzo di smartphone, laptop e workstation, analisti a disposizione per la gestione degli incidenti o per l’isolamento di una macchina infetta, o ancora soluzioni avanzate per il monitoraggio continuo delle reti e la response automatizzata in caso di attacco o anomalia. In poche parole: soluzioni avanzate di MDR e di Network Security, gestite da personale altamente professionalizzato in grado di agire in tempo reale.
  • Correlazione inclusiva: saper mettere in relazione eventi diversi e spesso apparentemente distanti tra loro con il supporto di fonti di intelligence in grado di riconoscere, da tali segnali, un potenziale attacco, è una parte essenziale ma non sufficiente di una efficace attività di monitoraggio e contrasto degli eventi di sicurezza cyber. Gli ambienti digitali delle aziende contemporanee sono complessi, ibridi, integrati, ma molto differenti tra di loro: basti pensare alla coesistenza di ambienti (e di conseguenza, eventi) IT, IoT e di automazione industriale e robotica (OT). Non bastano di conseguenza le tradizionali attività di monitoraggio e contrasto di incidenti in ambiente ICT: i SOC e i SIEM (le piattaforme di correlazione di eventi e generazione di allarmi) e i professionisti di settore devono saper correlare, analizzare e gestire log ed eventi generati da tutti questi ambienti contemporaneamente, trovando relazioni cross tra eventi generati dai vari ambienti per prevenire o contrastare efficacemente attacchi a diffusione e impatto trasversali.
  • Governo e gestione estesa degli allarmi: come conseguenza logica di quanto espresso nel paragrafo precedente, è necessario ripensare le funzioni del SOC in ottica estensiva: non più le sole funzionalità di prevenzione e gestione degli eventi e degli incidenti di sicurezza informatica in senso stretto, ma anche l’implementazione di quelle funzionalità di monitoraggio dell’ecosistema di eventi e processi funzionali alla prevenzione dei rischi di attacco, ma non direttamente connessi alla sicurezza informatica. Qualche esempio? Il monitoraggio delle performance di rete attraverso funzionalità di Network Operation Center e della frequenza di patching, l’individuazione delle vulnerabilità di sistemi, reti e infrastrutture attraverso VA erogati direttamente dal SOC, ecc.
  • Formazione specifica: la formazione ai dipendenti deve essere molto specializzata e deve sapersi adattare alle necessità più importanti per gli utenti: come riuscire a filtrare le mail, riconoscendo quelle sospette e agendo di conseguenza, come utilizzare consapevolmente i social media per evitare azioni di social engineering funzionali alla sottrazione di informazioni di contesto per preparare un attacco, come utilizzare in sicurezza le piattaforme e i device aziendali e personali, attuando pratiche di Cyber Hygiene che limitino i rischi connessi all’utilizzo di un dispositivo da parte di un cyber criminale per violare una rete aziendale.
  • Micro-segmentazione: la proliferazione degli accessi ai sistemi aziendali, il ricorso sempre più frequente ad ambienti ibridi (nei quali la componente cloud è sempre più significativa) e l’estensione della rete aziendale al di fuori del perimetro ordinario non sono trend indolori dal punto di vista della cyber security. Per questa ragione una delle tendenze principali del 2021 è quella di implementare modelli di gestione delle reti e degli accessi zero trust, come risposta efficace ai rischi connessi al nuovo approccio distribuito della forza lavoro aziendale. Integrare un approccio zero trust significa fondamentalmente:
          • Sistemi di difesa e accesso a livello delle applicazioni;
          • Isolamento dell’infrastruttura di rete;
          • Rilevamento delle minacce e visibilità del traffico su Internet.

Attraverso la microsegmentazione delle applicazioni, delle reti e dei workload aziendali, è possibile consentire agli utenti di accedere solamente alle specifiche risorse necessarie all’interno di determinati perimetri, tutelando allo stesso tempo la sicurezza delle applicazioni e la coerenza delle procedure di sicurezza alle strategie aziendali e alle richieste degli Stakeholder istituzionali in termini di compliance (es. GDPR, PCI-DSS ecc..). Un ambiente del genere – soprattutto se combinato con politiche efficaci di Identity & Access Governance (vedi sotto), assicura una robusta postura di sicurezza rendendo molto più difficile la compromissione delle reti da parte di malintenzionati, ma anche episodi di frode interna o tentativi di accesso non autorizzato dall’interno della rete aziendale.

