Cresce la sensibilità delle aziende sul tema della cybersecurity, anche delle nostre Pmi. Allo stesso tempo le organizzazioni riconoscono allo stesso tempo di non avere a bordo tutte le competenze che servono per operare in modo corretto, o anche semplicemente per trovare la chiave di lettura su “dove e come” indirizzare gli sforzi ed elevare il proprio livello di sicurezza. Per questo, da una parte si afferma come modello, anche in questo settore, l’idea della security as a service e viene riconosciuto il valore del lavoro dei security operations center (Soc).
Sono questi anche gli spunti del confronto con Aldo Di Mattia, senior manager Systems Engineering Public Administration Italy di Fortinet che ci racconta come le organizzazioni possono migliorare il proprio livello di sicurezza proprio grazie ai Soc. “Le minacce informatiche crescono in numero e complessità e le aziende si trovano a gestire uno scenario sempre più intricato, affrontando rischi informatici sia interni che esterni – esordisce Di Mattia -. E gli incidenti informatici dovrebbero essere considerati rischi di business a tutti gli effetti, considerati i danni che possono causare”. Non è un caso se le informazioni personali sensibili, come i dati finanziari e sanitari, infatti, rimangono l’obiettivo primario degli attacchi, anche se crescono le preoccupazioni per le minacce atte al sabotaggio delle infrastrutture critiche. Per questo, prosegue Di Mattia, “la cybersecurity è un processo continuo non derubricabile con un approccio ‘set and forget’, che prevede l’implementazione e il mantenimento di misure di sicurezza per la protezione da minacce nuove e in continua evoluzione”.
Evidente che le aziende dovrebbero affrontare la cybersecurity al pari di altri rischi aziendali, con il pieno supporto del management. “La base di partenza è lo sviluppo di un piano di sicurezza, con un adeguato inventario delle risorse e una dettagliata analisi dei rischi”. Oggi esistono molti framework per fornire aiuto e guida alle organizzazioni, come per esempio il Nist Csf. E ricerche in contesto di mercato dimostrano che il fattore umano è, più che mai, l’anello debole della cybersecurity.
Ecco allora che un adeguato programma di sensibilizzazione e formazione per i dipendenti rafforza l’ultima linea di difesa rappresentata dall’utente che apre e-mail infette o fa clic su collegamenti o campagne di phishing/truffa, ma allo stesso tempo “l’esternalizzazione a fornitori specializzati e Mssp delle operazioni di cybersecurity è una pratica efficiente, rapida e finanziariamente conveniente per quelle aziende in cui la creazione di un Soc interno andrebbe ben oltre le loro reali esigenze o capacità di budget”. Certo, il Soc resta e cambia le regole del gioco. Ma l’azienda può evitare di andare incontro alla complessità di dover avere a bordo le competenze necessarie per beneficiarne e di doverlo avere ‘on-premise’.
Il Soc opera come una struttura centralizzata che impiega persone, processi e tecnologie per monitorare e migliorare continuamente il livello di sicurezza delle organizzazioni prevenendo, identificando, analizzando e rispondendo agli incidenti di cybersecurity. E funge da centro nevralgico della difesa informatica. L’obiettivo è identificare e rispondere alle minacce prima che causino danni significativi.
Ecco allora che “un modello di difesa basato sul Soc– dettaglia Di Mattia – presenta diversi vantaggi quali ad esempio la semplificazione dei processi di incident management mediante workflow automatizzati, il monitoraggio in tempo reale dell’intero ecosistema aziendale, una più efficiente collaborazione tra dipartimenti e, non ultimo, la produzione di metriche precise delle attività svolte con cui misurare l’effettiva efficacia della struttura Soc”. Adattabilità e scalabilità sono tra i vantaggi più evidenti che indirizzano le esigenze di industry differenti che hanno requisiti di cybersecurity diversi, a seconda di fattori quali settore di business, dimensioni operative e requisiti di conformità. “Pertanto, un modello di difesa basato su Soc consente a ciascuna realtà aziendale di costruire la propria infrastruttura di difesa “su misura” massimizzando efficienza e ritorno di investimento”.
