Oggi le misure di sicurezza tradizionali non sono più efficaci per gestire le complesse attività aziendali il cui perimetro aziendale si dissolve. L’esperienza e la specializzazione di Cybertech nel settore ed il suo approccio innovativo alla cybersecurity possono rappresentare un vantaggio per le aziende. Al loro servizio, il SOC Security Operation Center, un presidio strutturato che grazie ai professionisti di Cybertech ed al supporto di tools e processi dedicati, innalza il livello di sicurezza aziendale monitorando tutti gli ambiti con minimi sforzi economici e organizzativi. Ce ne parla in questa intervista Ferruccio Vitale, SOC Manager, Cybertech.
Le aziende si trovano a gestire strutture sempre più complesse in un contesto operativo in cui di fatto sembra del tutto svanire il perimetro aziendale. In questo ambito quali sono gli specifici vantaggi offerti da un servizio SOC come quello proposto da Cybertech?
La profonda specializzazione combinata con l’esperienza decennale e l’approccio olistico alla cybersecurity, ci permettono di proteggere gli asset digitali e i flussi informativi dei clienti, con l’obiettivo di creare una struttura di sicurezza flessibile e adattabile alle mutevoli e sofisticate minacce del mondo Cloud, Mobile e Social Computing.
Nei mesi passati segnati dalla pandemia la maggior parte delle aziende ha vissuto una trasformazione digitale forzata, ma necessaria, per poter garantire la continuità ed il futuro del proprio business. Il nuovo contesto operativo, in cui l’incremento dell’attività telematica e un massivo spostamento della forza lavoro in postazioni remote (smart working) risulta inevitabile, espone le aziende a nuovi rischi informatici che vanno ad aggiungersi ai rischi del Cloud, creando uno nuovo e complesso scenario di cybersecurity.
Le misure di sicurezza logica attive fino ad oggi nel perimetro aziendale non risultano più efficaci per gestire le attività di migliaia di persone collegate da remoto a riunioni online tramite computer e telefoni personali.
Il pericolo di incursioni malware è altissimo, costante e con effetti potenzialmente devastanti per le aziende e le organizzazioni. Il SOC di Cybertech è composto da analisti e ingegneri specializzati nella sicurezza informatica, offre un monitoraggio e analisi di attività su reti, server, endpoint, database, applicazioni, siti web e altri sistemi, 24h e 7 giorni su 7, alla ricerca di attività anomale che potrebbero essere indicative di un incidente o compromissione dello stato di sicurezza.
Il servizio SOC è un’opportunità vantaggiosa anche per le aziende che hanno già implementato on-premise per la gestione della cybersecurity?
La gestione della cybersecurity si basa sulla corretta applicazione dalla triade CIA, confidentiality, integrity e availability; tuttavia la cybersecurity comprende diversi contesti – sicurezza di rete, delle applicazioni e dei dati fino alla sicurezza operativa, senza tralasciare aspetti come disaster recovery e business continuity. In assenza di un SOC, le specifiche complessità di ognuno di questi temi non dovrebbero essere gestite individualmente, ma congiuntamente in modo sistemico.
Il SOC Cybertech offre alle aziende un vantaggio strategico rendendo disponibile una visione a 360 gradi, un presidio strutturato in contesti complessi, un monitoraggio integrato su tutti gli ambiti con una maggiore coerenza e individuando correlazioni causa-effetto tra un attacco e i possibili impatti.
Quanto pesano le competenze umane interne al SOC e quanto invece le tecnologie di automazione e cyber threat intelligence? Dove sono indispensabili le prime e quali i vantaggi apportati dalle seconde?
Gli esperti di cybersecurity sono il cuore del SOC e la loro esperienza determina il successo del servizio. L’incremento costante di dati da analizzare e la maggior complessità dei servizi erogati richiedono l’adozione di strumenti di gestione all’avanguardia, come ad esempio la piattaforma SOAR che consente di semplificare la missione del SOC.
L’analisi degli eventi di sicurezza è divisa in più fasi tra le quali la più significativa è l’enrichment, il passaggio fondamentale per discernere tra falsi positivi e minacce reali che viene applicato a centinaia di segnalazioni, ossia il processo che prevede di consultare diverse fonti di threat intelligence. Per rendere il lavoro dell’incident responder efficace, l’accuratezza e la taratura di queste piattaforme è una condizione necessaria, diventa quindi fondamentale adottare la tecnologia per automatizzare il processo.
La tecnologia ha il ruolo abilitante per la sicurezza, ma non sufficiente per garantire la sicurezza ai nostri clienti. Come esempio, cito uno dei nostri servizi SOC, il cyber threat hunting, il processo di ricerca proattiva delle minacce che fa uso estensivo di diverse tecnologie, dove l’esperienza del security analyst è quella che fa la differenza. Una profonda conoscenza delle tecniche d’attacco consente ai nostri professionisti di riconoscere le più recenti strategie adottate dagli hacker e identificare le loro “tracce” lasciate durante un attacco.
