Misura il tuo livello di idoneità: programma di monitoraggio della sicurezza

Nel post precedente di questa serie dal titolo “Misura il tuo livello di idoneità“, ho illustrato un framework per valutare, delineare e accelerare un programma di risposta agli incidenti basato sulle minacce, che qualsiasi tipo di organizzazione può utilizzare per migliorare le proprie capacità di risposta ed essere preparata ad affrontare incidenti imprevisti.

Il secondo post della serie riguarda invece il programma di “monitoraggio della sicurezza“, considerato anche come il servizio core fornito e supervisionato da un security operations center (SOC). In questo contesto, i principali obiettivi e funzionalità di un programma implementato in modo efficace consistono nel rilevare, definire l’ambito e segnalare “comportamenti” che richiedono ulteriore indagine mediante raccolta, correlazione e analisi di dati su un’ampia gamma di sistemi, applicazioni, dispositivi di rete e sicurezza e altre “cose” connesse.

Ampliare la raccolta di origini dati acquisendo non solo log di sistemi ed eventi delle applicazioni, ma anche pacchetti di rete (tra cui i punti di ingresso/uscita più rilevanti), dati di endpoint e identità, asset e contesti di business consente evidentemente ai team SOC di condurre analisi più approfondite e quindi di identificare e prendere in considerazione più minacce avanzate, riducendo i tempi di attesa. Un simile processo deve essere avviato utilizzando un approccio di tipo top-down, che consenta innanzitutto di identificare gli asset aziendali che contengono dati sensibili o funzioni di applicazioni con privilegi (eseguendo una Business Impact Analysis preventiva) e di sviluppare in seguito una roadmap in linea con le priorità del business, ampliando progressivamente le funzionalità di monitoraggio a una gamma più ampia di asset. Si tratta inoltre di un approccio a costi contenuti che offre vantaggi in caso di risorse limitate all’interno del team addetto alle operazioni di sicurezza.

Nell’ambito di questa strategia, il secondo elemento da prendere in considerazione per gestire i rischi per la sicurezza è la definizione di indicatori di minacce (TI, Threat Indicator), ovvero di modelli indicativi di potenziali vulnerabilità e comportamenti malevoli. Tali TI fungono da guida per la progettazione e l’implementazione della tecnologia prendendo in considerazione gli asset da monitorare, i dati in base al contesto e la logica necessaria per rilevare la minaccia, i rischi residui per gli asset (ad esempio, applicando contromisure a posteriori) e i dati di actionable threat intelligence.

Un modello semplice ed efficace prende quindi in considerazione i seguenti elementi chiave:

  • ambito dei TI, owner di business e tecnici;
  • rischio residuo;
  • modelli tecnici indicativi;
  • dati comprensivi di contesto (sia interni che esterni).

Il modello sopra riportato richiede uno sviluppo strutturato e un impegno costante per mantenere, ponderare e ottimizzare i TI in indicazioni aziendali acquisite esaminando attività di analisi delle minacce, assessment dei rischi e incidenti già rilevati in precedenza. Tale approccio consente al team addetto alle operazioni di sicurezza non solo di rilevare più minacce avanzate, ma anche di evolversi al passo con il dipartimento IT e lo scenario delle minacce.

Per garantire che una strategia di monitoraggio continuo della sicurezza venga implementata correttamente, è possibile utilizzare Maturity Model per valutare il livello dell’organizzazione e i requisiti per una roadmap con termini più lunghi.

Livello 1: base (processi imprevedibili, reattivi)

  • Analisi: visibilità limitata sulla rete con piattaforme di monitoraggio limitate; utilizzo di sole firme out-of-the-box (OOTB) e raramente aggiornate.
  • Governance: monitoraggio delle policy incentrato sul rispetto dei requisiti richiesti dalle normative vigenti e della compliance.
  • Misurazione: implementazione di KPI tecnici e metriche OOTB; generazione manuale di report on-demand.
  • Aspetto operativo: monitoraggio delle operazioni (comprese correlazione, analisi e generazione di alert) limitato a componenti specifici, con correlazione principalmente manuale e basato su normative vigenti e compliance.
  • Aspetto organizzativo: risorse limitate assegnate al team addetto al monitoraggio della sicurezza e responsabilità condivise con il dipartimento IT.

Livello 2: gestione (processi sviluppati, ma incoerenti, spesso reattivi)

  • Analisi: implementazione di diverse piattaforme di analisi e monitoraggio e data collection su più repository; baseline di sicurezza identificata e definita.
  • Governance: policy e procedure di monitoraggio sviluppate, ma seguite e comunicate in modo incoerente con altri dipartimenti.
  • Misurazione: disponibilità di metriche tattiche personalizzate per guidare le decisioni operative.
  • Aspetto operativo: monitoraggio delle operazioni esteso a quasi tutta la gamma completa di dispositivi IT/di sicurezza e basato sul rischio di business; sviluppo di un set limitato di indicatori delle minacce personalizzati.
  • Aspetto organizzativo: team dedicato per il monitoraggio della sicurezza disponibile in orario lavorativo; assegnazione di ruoli e responsabilità.

