da Hardware Upgrade :
Le minacce informatiche sono in continua crescita e affrontarle da s sempre pi difficile per le aziende. Per questo sono nati i SOC, acronimo di “Security Operations Centre”, che aiutano le aziende a tenere sotto controllo le proprie infrastrutture informatiche in maniera pi efficace. Tra i servizi offerti da Axitea, azienda attiva sia nella cybersicurezza che nella sicurezza fisica, c’ proprio anche la messa a disposizione di un SOC che, orchestrando e automatizzando la risposta agli attacchi, protegge con maggiore efficacia i propri clienti. Ne abbiamo parlato con Andrea Lambiase, Chief Digital Strategy & Innovation Officer.
La sicurezza sempre pi un servizio
Lambiase (in foto): “La sicurezza cyber ha a che fare con asset immateriali, ma in senso generale sta convergendo verso modelli di servitizzazione digitale,ovvero di trasformazione di prodotti e piattaforme specializzate in servizi digitali”, ci dice Lambiase. “Lutilizzo del paradigma digitale nellerogazione di servizi di cyber security sembra quasi scontato, fin quando non andiamo a elencare quali sono le caratteristiche di un servizio digitale, perch solo a quel punto ci si rende conto che attualmente non esattamente questo il paradigma di riferimento della maggior parte dei service provider di settore. Una delle caratteristiche dei servizi digitali, ad esempio, l’iperconvergenza, la capacit di integrare sorgenti e piattaforme in processi standard capaci di alimentare ununica dashboard di controllo e gestione degli eventi, ma c’ anche il tema dell’esperienza dellutente, quello dell’automazione, quello della misurabilit e del co-design. Se ci fermiamo a questi cinque aspetti, capiamo quanto importante oggi gestire un servizio complesso di cybersicurezza, e non necessariamente come fornitore esterno, ma anche come centro di competenza che eroga i propri servizi a clienti interni. Certamente necessario dotarsi di strumenti e competenze che rendano possibile tutto questo. In particolare, per quanto riguarda i servizi di cyber security, avere una piattaforma di orchestrazione evoluta (SOAR) significa, di fatto, cogliere tutte le opportunit e le possibilit offerte da un servizio digitale.”
Edge9: Come funziona il SOC di Axitea e a quali fonti si affida per rilevare le minacce?
Lambiase: “Il SOC di Axitea strutturato su due livelli pi uno: un primo livello il primo touchpoint di gestione dell’evento cyber, un secondo livello ha il ruolo pi di analisi e risposta agli incidenti; il livello in pi la parte di adversarial security, ovvero la parte di DVA, di testing in laboratorio degli schemi d’attacco, di bug bounting, di gestione e capacit di scoperta di nuovi schemi d’attacco per il mercato italiano. La novit, e la differenza introdotta dal SOAR, il fatto che gli analisti non lavorano pi a silos: utilizzano una sola dashboard per il monitoraggio degli incidenti e delle modalit standardizzate, o playbook come si dice in gergo, di risposta agli incidenti che sono collegate all’evento stesso e non alla piattaforma di riferimento.”
“Il SOAR un layer intermedio che integra una serie di piattaforme con cui noi gestiamo gli eventi e la risposta, ovvero il SIEM, le tecnologie e piattaforme EDR, le tecnologie di Network Security, , quelle deputate alla mitigazione dei rischi di attacchi via email,le tecnologie di riferimento per lesecuzione di Vulnerability Assessment e Penetration Test.. Si tratta di soluzioni best of breed in quanto Axitea ha fatto la scelta di operare come system integrator: riteniamo che nell’ambito della cybersicurezza le soluzioni di mercato siano gi molto mature e scalabili. Il valore aggiunto risiede nella capacit del System Integrator di creare soluzioni e architetture di gestione della sicurezza dimensionate per il perimetro di riferimento e naturalmente efficaci nella prevenzione, nel monitoraggio e nella response agli attacchi. Ognuna delle piattaforme sopra menzionate genera eventi di natura diversa, ma correlabili tra loro. Nell’approccio a silos che ancora tipico di tanti SOC, il SIEM rileva e correla un certo tipo di eventi, l’EDR rileva e correla un altro tipo di eventi e la soluzione di sicurezza di rete rileva altri eventi ancora. Una correlazione di secondo livello non viene fatta e neppure conseguentemente un arricchimento della library di threat intelligence che metta insieme tutti gli eventi rilevati per affinare la risposta. In pi, dal punto di vista dellergonomia del servizio, ogni piattaforma ha una propria dashboard di controllo: questa caratteristica costringe molti provider a organizzare le competenze per silo tecnologico o a gestire gli eventi su pi dashboard e pi schermi, con evidenti inefficienze in entrambe le opzioni.”
