Perché nella security l’automazione da sola non basta

L’opinione di Gabriele Zanoni, Consulting Systems Engineer di FireEye

Fare di più con meno sforzo. Questo è un desiderio semplice e chiaro. Tuttavia le operazioni di sicurezza non rientrano in questa categoria… oppure sì?

È possibile realizzarlo in termini pratici senza interferire con la postura di sicurezza di un’azienda e, soprattutto, senza causare problemi?

La prima cosa su cui puntare è sull’automazione, codificando le azioni essenziali di base e sfruttandole con processi ripetibili e adattabili, limitando l’interazione umana ai soli compiti che non hanno la possibilità di essere automatizzati.

Dove iniziare quindi?

Il primo punto è essere consapevoli che non tutti gli eventi di security hanno la medesima importanza e, sebbene alcuni non siano importanti oggi, potrebbero diventare critici in futuro. Ci deve pertanto essere una possibilità per rivedere attivamente tutto ciò che è avvenuto, più volte al giorno, ogni singolo giorno.

«Tutte le figure che si occupano di cyber security a livello aziendale conoscono questi principi, ma il problema giunge quando si cerca di capire come si possa realizzare un compito che sembra essere in teoria così impegnativo», dichiara Gabriele Zanoni, Consulting Systems Engineer di FireEye.

Anche se le aziende avessero la possibilità di assumere moltissime persone, tutte altamente qualificate, per esaminare gli allarmi e i log e valutare le priorità di ogni evento di sicurezza, questo non permetterebbe comunque di “fare di più con meno sforzo”, ma il contrario, di “fare di meno con molto di più”. Questo approccio infatti non permette di scalare e porta a un accumulo di eventi/allarmi non analizzati e/o non classificati a causa delle loro elevata quantità.

Un modo più semplice ed efficiente per realizzare questo obiettivo è quello di automatizzare il più possibile le procedure applicando filtri basati su informazioni di intelligence che permettano di prendere delle decisioni. Questa tipologia di filtri permette di classificare certi eventi in arrivo dalle diverse sorgenti e di creare una logica codificabile per la loro gestione. Migliore è la qualità dell’intelligence codificata all’interno di questi fitri che lavorano in background e migliore sarà la capacità di guidare in modo chiaro le successive logiche.

Le logiche vengono così poi applicate agli eventi di security in modo tale che la portata degli eventi si riduca a quelli che sono più rilevanti.

Queste logiche automatizzate possono essere eseguite e applicate con regolarità durante l’arco della giornata, ad esempio ogni volta che sono disponibili nuove informazioni aggiornate sulle minacce, creando così un processo adattabile e sempre rilevante per i diversi ambienti, anche se le minacce dovessero evolversi.

Per sfruttare appieno le informazioni di intelligence e renderle spendibili in un dato ambiente è necessario determinare quali siano le tipologie di dati che vengono forniti, per verificarne la loro compatibilità e conseguentemente il loro utilizzo.

«Questo approccio nell’uso della threat intelligence ha uno specifico perimetro ben delimitato in quanto ci sono solo un numero finito di report di intelligence pubblicati ogni giorno», aggiunge Zanoni.

Risolvere questo problema è a misura d’uomo: un analista ben formato ha la possibilità di esaminare il contenuto dei report di intelligence sulle minacce e valutare rapidamente quali sono quelle applicabili all’ambiente aziendale e verificare se esistano già sistemi o regole a protezione dell’azienda per quella determinata minaccia. Ad esempio, l’analista valuterà se un certo report relativo a un minaccia descriva una minacce reale, teorica o se esista un exploit per sfruttarla. Se è teorica e senza alcun exploit potrebbe essere possibile non agire nell’immediato e continuare a monitorare eventuali cambiamenti. Potrebbe quindi non essere possibile o necessario installare una patch urgente e non vi sarà bisogno di fermare i sistemi produttivi. Nel caso in cui la minaccia abbia un exploit il quesito chiave diventerà: “Esiste già una regola di detection o una signature per questo? È già stata implementata nell’ambiente?”. Se è già presente una firma e questa viene distribuita in modo corretto potrebbe essere possibile non agire anche in questo caso e verificare semplicemente che i sistemi di prevenzione siano attivi ed efficaci.

A volte, invece, le minacce sono nuove e non ci sono protezioni disponibili. In questi casi andare alla ricerca di tutti gli artefatti relativi a una minaccia potrebbe generare un alto numero di falsi e i risultati potrebbero non essere utilizzabili e le automatizzazioni create potrebbero dare solo risposte parziali.

«A questo punto l’attribuzione e la comprensione delle motivazioni di un attaccante fa la differenza. È necessario scoprire chi è la fonte della minaccia, qual è il suo obiettivo e perché», aggiunge Zanoni.

I report di intelligence sulle minacce che includano queste informazioni sono rari e averli a disposizione è un vantaggio notevole in quanto forniscono informazioni contestuali ulteriori che possono essere utilizzate per affinare la ricerca delle tracce di una minaccia, anche se queste sono “nascoste” all’interno di moltissimi eventi.

Ad esempio, sapere che una minaccia proviene da un certo gruppo di attaccanti specifico (e.g. un gruppo con la finalità di ottenere un vantaggio economico) e che l’intento di questo gruppo è tipicamente quello di rubare le credenziali di accesso utilizzate per i sistemi finanziari significa che l’ambito dell’indagine potrebbe focalizzarsi e includere i log di autenticazione dei sistemi finanziari tipicamente presi di mira.

Le organizzazioni avranno così la possibilità di effettuare una revisione delle transazioni finanziarie avvenute nel periodo di tempo associato per garantire che non si sia verificata alcuna anomalia. Questa analisi da più angolazioni su una minaccia è possibile solo quando viene fornito un contesto completo per ogni minaccia.

Un altro modo di utilizzare l’intelligence è tenere traccia di quale gruppo abbia attaccato in passato le diverse organizzazioni (magari nello stesso segmento di mercato) e di quello che stava cercando. Qualsiasi nuovo report di intelligence sulle minacce che indichi i comportamenti di questo gruppo diventerà quindi una priorità e potrà essere poi riportato al Board per aiutare nella comprensione di cosa significhi per l’organizzazione e permettendo di identificare così le aree critiche che possono richiedere investimenti aggiuntivi per essere protette adeguatamente.

«Le organizzazioni si trovano sempre di fronte alla sfida di fornire un valore aggiunto diventando allo stesso tempo più efficienti», conclude Zanoni. «La chiave per raggiungere questo obiettivo è essere più efficaci in tutto quello che viene attuato, automatizzando il più possibile e focalizzando il capitale umano sulle attività che più ne beneficiano».