SIEM, contrasta in modo efficace le minacce che provengono dal Cyber Crime: la content story dell’evento

Martedì 16 aprile 2019 – in collaborazione col media partner Digital360 – abbiamo organizzato presso lo showroom di Florim una tavola rotonda con l’obiettivo di creare un confronto fra CIO e CISO di medio-grandi imprese strutturate e vocate all’innovazione, sul tema dell’ICT Security.

La content story dell’incontro

Si è partiti dal tema GDPR per cercare di capire se ad 1 anno dall’attivazione ci sono stati i temuti risvolti o si sono già mostrate le opportunità. Fare il puto della situazione e capire il caso d’uso di Florim, visto che in Italia il GDPR ha avuto il pregio di dare una forzatura alle aziende per iniziare a ragionare sulla sicurezza, nella sua accezione più ampia, costringendo le imprese a ragionare sul rischio di perdita del dato. Nel migliore dei casi, cominciando ad attivarsi prima di un eventuale data breach.

Dall’attivazione del GDPR sono stati oltre 1300 i casi di segnalazione al Garante in più rispetto all’anno precedente (dato Clusit) con il 140% in più di attacchi registrati. Continuano ad aumentare le minacce massive, ma anche gli attacchi mirati ai dati sensibili e ai dati aziendali.

Ma il dato sensibile a livello di core business, quanto è più esposto rispetto a quello sensibile come garanzia della privacy dei cittadini? Ciò che interessa è la sicurezza del dato.

Ricordiamo che il GDPR non prevede alcuna check-list, ma l’azienda deve fare “tutto ciò che è necessario fare” e per questo l’interpretazione della normativa non è stata banale e scontata. Oggi però si parla soprattutto del concetto di enterprise security più che di “semplice” cyber security e la stessa Florim ha individuato l’assetto migliore e sviluppa continuamente la sicurezza dell’infrastruttura ICT, in modo da garantire un livello adeguato di controllo del rischio.

 

SIEM soprattutto come risposta al risk assessment e come strumento per raccogliere tutte le info di log derivanti da tutti gli apparati di rete aziendali, con il primo risultato che è stato quello di reperire informazioni per il corretto settaggio dei device stessi.

Domenico Raguseo – CTO @ IBM Security – parla della relatività della cyber security, soprattutto se si parla di complessità. In realtà infatti QRadar incorpora nativamente una serie di feature che permettono di digerire una serie molto vasta di log, tanto che anche ragazzi di 17-18 anni sono in grado, nel giro di 30 minuti, di poter competere al simpatico gioco “capture the flag”, sviluppabile su QRadar.

Mirko Graziani – ICT Security Support Specialist @ VM Sistemi – sfata il mito della complessità del SIEM QRadar, lecita in fase di installazione, ripagata poi in fase di sfruttamento delle tantissime reali funzionalità.

Sono stati necessari un paio di mesi per configurare un’infrastruttura come quella di Florim ed arrivare al delivery: un imbuto che da miliardi di log è in grado di individuare poche decine di incidenti sospetti da approfondire. Correlare e analizzare le offences per identificare botnet, o altri tipi di attacchi, come ad esempio (citati 3 use case):

  • Jailbroken mobile device
    • Impostabile con una delle 500 regole native di QRadar, intercettando la richiesta DNS di un iPhone interno craccato, richiamato da un indirizzo esterno. Si passa quindi alla segnalazione verso l’utente
  • Suspicious probe events
    • Movimento in rete che non sembra normale, segnalato da QRadar tramite email. Collegandosi al sistema è possibile individuare i movimenti sospetti, il tipo di connessione (es. VPN) e l’utente specifico legato a queste attività e i flussi di dati che sono stati trasferiti. Controllando poi le regole impostate e ordinando gli eventi porta per porta è possibile approfondire ulteriormente l’origine dell’attività e verificarne la malevolezza o meno. Per fare ciò è possibile anche richiamare il client Watson per approfondire la ricerca e analizzare e correlare una serie di dati che umanamente non sarebbe possibile verificare. Infine sarà possibile informare il Cliente con il risultato di tutto l’approfondimento.
  • Traffico DNS non autorizzato -> everiday tuning
    • Individuando traffico verso IP pubblici, anche piccolo che sia, verificando il traffico permesso dal firewall, anche attraverso il servizio X-Force Exchange, è possibile individuare il rischio legato agli IP e le botnet potenziali. Oltre a tutti gli strumenti messi a disposizione dal QRadar c’è ovviamente tutto l’esperienza di VM Sistemi maturata sul campo, che può individuare traffico, seppur potenzialmente lecito, che non avrebbe dovuto esistere e quindi cela potenziali pericoli e comunque eventuali miss configuration.

 

La tecnologia da sola non può rispondere ad ogni minaccia, servono competenze e continua formazione, con pillole di aggiornamento. Il compito di vendor e integrator è quello di mascherare la complessità tecnologica agli utenti.

Quali sono le sfide delle aziende e cosa vi incuriosisce di più i CIO e i CISO in termini di miglioramento delle misure di sicurezza aziendali?

Seguono i topic più interessanti emersi dal confronto fra gli esperti…

Partendo dal risk assessment e dal sui forte impatto sui processi aziendali, molte Governance che hanno ancora una visione artigianale, aumentano la difficoltà di individuare i processi aziendali, per andarne a monitorare i flussi di dati.

Nel manufacturing – soprattutto in ottica I4.0 – framework ISO440, in cui si parla di ambienti Scada con protocollo modbus – andare a proteggere il flusso dati per ottenere la sicurezza industriale non è così banale.

Soprattutto quando le linee di produzione sono necessariamente collegate in rete coi sistemi gestionali (es. SAP).

Tanti sistemi operativi obsoleti (es. Windows XP) a bordo macchina devono essere necessariamente racchiusi in una bolla.

Oltre a risolvere queste criticità, QRadar intercetta istantaneamente tutto ciò che si collega alla rete interna aziendale (nuove macchine, pc di tecnici, ecc.) e ne rileva le potenziali minacce. Quindi qualunque device IoT è controllabile da QRadar.

Oggi gli attacchi ai sistemi “simil-industriali” (PLC, sensori ed attuatori) richiedono, lato difesa, delle competenze di programmazione non banali, sia lato IT, sia lato OT, da integrare poi alla competenza del particolare tecnico. Il fatto è quindi la modalità di approccio di un progetto OT, capendo gli elementi della mia infrastruttura, come sono connessi e che dati forniscono. Un corretto approccio al processo di cyber security prevede la standardizzazione delle attività di vulnerability assessment e di penetration test, utilizzando possibilmente strumenti di artificial intelligence, visto che gli attacker utilizzano da anni questo tipo di tecnologia.

Un po’ di social story

Adalberto Casalboni
VM Sistemi – Marketing Manager

Related Posts

Pin It on Pinterest