A cura di
Ivan Straniero, Territory Manager, Italy & SE Europe Arbor Networks
Aziende di ogni dimensione, Paese e settore di attività stanno affrontando un preciso problema: nonostante anni di investimenti compiuti a favore dei vari strati di sicurezza, la domanda relativa alla possibilità che una azienda possa essere colpita da un attacco non è più espressa in termini di “se” ma di “quando”. Quasi tutte le reti aziendali sono colpite quotidianamente da attacchi sferrati senza sosta da parte di malintenzionati che si muovono nell’ombra continuando a sviluppare un crescente arsenale di minacce.
Oggi più che mai è il caso che i responsabili della sicurezza guardino avanti, come dice Gartner.
La prima linea della sicurezza di rete oggi è costituita dall’analisi attraverso l’uso di una risorsa inerentemente collegata alla sicurezza di rete: il traffico. Grazie a un accesso senza precedenti a strumenti analitici che consentono l’esplorazione intuitiva di grandi set di dati, i team responsabili della sicurezza possono ora scoprire preziose informazioni di intelligence all’interno di tutta questa massa di dati. È ora che i team IT se ne rendano conto e trasformino in realtà pratica l’applicazione della sicurezza basata sui Big Data. A questo proposito il noto analista Richard Stiennon di IT Harvest afferma: “L’analisi ai fini della sicurezza è un requisito emergente nella continua guerra degli armamenti contro i malintenzionati”.
Vi sentite pronti?
Nei mesi scorsi Arbor Networks ha commissionato all’Economist Intelligence Unit una nuova ricerca per capire come le aziende più preparate affrontino le cyberminacce quotidiane. Intitolata “Cyber Incident Response: Are business leaders ready?”, la ricerca ha coinvolto 360 aziende di tutto il mondo. Più di tre quarti di esse hanno dichiarato di aver subito un incidente di sicurezza nel corso degli ultimi due anni. Nonostante questo, solo il 17% degli interpellati ha affermato di sentirsi completamente preparato in caso di cyberattacchi futuri. Si tratta di una proporzione spaventosamente bassa, in quanto tutte le aziende dovrebbero sentirsi completamente preparate. Applicando tecniche di analisi per rivedere i dati relativi al passato, identificare tendenze e scoprire minacce precedentemente ignorate, è possibile aumentare la fiducia nella sicurezza e passare finalmente a uno stato di preparazione basata sulle informazioni.
Qual è l’aspetto di un’analisi di sicurezza efficace?
Una analisi di sicurezza efficace si basa su due componenti: per prima cosa un sensore installato in un segmento della rete che acquisisca i pacchetti, e in secondo luogo un motore di analisi che compia il grosso del lavoro. Questo engine dovrebbe combinare una enorme scalabilità per soddisfare l’incremento dei carichi con la capacità di eseguire il replay del traffico attraverso una interfaccia intuitiva per un data mining efficace. I relativi tool devono essere in grado di effettuare il replay di centinaia di terabyte di dati (considerando che una rete tipicamente satura genera oltre 10 terabyte di dati ogni giorno), e di conservare i dati dei pacchetti catturati per almeno 60 giorni in modo da assicurarsi che non possano essere stati compromessi da attacchi mirati particolarmente avanzati.
Per spiegare cosa sia l’analisi di sicurezza, Richard Stiennon afferma: “L’analisi di sicurezza è la scienza dei big data applicata ai dati dei pacchetti del traffico di rete. Lo stato dell’arte prevede l’acquisizione di tutto il traffico da ciascun segmento di rete e la conseguente esecuzione di un’analisi completa. I sensori sono passivi, risultando cioè del tutto trasparenti sulle linee dati. L’analisi viene compiuta offline. La tecnologia complessiva si sta evolvendo rapidamente con miglioramenti costanti che consentono di effettuare il drill-down fino al singolo pacchetto, guardare all’intero traffico per ottenere un quadro complessivo dello scenario, avvalersi di fonti di intelligence esterne come gli IoC (Indicatori di Compromissione) e correlare eventi altrimenti separati. Oggi gli attacchi sono lanciati da esseri umani seduti di fronte a un computer remoto. I difensori devono sorvegliare costantemente le loro reti per rilevare, dissuadere, impedire e bloccare gli attacchi”.
In questo senso gli analisti possono contribuire all’aspetto operativo della sicurezza anziché limitarsi come per tradizione al reporting su incidenti che siano già stati rilevati. A loro disposizione ci sarà il contesto necessario per mettere insieme gli indizi, tracciare i movimenti laterali degli attaccanti e intraprendere decisioni che possano prevenire la sottrazione di dati dalla rete.
La definizione di una strategia per l’analisi di sicurezza
Sebbene la consapevolezza dell’analisi di sicurezza stia crescendo, molte aziende trovano difficile definire in modo appropriato quel che stanno cercando: o non capiscono completamente i problemi che l’analisi può risolvere, o hanno già scommesso su tecnologie adiacenti come, per esempio, le soluzioni SIEM (Security Information and Event Management).
Prima di decidere in merito alla tecnologia di big data appropriata, un’azienda deve capire qual è l’obiettivo che tenta di raggiungere per mezzo di una strategia analitica. Nonostante le soluzioni SIEM svolgano un lavoro eccellente nel coordinare la raccolta di informazioni ed eventi all’interno di un’unica interfaccia, esse forniscono tuttavia un quadro semplicistico dello stato attuale di una rete privo di contesto e di approfondimenti come ad esempio l’indicazione delle tattiche che un attaccante è probabilmente destinato ad applicare successivamente.
Ugualmente importante, affinché le aziende possano trasformare i dati acquisiti in intelligence tattica esse devono avvalersi di esperti dotati di una comprensione completa delle tipologie di dati ed eventi che desiderano osservare, e delle relazioni che le legano.
In prospettiva futura
L’analisi di sicurezza è uno spazio in rapida evoluzione. Con i sistemi di seconda generazione già in corso di sviluppo, nel prossimo futuro possiamo aspettarci di utilizzare strumenti analitici per l’indagine in tempo reale dei flussi dei pacchetti. Sebbene resterà sempre importante essere in grado di effettuare il replay del traffico alla ricerca di intelligence, il tempo disponibile per reagire contro gli attacchi più sofisticati e automatizzati continuerà a ridursi.
In un’epoca di innovazione e targetizzazione degli attacchi come questa, la capacità di rilevazione è essenziale e la prevenzione è l’obiettivo. Con l’evolversi degli attacchi, l’analisi di sicurezza è senz’altro destinata a diventare una funzione assolutamente cruciale nella continua corsa agli armamenti contro i cyberattaccanti.