  • Next Generation VA & Patching: in precedenza si è avuto modo di analizzare l’incidenza, nell’ultimo anno, delle vulnerabilità n-day come mezzo privilegiato di conduzione di attacchi cyber nelle aziende. Le cause del successo di questi attacchi sono principalmente legate alla scarsa frequenza con la quale nelle aziende si procede ad eseguire attività di Patching e di Vulnerability Assessment. Anche le frequenze mediamente ritenute accettabili dai principali standard di settore (es. i canonici sei mesi di intervallo tra due Vulnerability Assessment) potrebbero non essere efficaci per contrastare questo genere di attacco, che si basa su scanning e analisi continuativi al fine di identificare ed utilizzare in breve tempo vulnerabilità note, ma tendenzialmente non ancora “patchate”. Di conseguenza, l’approccio strategico funzionale alla mitigazione di questo famiglia di rischi deve basarsi su due specifici pillars:
            • la continuità nello scanning delle vulnerabilità esistenti;
            • la centralizzazione e l’automazione dei processi di patching, soprattutto quando tale processo è demandato alla buona volontà o all’iniziativa personale dei singoli utenti.
  • IAG: governare centralmente e in modo efficiente e sicuro le utenze aziendali al fine di evitare sovrapposizioni abilitative, coesistenza tra più profili in caso di cambio di ruolo aziendale, sopravvivenza di profili non più attuali significa mitigare in modo consistente i rischi connessi all’accesso non autorizzato alle infrastrutture aziendali, soprattutto quando si associa questa tipologia di soluzioni a strategie solide di microsegmentazione (vedi sopra). Oltre alle note esigenze di compliance in ambito, infatti (il GDPR richiede in modo mandatorio che sia garantita la riservatezza dei dati personali, richiedendo di fatto la gestione dei privilegi di accesso al dato), una strategia efficiente di governo delle abilitazioni consente di limitare la possibilità che eventuali accessi non autorizzati anche all’interno del dominio aziendale possano determinare eventi gravi di sottrazione di dati e informazioni strategiche, di utilizzo non autorizzato di applicativi aziendali, di tentativi di frode interna o di impersonificazione. Le soluzioni di Identity & Access Governance prevedono l’utilizzo di competenze professionali elevate e provenienti da background di competenza differenti tra loro: consulenti organizzativi e direzionali per la parte di assessment dei processi organizzativi esistenti e del catalogo dei profili e delle abilitazioni, analisti specializzati per il re-design dei cataloghi, sistemisti esperti del mondo IAM/IAG per la configurazione e l’implementazione delle piattaforme di gestione delle utenze.

Cybersecurity in outsourcing

Cosa emerge, in sintesi, da quanto detto finora? Sicuramente la necessità di gestire – come sempre – la complessità al fine di limitare i nuovi rischi che sempre la complessità porta con sé, insieme alle indubbie potenzialità. Complessità individuabili in modo intuibile dal nuovo paradigma distributivo che caratterizza sempre più le infrastrutture ICT aziendali e che presuppone la gestione di una serie di fattori che abbiamo cercato brevemente di analizzare in questi due articoli:

  • la ricollocazione dell’intelligenza in termini di elaborazione dei dati dal centro verso la periferia (cd. distributed technology);
  • la moltiplicazione contestuale degli apparati “intelligenti” (devices in dotazione agli utenti aziendali remotizzati, smart meters per automazione intelligente, sistemi di automazione industriale e di robotica ecc.);
  • l’ibridizzazione degli ambienti (cloud, container, bare metal) connessa alla progressiva complessità delle architetture aziendali e alla necessità di processare volumi crescenti di informazioni;
  • la distribuzione fisica e logica di dipendenti e collaboratori, non più ricompresi all’interno del perimetro tradizionale aziendale di sicurezza informatica ma anche di help desk e supporto;
  • la complessità crescente, in termini di nodi e di accessi delle reti aziendali distribuite, come conseguenza della distribuzione territoriale della produzione aziendale e della moltiplicazione degli hub di elaborazione delle informazioni (distributed technology, vedi sopra);
  • la promiscuità sempre più stretta tra utilizzo privato e utilizzo aziendale di ambienti, apparati e reti determinata dal lavoro remoto;
  • la proliferazione e la crescente complessità delle esigenze di abilitazione all’accesso logico determinata dalla distribuzione geografica dei dipendenti e della produzione aziendale;
  • l’aumento dell’estensione complessiva della superficie di attacco determinata dai fattori precedenti e contestualmente dei vettori e delle modalità di attacco ai sistemi, alle infrastrutture, alle reti, agli apparati aziendali.

La gestione della complessità richiede risposte innovative e strutturate, di cui abbiamo dato breve cenno in precedenza e che potremmo riassumere in due filoni ben definiti, soprattutto quando tale complessità investe aziende medie e medio/piccole con medio livello di maturità dal punto di vista della gestione della sicurezza informatica e cyber:

  • outsourcing dei servizi e delle soluzioni: intesa come esternalizzazione della progettazione della gestione della sicurezza cyber aziendale in termini di selezione e implementazione di prodotti, di progettazione e realizzazione di soluzioni complesse, di selezione, bilanciamento in funzione delle esigenze e delivery di servizi di monitoraggio evoluto, detection e contrasto di attacchi cyber;
  • esternalizzazione delle competenze professionali: intesa come selezione di partner affidabili e consolidati in grado di garantire il know how, la specializzazione, la rete di relazioni, l’esperienza e la compresenza delle molteplici professionalità (sistemisti evoluti, analisti organizzativi e di compliance, analisti cyber, operatori di Security Operation Center, esperti di Intelligence) necessarie per affrontare le sfide del presente e le esigenze del futuro.

Torna su