Sviluppi futuri per il SOC legati all’adozione di tecnologie di AI e ML. In quali ambiti questi digital enabler possono fare la differenza e come vedi tu il SOC del futuro?
Il concetto di intelligenza artificiale esiste dal 1950, mentre il termine machine learning evoca immagini ad altissimo potenziale ma ancora molta incertezza.
Oggi l’intelligenza artificiale offre automatismi che consentono di sostituire un analista L1, considerato il “primo tassello di un SOC”, colui che arricchisce di informazioni l’evento di sicurezza segnalato dal SIEM (Security Information and Event Management). l’AI può effettuare l’analisi che qualcun altro deve solo validare.
Ma ci sono tante altre declinazioni di questo concetto…
A fronte di un evento di sicurezza da analizzare, la logica comune è quella di assegnare la segnalazione al primo analista disponibile; Il SOC di Cybertech usa il “machine learning” per aumentare la produttività degli analisti, valuta nel tempo le competenze acquisite dal personale e assegna loro gli eventi in base all’esperienza e alle conoscenze.
Proteggere i clienti dalle minacce note è solo parte della missione del SOC. L’analisi predittiva, ovvero l’impiego dell’AI nell’analisi comportamentale di virus, trojan o ransomware, permette di individuare le minacce non ancora note.
Puoi raccontarci, proprio in modo molto semplice il percorso tipico di un’azienda che compresa la validità del servizio SOC decide di affidarsi a Cybertech? Quali i passaggi tipici da affrontare, quali i vantaggi segnalati dai clienti, e soprattutto gli eventuali ritorni anche relativi alla spesa per la cybersecurity?
Il nostro obbiettivo è offrire servizi creati pensando alle esigenze dei nostri clienti. Ogni cliente è unico ed è necessario potergli offrire un servizio su misura, in questo senso diventa indispensabile effettuare due tipologie di assessment: l’assessment tecnologico al fine di acquisire una conoscenza profonda dell’infrastruttura del cliente ed il business impact analysis (BIA) per comprendere gli impatti sul business in caso di interruzione del servizio per motivi di sicurezza. In questa fase Cybertech offre i servizi di vulnerability assessment e penetration testing, attività necessarie per ottenere un quadro chiaro della sicurezza logica dei sistemi e delle applicazioni.
Una volta stabilito lo stato di sicurezza attuale, passiamo alla fase di integrazione dei sistemi e dell’infrastruttura del cliente con il SIEM o Secure Access Service Edge (SASE) se lo strato tecnologico risulta pronto, definendo processi che regolamenteranno le interazioni del SOC con il cliente e i vari competence center.
Le aziende e organizzazioni devono affrontare la grande complessità di mettere in sicurezza centinaia di server, migliaia di postazioni di lavoro, nonché firewall e apparati di rete, ma spesso tutti gli sforzi interni risultano inefficaci o troppo costosi.
I clienti scelgono di affidarsi a Cybertech per ridurre questa complessità, e beneficiare delle nostre esperienze nel settore, l’alto livello di competenze e disponibilità di soluzioni sempre all’avanguardia. Il nostro servizio offre loro vantaggi importanti: avere un’unica interfaccia per tutte le problematiche di sicurezza, un presidio attivo e disponibile 24×7, la disponibilità di tutte le competenze necessarie per una gestione completa della sicurezza.
In che modo il servizio SOC può sollevare le aziende dalle preoccupazioni legate alla compliance alle stringenti normative nel caso in cui subiscono un incident?
La sicurezza logica è sempre più onerosa, il patrimonio informativo dei dati sensibili, personali e strategici, è oggetto di continue revisioni e specializzazioni normative, anche in virtù della continua evoluzione nella veicolazione e gestione degli stessi.
I nostri servizi di consulenza indirizzano le aziende nell’adozione di contromisure adeguate alla protezione dei dati attraverso l’implementazione di nuove policy interne. Il SOC, dall’altra parte, supporta il cliente in attività specifiche in risposta a possibili incidenti, come per esempio la perdita di confidenzialità dei dati, noto come data breach, argomento disciplinato dal GDPR.
In questo caso, la vittima di data breach è tenuta a comunicare eventuali fughe di dati entro le 72 ore successive all’incidente: la presenza del SOC agevola il cliente nell’interazione con le Autorità competenti per rispondere alle vigenti disposizioni di legge, descrivendo l’esatta natura della violazione, attivando tempestivamente il Data Protection Officer (DPO) del Cliente e adottando tutte le necessarie contromisure.
Non perdere tutti gli approfondimenti della Room Security Governance
© RIPRODUZIONE RISERVATA
