Threat Detection
Trovare l'ago nel pagliaio con Security Analytics
Gli avvisi sulle minacce di sicurezza scompaiono facilmente nel «pagliaio» dei file di log e di altre fonti. Security Analytics aiuta a trovare l’«ago», vale a dire le informazioni pertinenti, e riconosce le connessioni che non vengono viste nell'analisi manuale.
Testo: Andreas Heer, Immagini: iStock by Getty Images, 22
L'analisi di incidenti legati alla sicurezza IT ricorda la famosa ricerca dell’ago nel pagliaio. Solo che questa volta l’ago non si nasconde in un mucchio di paglia, ma in un mucchio di aghi. Ad esempio, i file di log di apparecchi di rete – quali router, firewall, computer, proxy e simili – registrano quantità enormi di dati. Quali sono davvero importanti per la sicurezza?
Vediamo di complicare ulteriormente la faccenda: ora non cercate più un ago in un mucchio di aghi, ma due ferri da calza uguali in tanti mucchi di aghi. Un’impresa disperata. Ma è proprio questo il procedimento necessario per l'analisi dei file di log e di diverse altre fonti: solo quando si mettono in correlazione gli eventi generati da diverse fonti pertinenti si delinea un’immagine dell'effettiva minaccia di sicurezza.
Valutare meglio le minacce con Security Analytics
Per fortuna avete ciò che vi aiuta nella ricerca: una piattaforma Big Data come base e un’applicazione di nome Security Analytics che riunisce tutte le informazioni pertinenti e riconosce le connessioni tra i singoli eventi nell’intera mole di dati. Eccoli qui i due ferri da calza che stavate cercando! E perfino quando non sapete cosa state cercando vengono riconosciute le anomalie che possono essere indizio di cyber attacchi.
In questo modo Security Analytics aiuta a riconoscere per tempo le minacce e a distinguere i pericoli reali dai falsi allarmi. Il risultato dei Security Alert può essere utilizzato per avviare ulteriori analisi e reagire in maniera adeguata alla minaccia. L’attività di analisi e la reazione corrispondente vengono in genere eseguite dagli analisti di sicurezza.
Facciamo un esempio: un collaboratore segnala un’e-mail di phishing nella sua posta in arrivo. Attraverso la dashboard di Security Analytics, gli specialisti controllano quali altri collaboratori hanno ricevuto questa e-mail, esaminando la voce relativa all’oggetto nel file di log del mail server.
Questo di per sé non rappresenterebbe un motivo sufficiente per trattare il caso con priorità. Purtroppo però, due collaboratori hanno cliccato sul link nell’e-mail. Gli specialisti della sicurezza se ne sono accorti, perché hanno cercato il dominio dell’e-mail di phishing nei file di log del proxy sulla piattaforma di Security Analytics. Con l’indirizzo IP del client memorizzato è stato facile individuare i due computer e quindi i due collaboratori. Anche in questo caso le registrazioni del server DHCP hanno fornito un contributo essenziale. Grazie al salvataggio centrale dei dati sulla piattaforma Big Data e agli strumenti di Security Analytics, gli specialisti sono stati in grado di reagire all’evento molto velocemente e di prendere dei provvedimenti.
Diversi scenari
Il riconoscimento di minacce (Threat Detection), come quello dell’esempio precedente, è solo una delle possibili applicazioni di Security Analytics. L’impiego può avvenire a diversi livelli. Da una prospettiva tecnica, Security Analytics supporta il riconoscimento di cyber attacchi e di flussi di dati in uscita. Possibili Use Case di Threat Detection consistono nel riconoscimento di attacchi su terminali, di attività sospette durante l'accesso a internet e di pericoli nelle applicazioni cloud.
Inoltre, grazie all'analisi di fonti diverse si possono riconoscere scenari di rischio specifici di un’azienda, come ad esempio questo: alle ore 7:53 il collaboratore S. è entrato con il suo badge nella sede principale di Berna. 19 minuti dopo l’ambiente Remote Desktop registra un accesso dello stesso collaboratore dall’Estremo Oriente. La piattaforma di Security Analytics attiva quindi un allarme. Solo la correlazione tra le informazioni del sistema di accesso e quelle dei file di log – che prese singolarmente non destavano sospetti – ha messo in luce un possibile pericolo.
Security Analytics è quindi uno strumento efficiente per riconoscere pericoli noti e ignoti, per analizzarli e intraprendere le azioni appropriate. L'ago nel pagliaio si trasforma così nell'ago della bilancia che vi permette di gestire al meglio i processi di IT Security.
Newsletter
Desiderate ricevere regolarmente articoli e rapporti avvincenti su tematiche ICT di attualità?
Maggiori informazioni