“Il SOAR viceversa consente di fare quello che in gergo si chiama enrichment: si prendono gli eventi da qualunque sorgente collegata e li si correla in modo integrato non solo per uno specifico cliente, ma per tutti. Questo importante perch anche i clienti che hanno un’infrastruttura pi elementare e, quindi, hanno un livello di rischio pi basso rispetto ai clienti pi grandi, godono di quell’arricchimento delle informazioni che ci consente di gestirli esattamente come i grandi. La tecnologia agisce quindi come un integratore che consente di fare threat intelligence integrata e abilita lautomazione nella risposta agli eventi. In questo caso la differenza che nei software tradizionali, ogni piattaforma ha delle modalit di risposta differenti correlate al sottoinsieme di eventi che gestisce, in alcuni casi lintervento delloperatore pi massivo che in altri e di conseguenza si genera una sovrapposizione di procedure e modalit di response che impattano lefficacia nella risoluzione di un incidente, in particolare se consideriamo attacchi complessi che vanno ad avere un impatto su pi componenti dell’infrastruttura. Il servizio di Axitea invece, da una parte automatizza la risposta in maniera integrata: dato un evento A, si risponde nel modo B; dallaltra,, integra in modalit one-dashboard la gestione dell’evento, uniformando anche le competenze necessarie per la risposta: tutti gli operatori visualizzano la medesima dashboard gestendo gli eventi su playbook standard, abilitando, grazie alla scalabilit della soluzione e il conseguente risparmio di risorse, di far evolvere su task complessi competenze e professionalit pi strategiche allinterno della struttura.”
La collaborazione e la trasparenza come valori aggiunti della strategia di sicurezza
“L’altro tema quello della co-progettazione. I SOC tradizionalmente sono strutture chiuse a chiave in cui gli analisti, lavorano con procedure e modalit di gestione degli eventi con relativa scarsa trasparenza nei confronti degli utenti finali. Ad esempio, molti provider segnalano ai propri interlocutori soltanto gli incidenti, non tutte le attivit svolte dal SOC sui loro sistemi e infrastrutture: il che evidentemente restituisce solo parzialmente leffettiva dimensione e complessit delle attivit routinarie svolte per conto di un cliente interno o esterno. Abbiamo pensato che per i clienti dotati di strutture interne di gestione della cyber security, fosse importante sviluppare delle forme di co-progettazione delle procedure di risposta agli eventi, costruite ad hoc sulle loro necessit e di cogestione degli incidenti. Nel primo caso, come gi accennato, si tratta di collaborare con lutente finale nella personalizzazione dei playbook (delle procedure automatizzate) di risposta agli eventi. A parit di attacco, infatti, lefficacia nella risposta dipende dalla capacit di un service provider di adeguare la stessa allorganizzazione, alle dimensioni e alle caratteristiche generali del target dellattacco. Maggiore sar la coerenza tra playbook e organizzazione aziendale, maggiore potr essere lefficacia e la tempestivit nella gestione di un incidente o di un attacco.
“Per noi oggi una delle figure pi importanti del SOC proprio il playbook designer, ovvero colui che sa adattare il playbook di risposta a un’esigenza specifica del cliente senza perdere di efficacia. Abbiamo spazi di collaborazione digitali con i quali effettuiamo questa parte di co-progettazione e, per una questione di trasparenza, mettiamo sempre a disposizione dei nostri clienti i log relativi alle attivit che abbiamo fatto sui loro sistemi. Anche questo un tema innovativo, perch le attivit di gestione ordinaria vengono considerate non condivisibili con il cliente, ma per noi invece importante farlo e stiamo pensando di certificare queste attivit dei nostri operatori con una soluzione di blockchain, in modo che una terza parte le certifichi effettivamente.”
Edge9: possibile avere un esempio di attivit co-progettata?
Lambiase: “Ogni cliente pu avere l’esigenza di essere coinvolto nella gestione di un evento in momenti diversi: alcuni lasciano la possibilit di isolare la macchina nel caso ci sia un attacco, mentre altri vogliono essere avvisati perch hanno un dipartimento IT particolarmente attento alle attivit svolte. Isolare una macchina un’attivit molto routinaria, ma rende bene l’idea di cosa voglia dire poi co-progettazione quando si tratta di attivit pi complesse. Con alcuni clienti immaginiamo un coinvolgimento che uno-due fasi successive all’isolamento della macchina, mentre con altri clienti c’ l’apertura di un ticket in maniera automatica e, in mancanza di risposta entro 20 minuti, avviene l’isolamento della macchina. Un altro esempio riguarda l’etichettatura delle informazioni: ci sono clienti che hanno esigenze di protezione dei dati pi stringenti, per cui considerano critici sottoinsiemi di dati che altre aziende non considerano tali; poich alcuni dei playbook si attivano in funzione della criticit dei dati sotto attacco, poter intervenire etichettando i dati in maniera diversa aiuta a incontrare meglio le esigenze del singolo cliente.”
