Data Analytics: come semplificare la sicurezza

La tecnologia sta progredendo, mentre i prezzi stanno diminuendo, sempre più team di sicurezza possono quindi implementare strumenti di data analytics. Per ottenere situational awareness e informazioni sempre più globali sulle potenziali minacce, i team di protezione hanno ora a disposizione una vasta gamma di risorse, interne ed esterne. Ma come è possibile stabilire quali dati siano realmente importanti? Come ottenere risultati utili? Qual è il metodo migliore per sfruttare al meglio questa nuova fondamentale potenzialità?

Alcuni dei dirigenti più esperti in materia di sicurezza del mondo, membri del Security for Business Innovation Council (SBIC), basandosi sulla propria esperienza, hanno fornito alcuni consigli su come impostare i processi di data analytics nell’ultimo report dell’SBIC: La trasformazione dell’information security. Processi a prova di futuro. Consultando il report le organizzazioni saranno in grado di comprendere quali dati raccogliere e dove trovarli.

Il comitato ha stilato un elenco di consigli pratici per i meno esperti nella gestione dei dati: Individuare le domande di cui è possibile ottenere risposte utilizzando la data analytics, quindi capire quali dati possono fornire risposte a queste domande. Due tipici use case sono le anomalie di utilizzo e relative alle velocità di spostamento.

Ad esempio, si potrebbe voler verificare se l’attività di amministrazione di un sistema è svolta da un utente autorizzato o da un intruso. La risposta a questo quesito potrebbe essere individuata analizzando modelli di comportamento inusuali, quali l’utilizzo di credenziali diverse in rapida successione sul medesimo computer, oppure il collegamento da parte di un amministratore a un sistema non di sua competenza. Qualsiasi anomalia individuata porterà a un’ulteriore indagine.

Per ogni use case è necessario eseguire un processo che preveda la ripetizione di cicli di data collection, sviluppo di algoritmi, verifica e perfezionamento.  Se, ad esempio, si stanno cercando anomalie relative alla velocità di spostamento, il processo è simile al seguente:

Domanda: il team di sicurezza pone la domanda “In quali casi l’accesso di un utente alla rete da luoghi diversi ha superato le velocità di spostamento previste, ossia, quando le attività sono state svolte da due località fisicamente distanti entro un periodo troppo limitato?”

Data collection: il team di sicurezza ricercherà dati quali rilevamenti geografici di badge passati nei diversi edifici, indirizzi IP, collegamenti tramite dispositivi mobili e connessioni VPN statiche, nonché i timestamp nei relativi registri e itinerari di viaggio aziendali, per individuare la posizione prevista degli utenti.

Sviluppo di algoritmi: il data analyst sviluppa un algoritmo per generare una valutazione del rischio basata sul calcolo della velocità con cui l’utente si sta apparentemente spostando.

Verifica e perfezionamento: il team identifica i casi in cui l’attività risulta normale ma per cui sono stati generati alti tassi di rischio. L’algoritmo viene quindi affinato, introducendo ad esempio dati aggiuntivi per ridurre i falsi positivi.

Una delle possibili insidie dopo aver individuato i dati potenzialmente utili potrebbe essere rappresentata dal fatto che tali dati non sono immediatamente accessibili o che i registri non contengono tutte le informazioni richieste. In alcuni casi, potrebbe rendersi necessario accedere nuovamente al dispositivo originario per registrare nuovamente le informazioni e acquisire i dati rilevanti; tuttavia, tale operazione potrebbe essere osteggiata dal proprietario del sistema, poiché un numero troppo elevato di accessi potrebbe causare problemi nelle prestazioni. Trattare con i proprietari dei sistemi in modo da ottenere registri rilevanti per la sicurezza costituisce un passaggio fondamentale per lo sviluppo di funzionalità di data analytics.

La maggior parte degli attuali team di sicurezza riconosce che la creazione di tale funzionalità rappresenta un processo in continua evoluzione: sono necessarie sperimentazione e significative capacità diplomatiche, ma un’analisi più mirata consentirà di prendere decisioni più rilevanti e basate sui dati.

 “La sfida più grande legata all’analisi dei dati è ottenere risultati significativi. Serve tempo per elaborare una strategia coerente. Occorre concentrarsi sulle informazioni essenziali per il proprio business e pensare bene alle domande che si intende porre, altrimenti si rischia di affogare nei dati.” Timothy McKnight, Executive Vice President, Enterprise Information Security & Risk, Fidelity Investments

No Comments