Un potenziale che si moltiplica grazie ad automazione, orchestrazione e possibilità di ottenere indicazioni certe a fronte del rilevamento delle minacce, con l’AI che oggi cambia il paradigma. Di Mattia: “L’intelligenza artificiale sta mostrando i primi risultati come punto di svolta nella cybersecurity e sarà determinante nel prendere il posto degli analisti nella gestione manuale dei flussi di lavoro, ma non per sostituire gli esseri umani”. Possiamo dire che l’AI apporti la capacità cognitiva di “crescere, apprendere e svolgere compiti basati su algoritmi, potenziando il Soc processando un flusso informativo enorme da una varietà quasi infinita di fonti”. La capacità di identificare un attacco e rispondere ad esso mentre è in corso costituisce un totale cambio di paradigma: “Sì. L’intelligenza artificiale svolgerà un ruolo importante nel futuro dei Soc h24, rendendoli più efficienti, efficaci e proattivi nella loro capacità di rilevare, investigare e rispondere alle minacce alla sicurezza”. Ed il mercato delle Pmi può sfruttare questi Soc avanzati e la cybersecurity basata sull’intelligenza artificiale proprio collaborando con un Soc-as-a-Service, composto esso stesso da AI.
Un modello, questo, che non entra in crisi nemmeno nel caso in cui le aziende scegliessero una prospettiva di “outsourcing” della security. Di Mattia: “L’evoluzione dei Soc basati su livelli di competenza (tier) verso quelli basati su competenze verticali (skill) ha segnato un’importante pietra miliare per tenere il passo con l’aumento del volume e della sofisticazione degli attacchi informatici”. E l’approccio sempre più scelto dalle aziende è proprio il Security Operations Center as a Service (SOCaaS), un modello in outsourcing basato su sottoscrizione per la gestione delle esigenze di cybersecurity di un’organizzazione. “Sfruttando un gruppo di esperti di sicurezza dedicati, i fornitori SOCaaS offrono monitoraggio, rilevamento e risposta h24 a potenziali minacce. Queste realtà ad altissima specializzazione lavorano a stretto contatto con i propri clienti per sviluppare strategie di sicurezza su misura che si adattino ai requisiti e necessità specifici di ciascuna organizzazione”.
Come ogni scelta, questo approccio presenta aspetti sia positivi che negativi. Tra i vantaggi del modello “outsourced” sicuramente c’è il favorevole rapporto costo/beneficio sul piano degli investimenti realizzativi di un Soc, “infatti, un servizio gestito Soc è strutturato per offrire monitoraggio h24 garantito da una squadra di professionisti qualificati, rispondere a necessità di compliance e reporting“ ma soprattutto è un modello scalabile che si adatta dinamicamente alle necessità del cliente al giusto costo. Tuttavia, SOCaaS non è una soluzione “universale” adatta a tutti i contesti.
Spiega ancora Di Mattia: “Tra gli svantaggi più significativi abbiamo sicuramente un controllo delle operazioni più limitato da parte del cliente, con potenziali problemi di latenza comunicativa in caso di incidenti”. Inoltre, realtà che necessitino di contenere entro il proprio perimetro i dati di sicurezza, o che abbiano massiccia presenza di sistemi custom o di nicchia, potrebbero non trarre il massimo beneficio da un modello outsourced industrializzato. “La sostenibilità di un programma cybersecurity è oggi garantita dall’esigenza inderogabile di adattare la progettazione del Soc alle specifiche esigenze di business dell’organizzazione e non viceversa: l’outsourcing delle operazioni del Soc è sicuramente una validissima opzione per molte realtà, ma certamente non l’unica possibile”.
Fortinet indirizza i bisogni di cybersecurity sfruttando le soluzioni Fortinet SecOps che forniscono funzionalità di rilevamento e risposta alle minacce. Sono costituite da componenti che combinano intelligence sulle minacce, analisi avanzate e automazione per aiutare i team di sicurezza a identificare e rispondere rapidamente alle minacce. La piattaforma utilizza algoritmi di ML e AI per analizzare i dati provenienti da più fonti, incluso traffico di rete, endpoint, applicazioni e cloud. Sfrutta inoltre l’intelligence sulle minacce della rete globale di sensori Fortinet e Fortiguard Labs e fornisce ai team di sicurezza un unico pannello di controllo per la visibilità e la gestione degli incidenti di sicurezza.
Attraverso l’approccio Closed Loop viene automatizzato il processo di risposta così che i team di sicurezza possono rispondere alle minacce, riducendo il tempo necessario per rilevare e mitigare gli attacchi. Oltre a questo Fortinet offre servizi di consulenza specialistici. L’obiettivo è estendere la protezione su tutta la superficie di attacco. Sia Fortinet Security Fabric, sia SecOps nativamente proteggono le infrastrutture OT, IoT, IIoT e IT.
© RIPRODUZIONE RISERVATA
