• Sei qui:  
  • Home
  • News
  • Focus
  • Monitoraggio e gestione degli eventi di sicurezza

Monitoraggio e gestione degli eventi di sicurezza

Pubblicato: martedì, 02 febbraio 2021 in Focus

di Luciano Quartarone, CISO & Privacy Director Archiva Srl e Francesco Morini, Co-Founder Bl4ckSwan Srl

La sicurezza in ambito IT è un tema che interessa aziende e organizzazioni di ogni settore e dimensione. Il mantenimento delle attese prestazioni dei processi a supporto dell’erogazione dei servizi di business di un’azienda richiede il coinvolgimento di diverse professionalità, con molteplici ruoli e responsabilità per una varietà importante di tecnologie specializzate nel rilevamento, nell’analisi e nella gestione di eventi di sicurezza che possono generarsi all’interno dei sistemi informativi: in una parola, complessità. Data questa diversificazione è fondamentale coordinare - o orchestrare - tutte le risorse coinvolte nell’analisi degli eventi rilevati, e nella risoluzione degli incidenti che questi possono far rilevare. L’articolo si pone l’obiettivo di definire quali siano le problematiche affrontate negli ordinari processi di rilevamento e gestione di incidenti di sicurezza, e introduce la necessità di un processo e strumenti per l’orchestrazione di tali attività, in quanto notoriamente poco strutturate, ripetibili ed efficaci. Nell’intento di suggerire una soluzione a tale problematica, viene introdotto il paradigma di tecnologie SOAR (Security Orchestration, Automation and Response), mirate a efficientare i processi erogati dalla funzione di SecOps, che promuovono l’integrazione tra diverse tecnologie e l’automazione dei processi più semplici ma non meno onerosi del business-as-usual solitamente associati a questa funzione. Monitoraggio, analisi e gestione degli eventi di sicurezza: quali sono le problematiche che portano all’esigenza di orchestrazione?

• All’interno di un sistema informativo aziendale, esistono tante tecnologie: Antivirus, IDS/IPS, firewall, FIM e WAF per citarne alcuni; molti di questi generano informazioni (leggi log) che possono convergere in una soluzione SIEM. Tuttavia, integrare queste in un singolo contenitore risulta complesso e oneroso, e spesso non succede. Il risultato è una forte frammentazione di informazioni che dovrebbero essere correlate per dare contesto, ma che risulta molto oneroso fare proprio in virtù di ubiquità dei log.

• Spesso e volentieri i log che vengono analizzati richiedono un significativo arricchimento con informazioni, tra cui quelle di natura OSINT e CLOSINT. OSINT - informazioni provenienti da fonti open o pubbliche, quali incroci con dati IOC (Indicators of Compromise) per rilevare eventuali compromissioni, CVE e altri ancora. CLOSINT - informazioni provenienti da fonti closed o chiuse, quali database di threat intelligence a pagamento, ma anche informazioni generate internamente dall’azienda stessa, essenziali per contestualizzare correttamente la rilevanza di un determinato evento, quali mappe relazionali tra sistemi IT e processi supportati, valori di sensibilità/criticità del nodo, risorse trattate e/o accessibili da quel nodo, qualora considerato sistema ponte.

• Un sistema informativo medio complesso genera una quantità di log elevatissima ogni giorno, la maggior parte dei quali non sempre è significativa ma che richiede molteplici passi meccanici e ripetitivi di analisi, che risultano in un basso rapporto costo/ritorno (vedi ROI) per essere rimossi.

Essendo poi condotte da personale più o (spesso) meno qualificato queste stesse attività sono inoltre soggette a errori operativi, che quindi possono incidere significativamente sulla quantità di falsi positivi e negativi; (inoltre ndr) la frequente assenza o superficialità di Standard Operating Procedure (SOP) che definiscano con dettaglio le azioni da intraprendere per investigare o gestire un incidente, risulta nell’avere molteplici approcci allo svolgimento del lavoro, che spesso e volentieri risultano poco armonizzabili e non sempre tutti efficaci nel raggiungere l’obiettivo desiderato, o semplicemente comparabili.

• La mole di lavoro non adeguatamente strutturata o codificata in workflow (o playbook) fa sì che siano sempre le persone più competenti a dover svolgere i task a basso rapporto costo/ritorno, proprio perché l’assenza di SOP richiede che siano le persone più capaci a gestire il destrutturato. Ciò apre al rischio che, sommersi nella caoticità delle indagini business-as-usual delle SecOps, non vi siano più disponibili le competenze necessarie per indagare eventi non standard e non immediatamente apparenti, che potrebbero celare problemi significativi e che richiedono competenze più verticali.

