I Centri operativi di sicurezza (SOC) e le piattaforme di gestione degli eventi di sicurezza (SIEM) hanno rappresentato per anni un importante investimento per molte aziende, che ancora oggi considerano le tecnologie SIEM come elemento centrale della propria strategia di monitoraggio della sicurezza.
La realtà è ben diversa e come evidenziato nei più recenti report “Verizon Data Breach”, nonostante l’implementazione delle tecnologie SIEM, meno dell’1% dei data breach sono stati effettivamente rilevati attraverso queste tecnologie.
Negli ultimi anni, diversi player di rilievo nel mercato della sicurezza hanno cominciato a virare da un approccio mirato all’aggregazione di log e al monitoraggio basato su regole di correlazione, verso un approccio orientato a tecniche di Security Analytics applicate ai big data (Security Data Lake).
Con l’attuale panorama di minacce, anche le tecniche di rilevazione degli eventi di sicurezza devono evolvere. Oggi, dati sensibili, applicazioni e processi critici di business sono presenti ed avvengono in un panorama distribuito: Cloud Hosting, Software-as-a-Service (SaaS) provider, device mobili, applicazioni mobili e l’Internet of Things (IoT) sono alcuni dei meccanismi moderni di raccolta, elaborazione e memorizzazione dei dati.
Possiamo quindi affermare che se è stato storicamente difficile trarre valore e scalabilità dalle tecnologie SIEM tradizionali, oggi, vista la situazione attuale, il loro compito risulta ancora più difficile.
Le tecnologie di sicurezza di nuova generazione sfruttano sia Machine Learning (ML) ed Artificial Intelligence (AI) per automatizzare le funzioni di monitoraggio attraverso l’analisi di grandi quantità di dati, sia algoritmi statistici per trovare modelli di minacce altamente avanzate. Questo approccio automatizzato mira anche a contrastare la cronica carenza di personale qualificato sul tema sicurezza.
Cosa si intende per Security Analytics?
Per Analytics si intende l’identificazione, l’interpretazione e la comunicazione di modelli significativi nei dati. In settori quali Marketing e IT, analytics, modelli predittivi e metodi statistici sono in uso da tempo; in ambito security, alcune forme di analisi dei dati sono cominciate ad apparire nel momento in cui si è realizzato il valore nell’analisi di dati storici per poter rilevare e prevenire incidenti di sicurezza.
La definizione di Security Analytics si basa su quattro elementi principali:
- Profilazione Comportamentale
Attraverso l’analisi dei profili comportamentali, è possibile definire una baseline, ossia prendere le misure della situazione normale in modo da poter sapere quando si verifica un evento che non rientra nella normalità. Utilizzando un insieme esteso di dati, è possibile confrontare ciò che è normale rispetto a cambiamenti improvvisi o graduali per poter anticipare il problema.
- Analisi per Peer Group
Significa confrontare le proprie azioni con gruppi che condividono caratteristiche comuni, ad esempio colleghi. Attraverso questo tipo di analisi, è possibile analizzare le azioni di un’entità rispetto alle azioni compiute da altre entità simili all’interno della stessa organizzazione, ma anche di effettuare confronti rispetto al settore in cui l’organizzazione opera, ad esempio, nei confronti dei fornitori, allo scopo di evidenziare anomalie.
- Business e Threat Intelligence
Le informazioni di contesto e sulle minacce aiutano a stabilire il corretto livello di rischio. E’ possibile così definire le corrette priorità nella gestione degli incidenti di sicurezza, assegnando le risorse (persone, progetti e budget) generalmente limitate a lavorare su minacce ed incidenti potenzialmente più importanti.
- Modellizzazione delle minacce
E’ possibile utilizzare questa tecnica per prevedere ed attribuire la corretta priorità alle attività di investigazione e risposta. La mappatura dei vari attacchi, come sono stati rilevati e quali presentano il maggiore impatto e quindi la maggiore attenzione sono modalità per determinare come e dove focalizzarsi. Solitamente la rappresentazione di modelli delle minacce avviene attraverso esercizi di white boarding, il cui obiettivo è quello di prevedere un eventuale attacco in corso, anche anticipare future azioni e suggerire passi di remediation.
Gli strumenti di Security Analytics hanno cominciato ad integrare questi quattro elementi, partendo dal valore del profilo comportamentale, passando per le varie forme di Intelligence allo scopo di consolidare le informazioni sul rischio aziendale e sulle minacce, per suggerire le migliori azioni a fronte di un attacco in corso o nella prevenzione dell’attacco, anticipando le azioni future e suggerendo i vari passaggi per la mitigazione.
Vuoi saperne di più? Visita la nostra pagina dedicata.