| |
|
Governance
Compliance
Gestione della conformità rispetto a standard e norme
|
| |
Risk Management
Calcolo del rischio e determinazione dei criteri di gestione
|
| |
|
|
|
| |
| |
|
|
Physical and logical SIEM |
| |
Introduzione
Il termine convergenza di cui si fa ampio uso in questa presentazione ha
qui un senso preciso: parliamo di tecnologie, funzioni e processi che
hanno come obiettivo la mitigazione dei rischi per l’azienda
e la rilevazione e risposta alle minacce rivolte al business;
tecnologie, funzioni e processi che risiedono in diverse
“anime” aziendali e che sempre più si
intrecciano per ragioni di efficacia e di efficienza.
Gli ambienti di cui trattiamo sono vari e disparati:
-
sicurezza logica – le misure prese per garantire
la continuità dei servizi informativi che abilitano il
business;
-
sicurezza delle informazioni – per la
confidenzialità, integrità e
disponibilità delle informazioni sotto ogni forma;
-
sicurezza del luogo di lavoro – per la
rilevazione di incendi, fughe di gas, la misurazione dei parametri
fondamentali di abitabilità degli ambienti;
-
controllo degli accessi e sicurezza dei locali –
per evitare furti, intrusioni, filtrare gli accessi ad aree protette,
videosorveglianza.
E così via con situazioni e misure di sicurezza specifiche
per ambienti con esigenze particolari, come cantieri, ospedali, porti,
strade, etc.
È sempre esistita una forte differenziazione tra le
tecnologie utilizzate nei vari ambienti citati e spesso una
separazione organizzativa all’interno dell’azienda.
Ciò ha promosso la separazione (tecnica e nei processi) tra
i diversi ambienti di sicurezza, anche quando le sinergie fossero
evidenti.
Negli ultimi anni si stanno inesorabilmente diffondendo
novità tecnologiche che promuovono la convergenza e aprono
scenari interessanti per chi è disposto a far leva
sull’evoluzione tecnologica ed attivare
un’evoluzione organizzativa e funzionale. Possiamo riassumere
questa evoluzione tecnologica nei seguenti punti, a titolo di
esempio:
-
le tecnologie utilizzate dalle soluzioni di sicurezza
fisica, storicamente chiuse e proprietarie, evolvono verso piattaforme
aperte, che permettono di dialogare con altri ambienti;
-
le informazioni rilevate dai sensori e in particolare
dalle telecamere utilizzate per la videosorveglianza possono venire
digitalizzate e successivamente analizzate via software;
-
la trasmissione delle comunicazioni tra sensori, agenti,
console di tutti i tipi di soluzione si sposta verso la rete IP;
-
il contenuto delle comunicazioni stesse utilizza
protocolli e formati sempre più comuni, come XML, SOAP, web
services;
-
i sistemi di sicurezza fisica non funzionano
più in maniera indipendente dalle piattaforme IT, aprendo la
comunicazione tra le funzioni aziendali e intrecciando i processi.
Questa evoluzione apre anche nuovi scenari di rischio! Se la
videosorveglianza è effettuata via IP ciò
significa che è possibile neutralizzarla attaccando la rete,
mentre in altri tempi nessun disservizio informatico avrebbe mai potuto
interrompere le funzioni basilari della sicurezza fisica.
La sicurezza delle persone, dei beni e delle informazioni va dunque
ripensata alla luce di nuove interazioni, sia che sia vista come difesa
da minacce criminali o da azioni consapevoli e deliberate da parte di
persone interne o esterne ad una organizzazione, sia come prevenzione
contro eventi accidentali solo in parte prevedibili.
Communication Valley ha la sua specializzazione nella gestione della
sicurezza delle informazioni e dei sistemi informatici e vanta un
portafoglio di servizi basato sulla disponibilità di un
ampio gruppo di specialisti organizzati all’interno di un
centro operativo della sicurezza attivo 24 ore su 24 (SOC, Security
Operations Center); l’evoluzione descritta sopra apre una
nuova visione in cui Communication Valley può offrire ai
suoi clienti nuovi servizi e nuove soluzioni tecnologiche per un mondo
in cui la sicurezza non ha più un aggettivo (fisica, logica,
…) che la qualifica.
Il monitoraggio della
sicurezza
Una delle funzioni fondamentali di un SOC è quella di
garantire il monitoraggio in tempo reale e 24 ore al giorno dei beni
protetti, informatici o materiali che siano. La mancanza di
monitoraggio è fatale quanto la mancanza di protezioni, come
si rileva immaginando di chiudere un bene prezioso in
cassaforte per poi non tenere sotto controllo l’accesso alla
cassaforte stessa: prima o poi la cassaforte verrebbe scassinata senza
che nessuno dia l’allarme. La funzione del monitoraggio
è quella di non concedere una finestra temporale in cui un
attaccante possa agire indisturbato.
