Autore: Redazione SecurityOpenLab
Garantire nell’era digitale la sicurezza dei processi e dei dati aziendali dalle moderne minacce informatiche richiede la gestione di strumenti complessi che richiedono una supervisione costante per garantirne l’efficacia.
Le postazioni di lavoro, i server, dispositivi mobili, periferiche connesse in rete, i servizi “cloud”, le reti stesse, i dispositivi di automazione e l’“Internet of things” devono essere monitorati perché ognuno di essi può essere strumento per penetrare all’interno del sistema informatico. Questo significa implementare differenti tecnologie di sicurezza volte al controllo delle differenti tipologie di sistemi.
Oltre a tenere sotto stretto controllo i sistemi di elaborazione e comunicazione componenti un sistema informativo, per garantire una adeguata sicurezza è indispensabile proteggere la risorsa più sensibile, l’essere umano. Gli attacchi informatici più evoluti utilizzano tecniche che sfruttano le debolezze degli utenti. Il successo degli attacchi di tipo “phishing” dimostra che la strategia di colpire l’anello più debole della catena di sicurezza spesso porta a identificare come bersaglio l’utente e non lo strumento informatico.
Per contrastare efficacemente le tecniche di attacco evolute è necessario monitorare i comportamenti delle componenti tecnologiche ed umane per identificare attività anomale o sospette in modo da intervenire prima che l’attacco sia giunto a conclusione con i danni conseguenti. L’efficacia dei moderni sistemi di sicurezza dipende fortemente dall’integrazione degli stessi in modo da avere accesso a tutte le informazioni utili a identificare le potenziali minacce in modo centralizzato.
L’integrazione di differenti sistemi di sicurezza richiede l’utilizzo di piattaforme SIEM (Security Information and Event Management) per normalizzare, aggregare e correlare l’elevato volume di eventi raccolti e generare gli allarmi di sicurezza utili a bloccare le minacce informatiche. I sistemi SIEM possono generare un volume elevato di allarmi che devono essere gestiti sistematicamente per garantire un adeguato livello di sicurezza. Serve quindi dotarsi di un congruo numero di analisti esperti con i conseguenti costi e la difficoltà di reperire sul mercato le figure professionali necessarie.
Le soluzioni SOAR (Security Orchestration, Automation and Response) sono nate per supportare il personale impegnato nella supervisione dell’infrastruttura di sicurezza permettendo ad un numero limitato di analisti di gestire efficacemente volumi elevati di eventi di sicurezza.
Ogni organizzazione utilizzante una infrastruttura informatica dovrebbe dotarsi di una infrastruttura di sicurezza simile a quella descritta precedentemente. Nel mondo reale l’implementazione di soluzioni di sicurezza deve essere commisurata agli effettivi rischi a cui l’organizzazione è esposta e devono essere economicamente compatibili con il contesto operativo.
Oggi ci troviamo di fronte ad un grave dilemma: le organizzazioni devono dotarsi di sistemi di sicurezza avanzati perché i rischi a cui sono esposte sono aumentati drammaticamente ma i costi non sono sempre compatibili con il contesto finanziario.
Nella realtà italiana, solo le organizzazioni medio-grandi hanno le risorse economico-organizzative adeguate ad investire in infrastrutture di sicurezza evolute. Gli altri tipicamente si affidano a soluzioni più “tradizionali” che però non garantiscono un adeguato livello di sicurezza, ne è un indicatore l’incremento di incidenti riscontrato negli ultimi 2-3 anni sia a carico di realtà importanti che di piccole e medie aziende.
Una alternativa, per non rischiare gravi incidenti o dover sostenere costi assicurativi per coprire i rischi non gestiti, è quella di rivolgersi a fornitori per usufruire di servizi di sicurezza gestita di alto livello.
L’approccio MSSP (Managed Security Service Provider) consente ad una organizzazione di poter accedere a soluzioni e servizi di sicurezza evoluta condividendone i costi con gli altri clienti del “provider”.
L’utilizzo di servizi MSSP è vantaggioso a patto che siano rispettate alcune condizioni:
Identificare il servizio MSSP più adeguato richiede di valutare oltre al prezzo un ampio spettro di aspetti che possono essere rilevanti per l’organizzazione:
Westcon Group distribuisce una serie di soluzioni specifiche per l’implementazione di architetture di sicurezza informatica avanzate sia per chi le gestisce internamente sia per chi fornisce servizi di tipo MSSP.
Segnaliamo i produttori più rilevanti: Palo Alto Networks, Crowdstrike, F5 Networks, Sumo Logic, Anomali, Firemon.