L’intelligenza artificiale tra sicurezza informatica e fisica
Edge9: sempre pi spesso si sente che non possibile fare a meno dell’intelligenza artificiale per rispondere agli attacchi. Qual la posizione in merito di Axitea?
Lambiase: “Le nostre tecnologie utilizzano metodiche di machine learning che consentono di fare follow up in automatico sui playbook di risposta, quindi la piattaforma auto-impara sulla base della gestione degli eventi, elimina le efficienze di processo, le ripetizioni nel flusso di lavoro e fornisce suggerimenti agli analisti sull’etichettatura dei dati e la tassonomia degli incidenti. La nostra piattaforma di scansione e sicurezza della rete sfrutta il machine learning per apprendere i comportamenti degli utenti sulla rete e, fare poi fine tuning degli eventi. Crediamo molto nell’uso dell’IA perch le macchine sono sempre pi sapienti e non solo intelligenti, quindi sostanzialmente capaci di apprendere in modo molto pi strutturato rispetto al passato, acquisendo una crescente capacit di analisi e di restituzione di risultati con percentuali molto basse di falsi positivi. Lutilizzo di metodiche di automazione nella detection e nella response agli attacchi cyber tanto pi efficace quanto pi si considera che la maggior parte degli attacchi non zero-day, ma seguono pattern gi noti e ampiamente registrati nei database di threat intelligence. Di conseguenza, almeno nel caso dei nostri servizi, ampiamente coperti dai nostri playbook di rilevazione e risposta. Come gi accennato, di conseguenza, lautomazione nella response aumenta lefficacia nella gestione degli incidenti, il tempo di risoluzione e abilita la possibilit di impiegare parte del tempo dei nostri professionisti per compiti pi strutturati e di impatto (offensive security, bug bounty, testi di nuove tecnologie ecc..).”
Edge9: A chi si rivolgono i servizi di cybersicurezza gestita di Axitea?
Lambiase: “Abbiamo clienti con 10 endpoint e clienti con 2.000 endpoint. Il SOAR una tecnologia che rende possibili al massimo potenziale la scalabilit, cio la possibilit di poter gestire, a parit di costi e senza incidere sui benefici, entrambe le tipologie di clienti citate. Crediamo dunque che il problema della cybersicurezza sia trasversale e che vada gestito in maniera trasversale, ma con efficacia, efficienza, capacit di tenere i costi e i benefici in equilibrio, e integrazione. I nostri servizi producono lo stesso valore e sono erogati con la stessa qualit sia per i grandi, sia per i piccoli clienti: questa la nostra visione ed la stella polare intorno alla quale costruiamo e miglioriamo giorno per giorno i nostri processi.”
Edge9: Axitea si occupa non solo di sicurezza informatica, ma anche di sicurezza fisica. In che modo l’una influenza l’altra?
Lambiase: “La sicurezza fisica era fino a non pi di qualche anni fa, nelle premesse e riducendo il servizio all’essenziale, esattamente quella iconica di film quali ‘Ladri di biciclette’ di De Sica: come in quei film in bianco e nero c’erano i vigilanti che andavano in giro in bicicletta o con le macchine di servizio. Negli ultimi anni il settore ha attraversato una fase di sviluppo incredibile, proprio perch sono servizi attraversati in pieno dalla trasformazione digitale, sia dal punto di vista delle esigenze del cliente finale, sia da quello delle esigenze interne. Per noi un’occasione importante avere centrali operative che gestiscono sia la parte fisica sia quella informatica, perch siamo tra i pochi che possono sperimentare la convergenza. ‘Convergenza’ che non va intesa come correlazioni di eventi fisici ed eventi cyber, ma nelle modalit di gestione dell’evento.”
“Mi spiego meglio. Il tema della videosorveglianza ad esempio un buon esempio di convergenza: oggi non avviene pi tramite un operatore che guarda uno schermo e controlla quando c’ un allarme, ma andando ad analizzare gli oggetti nella scena tramite un’applicazione di intelligenza artificiale che trasforma l’immagine in metadato. Questo significa che anche in questo mondo i servizi stanno diventando digitali: oggi tutta la sicurezza a essere erogata come servizio digitale e lo sar sempre di pi. Per noi gestire queste cose in modo progressivamente convergente un’opportunit importantissima di crescita e di miglioramento nella qualit dei servizi per i nostri clienti.”