Il monitoraggio viene tipicamente effettuato attraverso la raccolta,
correlazione ed analisi di informazioni raccolte da sensori di vari
tipi: per esempio sistemi di rilevamento delle intrusioni (IDS) e
firewall nel mondo informatico, telecamere ed allarmi in quello fisico.
Da un punto di vista concettuale non vi è sostanziale
differenza tra le segnalazioni generate da un apparato di sicurezza di
rete e quelle provenienti da un apparato di controllo e/o rilevazione
fisica: entrambe rappresentano eventi potenzialmente rilevanti dal
punto di vista della sicurezza. Questi eventi rappresentano
l’unità minima di informazione che deve essere
analizzata per poter rilevare e rispondere ad un incidente. Il mestiere
di un Security Operations Center è quindi quello di
raccogliere il numero più alto possibile di eventi da fonti
disparate e di analizzarli tenendo conto della provenienza e della
rilevanza specifica di ciascuno, cercando di far emergere i fatti
più significativi e di eliminare il rumore prodotto dai
falsi positivi.
Ogni segnalazione ricevuta da un sensore descrive un evento che
può denotare attività lecite o illecite, che in
linea di massima è impossibile distinguere se prese
individualmente. Solo attraverso la correlazione è possibile
definire con un miglior grado di approssimazione se un incidente stia
effettivamente verificandosi e quale impatto esso possa avere sui beni
protetti. Per esempio, un disservizio quale l’interruzione
dell’illuminazione in un edificio può essere
provocato da diverse cause, dall’utilizzo di credenziali di
accesso al sistema di controllo remoto all’azione manuale e
malevola sull‘interruttore generale dall’interno
della sede. Oppure lo stesso disservizio può verificarsi per
una cattiva configurazione dell’impianto automatizzato di
gestione e manutenzione o perché un impiegato, nel tentativo
di intervenire sull’impianto di aria condizionata, agisce
involontariamente sull’interruttore generale che regola
l’illuminazione. Come si vede, l’incidente
può avere cause intenzionali o meno ed essere provocato con
strumenti fisici o logici, senza che ciò sia immediatamente
rilevabile se non attraverso una contestuale disamina delle
informazioni disponibili attraverso gli apparati. Sono quindi necessari
strumenti, risorse umane e processi mirati a raccogliere, correlare e
verificare il più alto numero possibile di informazioni
eterogenee, ottenendo così i migliori risultati nel senso
della rilevazione degli incidenti di sicurezza.
Verso la convergenza,
physical & logical SIEM
Garantire la sicurezza fisica è impossibile in una
società libera, garantire la sicurezza logica è
impossibile in una rete aperta e insicura. L’obiettivo
dell’azienda è quello di conoscere i rischi a cui
è esposta e di mitigarne al massimo le conseguenze,
limitando in effetti l’impatto degli incidenti a un effetto
previsto ed accettato. L’integrazione tra sistemi di
sicurezza logici e fisici migliora l’intero sistema di
controllo aziendale incrementando non solo la sicurezza ma anche
l’efficienza, intesa sia come produttività sia
come precisione di rilevamento.
Uno degli elementi chiave dell’integrazione è il
sistema che raccoglie, memorizza e correla le informazioni provenienti
da tutti gli apparati di sicurezza, utilizzando queste informazioni per
produrre sia report che allarmi da analizzare in tempo reale. Questo
tipo di strumento, che nell’ambiente della sicurezza
informatica assume il nome di sistema di Security Information and Event
Management, o SIEM, può essere adottato in modo esteso per
raccogliere anche le informazioni relative alla sicurezza fisica, in
particolare allarmi derivanti da sistemi anti-intrusione o software per
l’analisi di filmati di videosorveglianza. Si parla in questo
caso di physical SIEM o PSIEM.
Il risultato è quello di abbracciare due punti di vista
della sicurezza che richiedono precise competenze e specializzazioni su
tecnologie specifiche e sul loro utilizzo efficiente ma che hanno in
comune l’esigenza di centralizzazione dei dati e il loro
costante monitoraggio. Per questo motivo le attività proprie
di questi segmenti tendono a convergere verso un unico sistema di
correlazione in grado di processare più informazioni e, in
definitiva, di restituire nuovi e più precisi risultati di
indagine o azioni propositive di intervento rispetto agli incidenti.
Le
opportunità
Una delle applicazioni che trainano la convergenza è senza
dubbio la videosorveglianza. Questa attività di monitoraggio
un tempo associata alla registrazione su cassetta e alla presenza di un
operatore che “vede” in diretta quanto accade ha
beneficiato della digitalizzazione sia in termini della registrazione
delle immagini, che per lo storage e il trasporto (via IP). Ma
l’evoluzione tecnologica più significativa
è quella legata alla creazione di software di analisi dei
dati video che, trattando i flussi di immagini in tempo reale e senza
l’intervento umano, sono in grado di riconoscere persone attraverso
la mappatura del volto; di distinguere oggetti attraverso
colori, scritte, movimenti, ecc.; di segnalare situazioni rilevate
dal complesso di presenze ed azioni che si verificano nel campo visivo.
