Localizzare le minacce nel più breve tempo possibile è difficile nelle infrastrutture attuali, che oltre ad essere frammentate e delocalizzate sono spesso containerizzate. Una delle soluzioni più efficaci per venire a capo di questo problema è la profilazione automatica dei container. Il suggerimento viene da Kaspersky, che lo presenta come componente di una strategia di gestione proattiva della cybersecurity.

Gli ambienti containerizzati hanno caratteristiche peculiari che li distinguono dai sistemi virtuali tradizionali e che ne complicano la gestione della security. Primo fra tutti è il concetto stesso di container, ideato per essere leggero, scalabile e temporaneo, il che implica un ciclo di vita breve e una costante interazione con servizi diversi, che non agevola certo l’adozione di comportamenti standard universalmente validi ai fini della security.

Anche perché le minacce che interessano questi ambienti sono le stesse di quelli tradizionali: configurazioni errate, vulnerabilità software, accessi non autorizzati, eccetera. E anche i rischi sono i medesimi: un container compromesso può stabilire connessioni non autorizzate, modificare file critici o eseguire operazioni anomale.

Un approccio adattivo

Come spesso accade in ambito cyber, ci sono più soluzioni per lo stesso problema. Una è appunto la profilazione automatica dei container proposta da Kaspersky, che consente un monitoraggio continuo del comportamento dei container, così da poter identificare rapidamente eventuali “deviazioni” rispetto ai modelli di utilizzo previsti. Un approccio che ha il pregio di ridurre l’incidenza di falsi positivi, migliorare l'efficienza dei team di sicurezza e consentire un intervento tempestivo in grado di anticipare la concretizzazione di una potenziale minaccia.

Quello illustrato è un approccio di tipo adattivo, che agisce come segue: il sistema osserva il comportamento di un container per un certo periodo di tempo, creando un profilo che ne rappresenti la normale operatività. Una volta definito questo modello, segnala come potenziali minacce le deviazioni significative dal modello, così che i team di security possano intervenire. Un esempio pratico riguarda la comunicazione da parte di un container con indirizzi IP insoliti: il sistema rileva l’anomalia e richiede un’analisi approfondita.

Kaspersky sottolinea un altro vantaggio dell’approccio adattivo, che consiste nell’adattabilità: con l’evoluzione degli ambienti IT le regole di sicurezza tradizionali possono diventare obsolete; al contrario, un sistema basato sulla profilazione automatica si aggiorna dinamicamente, migliorando la propria capacità di risposta agli incidenti senza gravare sui team di sicurezza.