Livello 3: definizione (processi coerenti e proattivi all’interno dell’organizzazione)

  • Analisi: implementazione di tecnologie analitiche a ogni livello e raccolta, archiviazione e aggregazione dei dati (compresa l’acquisizione di pacchetti di rete) a livello centrale in una vista unica.
  • Governance: procedure di monitoraggio sviluppate per ciascun asset specifico e condivise con il dipartimento IT, compresi i dati di telemetria; coinvolgimento attivo dei team legali e delle risorse umane al fine di determinare policy sulla privacy e livello di retention adeguati; modifica proattiva delle procedure in linea con eventuali cambiamenti del business.
  • Misurazione: facilità di accesso a metriche personalizzate e KPI prodotti e comunicati regolarmente per favorire decisioni, obiettivi ed elementi promotori del business.
  • Aspetto operativo: visibilità completa sulla rete e sul flusso di dati; significativa riduzione dei tempi per il rilevamento e l’indagine degli incidenti nel corso del tempo; adozione di un approccio proattivo all’identificazione delle minacce.
  • Aspetto organizzativo: team di monitoraggio dedicato disponibile nei giorni e negli orari lavorativi (8×7) e team di risposta rapida specializzato disponibile a chiamata.

Livello 4: gestione a livello qualitativo (processi misurati e controllati)

  • Analisi: implementazione e manutenzione giornaliera di piattaforme di security analytics basata sul contesto; disponibilità di dati storici a lungo termine, continuamente analizzati e correlati con threat intelligence interna ed esterna su misura.
  • Governance: procedure di monitoraggio categorizzate, comunicate in tutta l’organizzazione, accettate dai business owner e allineate al rischio di business per l’organizzazione.
  • Misurazione: metriche relative a minacce e rischi continuamente misurate e disponibili per favorire le decisioni di business.
  • Aspetto operativo: adozione di un approccio al monitoraggio basato sul rischio e sulle minacce; sviluppo di indicatori delle minacce personalizzati in base al rischio residuo di ciascuna categoria di asset e in linea con eventuali modifiche significative agli asset.
  • Aspetto organizzativo: team interno dedicato disponibile 24×7 per un supporto ininterrotto, distribuito in diverse sedi e dotato di conoscenza approfondita della rete e delle piattaforme.

Livello 5: ottimizzazione (attenzione incentrata sul miglioramento del processo)

  • Analisi: implementazione di piattaforme di elaborazione dei dati scalabili e distribuite; sistemi di analisi delle minacce avanzate ottimizzati che prendono in considerazione le informazioni di identità e il contesto di business dell’organizzazione; attribuzione del livello di priorità degli incidenti eseguita calcolando la potenziale interruzione del business e identificazione delle minacce tramite il monitoraggio dei metadati del traffico crittografato.
  • Governance: procedure di monitoraggio continuamente riviste e allineate con eventuali principali modifiche all’ecosistema IT dell’organizzazione, per fornire la piena visibilità tramite le tecnologie analitiche.
  • Misurazione: metriche e KPI generati in tempo reale e allineati con obiettivi strategici/profilo di rischio; utilizzo delle metriche per favorire decisioni di gestione strategica e tattica (basata sui fatti).
  • Aspetto operativo: indicatori di minacce personalizzati per ciascun asset e sviluppati in modo proattivo prendendo in considerazione lo scenario mutevole delle minacce, i dati di intelligence interna ed esterna, l’esperienza acquisita in merito e il livello di rischio a cui è esposta l’organizzazione.
  • Aspetto organizzativo: team di monitoraggio della sicurezza dedicato attivo 24 ore su 24 e situato in sedi centrali, con supporto per i siti secondari; esperti all’avanguardia interni specializzati anche in apprendimento automatico e Data Science.

A causa del numero e della varietà sempre maggiore di minacce alle reti, ai sistemi e alle altre “cose” connesse, lo sviluppo di un team SOC in grado di rilevare e analizzare eventi sospetti richiede agilità e impegno continui per sostenere il programma.

Come per lo sviluppo di un programma di risposta agli incidenti basato sulle minacce, l’elemento fondamentale per una strategia di monitoraggio della sicurezza efficace consiste nel maturare un team competente, dedicato e in possesso delle giuste tecnologie che adotti policy, processi e procedure aggiornate.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Comments