Dal punto di vista del monitoraggio in tempo reale la digitalizzazione
degli eventi rilevati nel mondo fisico rende possibile quella che
è da sempre una pratica fondamentale nella sicurezza logica,
la correlazione tra eventi generati da fonti diverse per ottenere il
duplice scopo di rafforzare la rilevazione degli effettivi incidenti e
di minimizzare l’occorrenza di falsi positivi. Diventa
così immediato, quando l’analisi se possa trarre
beneficio, sovrapporre segnalazioni di eventi e allarmi provenienti dai
diversi mondi.
Questa discriminazione e correlazione può essere fatta in
larga parte con strumenti tecnologici (istruiti e continuamente
regolati da operatori esperti) che producono informazioni ad elevato
rapporto segnale/rumore per l’analista di sicurezza che deve
analizzare e rispondere all’incidente.
La proposta di
Communication Valley
Il monitoraggio, inteso come attività di rilevazione,
analisi e risposta agli incidenti, è un momento fondamentale
del ciclo di vita della sicurezza perché oltre ad essere
essenziale per la protezione dei beni aziendali nel momento in cui essi
sono sotto attacco, permette anche di verificare l’efficacia
delle tecnologie protettive adottate, di controllare il loro corretto
funzionamento e di indicare gli interventi migliorativi per rafforzare
ulteriormente la sicurezza. Il presupposto perché
l’attività di monitoraggio raggiunga questi
ambiziosi obiettivi è che sia possibile raccogliere,
interpretare e utilizzare le informazioni generate sia dagli apparati
di protezione, sia dai dispositivi specificamente dedicati alla
rilevazione di incidenti.
La tecnologia che abilita la raccolta e l’utilizzo di queste
informazioni, detta comunemente SIEM, deve essere non solo affidabile -
in quanto da essa dipende l’esecuzione
dell’attività di monitoraggio stessa - ma anche
scalabile, flessibile ed in grado di gestire apparati di produttori
diversi e dedicati a scopi diversi, attestati in luoghi fisici e logici
disparati.
Oltre ad una tecnologia adatta, le aziende che traggono valore aggiunto
dal monitoraggio degli eventi rilevati dai dispositivi di sicurezza
logica e fisica e dalla loro correlazione hanno bisogno di un partner
che unisca l’esperienza nel campo della sicurezza, alla
comprensione del problema della convergenza e che, infine, sia in grado
di erogare con competenza e livelli garantiti i servizi gestiti che
complementano e supportano le funzioni di sicurezza interne dei clienti.
In questo senso, il Security Operations Center è il luogo
dove si realizza il rapporto fiduciario tra gli specialisti di
sicurezza ed il cliente, un luogo fatto di competenze, aggiornamento,
formazione continua ed esperienze, dove i contributi evolutivi di
ciascun progetto confluiscono in una conoscenza comune e condivisa del
SOC che produce sinergia per tutti i clienti di tutti i servizi.
Così è il SOC di Communication Valley, dal quale
il monitoraggio viene effettuato sotto forma di servizio e che, nelle
sue diverse configurazioni, è costituito da due componenti
fondamentali.
-
La componente tecnologica: costituita da una piattaforma
SIEM (Security Information and Event Management) ingegnerizzata ed
implementata allo scopo di centralizzare l’archiviazione e la
gestione dei log, ma anche di mettere queste informazioni a
disposizione del Security Team per la rilevazione l’analisi e
la risposta degli incidenti. A questo scopo, tutte le informazioni
generate dagli apparati vengono inviate, raccolte e centralizzate; un
motore normalizza e correla queste informazioni e le mette a
disposizione del Security Team per l’analisi, la generazione
di report e la gestione delle emergenze, secondo modalità e
garanzie definite e sottoscritte.
-
L'analisi: attività dei dati raccolti
svolta dagli analisti del Security Operations Center (SOC) di
Communication Valley. Tale attività viene intesa non solo
come quella che precede la notifica degli allarmi, le risposte in tempo
reale, la costruzione di report ecc., ma anche come quella che riporta
al SIEM il feedback di tutta l’esperienza acquisita, con
l’implementazione di regole, procedure e filtri che
migliorano evolutivamente l’azione del SIEM stesso.
Elemento distintivo dell’offerta Communication Valley
è l’approccio globale al problema sicurezza, un
approccio che integra nel perimetro monitorato le sinergie di
conoscenza acquisite attraverso servizi e realtà eterogenee;
a ciò si aggiunge il valore di
un’attività svolta da analisti altamente
qualificati con un capitale di competenze riconosciuto e certificato al
quale viene affidato sia il concepimento che la gestione di progetti di
sicurezza complessi.
|
| |
|
|