Il mercato ha però da qualche tempo iniziato a offrire soluzioni SOAR progettate per supportare gli CSIRT (Computer Security Incident Response Team) e i SOC (Security Operations Center), nel rispondere alle minacce informatiche con precisione, automatizzando processi di gestione e incrementando i meccanismi aziendali di coordinamento e collaborazione SOAR è l’acronimo di Security Orchestration, Automation and Response e rappresenta un approccio al controllo e alla protezione dei sistemi aziendali che sta dimostrandosi un ottimo supporto per i team preposti alla salvaguardia del patrimonio informativo aziendale. Il termine, coniato da Gartner, viene definito come “una tecnologia che consente alle organizzazioni di raccogliere dati e segnalazioni relative alle minacce alla sicurezza attingendo da diverse fonti. L’analisi degli incidenti e il triage possono essere eseguiti utilizzando una combinazione di risorse umane e meccaniche che aiutano a definire, priorizzare e guidare le attività di risposta agli incidenti secondo un flusso di lavoro standard”. Il SOAR si fonda appunto su schemi e scenari predeterminati, costruiti su un insieme di regole, la cui combinazione configura, nella loro applicazione complessiva, un comportamento intelligente del sistema in risposta a eventi avversi, ovvero eventi che possono indicare una possibile violazione della politica di sicurezza di un’organizzazione, oppure di un controllo di sicurezza o una circostanza precedentemente non nota, che potrebbe anche concretizzarsi nell’assenza di qualcosa di atteso, che possono essere rilevanti ai fini della sicurezza, cioè impattare gli asset dell’organizzazione o compromettere la sua operatività. Questi strumenti permettono di codificare i processi di risposta agli incidenti, in strategie dinamiche che guidano il team di risposta agli incidenti, fornendogli gli elementi di conoscenza necessari per risolvere gli incidenti. Tutto questo può avvenire in pochi istanti con un’azione da parte di risorse umane ragionevolmente limitata. Le attività ripetitive e dispendiose in termini di tempo così automatizzate, permettono di snellire il lavoro dell’IRT e del SOC, efficientando il lavoro del personale coinvolto che, quindi, può concentrarsi su attività a maggiore valore aggiunto. È noto infatti come, in genere, la maggior parte degli eventi segnalati vengano del tutto ignorati, anche se per essi è disponibile una chiara e semplice azione correttiva, a causa della mole ingestibile di avvisi che i diversi dispositivi sollevano. Processi automatizzati, correttamente orchestrati possono contribuire alla rimozione di questa tendenza, riconducibile all’errore umano, includendo anche l’inesperienza, il sovraccarico di lavoro e la disattenzione. Per monitorare e priorizzare efficacemente gli avvisi, si deve ricorrere alla definizione di regole e soglie, determinate da sistemi di apprendimento automatico, che possano essere automaticamente verificate da sistemi, rimuovendo sia l’imprecisione introdotta da schemi di valutazione e decisione statici, sia il lavoro manuale di operatori che altrimenti sarebbero costretti a osservare per intere giornate monitor, prendendo decisioni in base alla soggettiva valutazione di quanto indicato a video. Diversamente, automatizzare la ricerca dell’azione necessaria alla mitigazione delle minacce informatiche, implica l’utilizzo di diverse tecnologie che consentono alla macchina di svolgere attività tipicamente condotte da un analista. Per concludere, i benefici derivanti dall’implementazione di una tecnologia SOAR possono essere riassunti nei seguenti punti:

• possibilità di integrare con relativa semplicità tecnologie che prima di oggi non parlavano la stessa lingua;

• possibilità di arricchire le informazioni già raccolte con le più tradizionali tecnologie tramite fonti aperte e fonti chiuse, utili per dare un significato più profondo rispetto a quello insito in un mero log;

• possibilità di eliminare tante segnalazioni che non hanno un vero significato intrinseco di sicurezza, permettendo di conseguenza, di concentrarsi sul gestire e approfondire gli eventi che non sono valutabili con procedure automatiche;

• possibilità di automatizzare una serie di attività low-level che, quando svolte da una risorsa umana, portano poco valore aggiunto e soggette a errore; inoltre, tramite la definizione dei playbook, promuove un’uniformità delle Standard Operating Procedures con le quali queste attività vengono svolte;

• possibilità di indirizzare le persone più competenti a disposizione nel team nell’affrontare qualcosa di nuovo, potendo successivamente essere in grado di estendere ulteriormente l’automazione di cui sopra per gestire dinamiche più nuove e complesse;

• possibilità di accrescere i valori di efficacia e produttività del processo di gestione degli incidenti di sicurezza.

Detto ciò, è doveroso chiarire che il SOAR non è una panacea che risolve il problema della gestione del monitoraggio e dell’incidentresponse in modalità plug-and-play: è cosa nota a molti che la sicurezza e gli attacchi sono un fenomeno in continua evoluzione e mutamento - non è pertanto plausibile scaricare la responsabilità di mantenere sotto controllo questi cambiamenti a una mera macchina. La componente umana sarà sempre necessaria per comprendere le minacce con le quali si starà confrontando e ingegnerizzare di conseguenza, regole e modalità di indagine e risposta in modo sempre più strutturato per insegnare alla macchina come poter operare efficacemente, sgravandosi invece gli oneri del workload. E guarda caso, il SOAR dovrebbe lasciare più tempo alle persone con tali competenze per fare proprio questo.

Un cenno sulla dimensione normativa

Il mondo della normazione e standardizzazione, da tempo supporta temi legati al rilevamento e alla gestione degli incidenti, cercando di definire principi, processi e linee guida per pianificare e preparare la risposta a incidenti. È il caso delle norme della famiglia ISO/IEC 270351, appartenenti alla più ampia famiglia delle norme in ambito ISO/IEC SC 27, Information Security, cybersecurity and privacy protection, che assieme alle “ISO/IEC 27037, Information technology - Security techniques - Guidelines for identification, collection, acquisition and preservation of digital evidence” e “ISO/IEC 27043, Information technology - Security techniques - Incident investigation principles and processes” costituiscono una valida e solida base per il recepimento in ogni organizzazione di processi coordinati di risposta agli incidenti, che vanno al di là delle specifiche soluzioni software adottate.

Leggi l'articolo completo, pubblicato su U&C n.1 Gennaio 2021.