Di Giovanni BelluzzoHead of Cyber Security at InfoCert

Con questo articolo inizia una rubrica sulle modalità di governo strategico ed operativo della Cyber Security in un ambiente Enterprise. L’obiettivo è quello di dare una visione complessiva dei processi, delle tecnologie e dell’organizzazione necessari per mettere in atto un framework basato sui principi classici di protezione da una minaccia cyber, di tempestiva detection dell’evento di attacco e di risposta preparata e coordinata all’evento stesso. 

Non perderti i prossimi articoli, iscriviti alla newsletter!

Che cos’è un SOC

Per molti anni la sicurezza delle informazioni si è basata sull’adozione di tecniche preventive, cioè sull’utilizzo di sistemi, normalmente posizionati a difesa del perimetro aziendale, in grado di bloccare eventuali tentativi di attacco ed intrusione (i cosidetti “firewall” più o meno sofisticati). 

Il nuovo contesto digitale basato su asset ed architetture distribuite e caratterizzato dalla presenza di tecniche di attacco sempre più sofisticate ha fatto evolvere questo modello, fondato principalmente sulla prevenzione, verso un nuovo paradigma che prevede un monitoraggio continuo in grado di accrescere la capacità di rilevazione dell’evento anomalo.

Il Security Operation Center (SOC) è una struttura organizzativa, interna od esterna, che mette in atto un processo di gestione degli incidenti di sicurezza mediante un insieme di tecnologie ed un team specializzato in grado di interpretare gli ausili tecnologici al fine di riconoscere le evidenze di compromissione.

Il processo di gestione degli incidenti di sicurezza 

L’attività del SOC rientra nel processo aziendale dedicato alla gestione degli incidenti e si focalizza sulle specificità di flusso relative agli eventi di sicurezza.

In una visione semplificata, un processo strutturato di gestione degli incidenti di sicurezza dovrebbe prevedere le seguenti fasi: 

  • Identificazione (Detection)
  • Investigazione (Validate)
  • Verifica e Categorizzazione (Triage).

Durante queste fasi il personale specialistico del SOC, al fine di condurre con la maggior efficacia possibile la categorizzazione dell’alert ricevuto, deve essere supportato da una documentazione strutturata relativa alla classificazione degli incidenti di sicurezza.

Sulla base di tali ausili documentali, il personale specialistico del SOC completa il suo compito di analisi fornendo una serie di elementi informativi necessari per:

  • la Remediation tecnica curata dai reparti operativi (network, system, security operations);
  • la Notifica dell’incidente di sicurezza verso tutti gli stakeholder interni (funzioni manageriali) ed esterni (clienti coinvolti nell’evento);
  • l’eventuale Escalation verso altre funzioni aziendali (Legal Management, Privacy Management, Risk Management, etc.).

Le tecnologie utilizzate in un SOC

L’efficacia del processo di gestione degli incidenti di sicurezza è determinata, oltre che dalle competenze specifiche del team di presidio, dall’uso sinergico di una serie di tecnologie di supporto.

Tipicamente il personale specialistico del SOC deve poter operare in tempo reale su una grossa mole di dati al fine di rilevare tempestivamente le informazioni caratterizzanti l’azione malevola; per tale ragione la tecnologia a supporto generalmente prevede:

  • Strumentazione Security Information and Event Management (SIEM):

per poter tener traccia delle minacce e di eventuali malfunzionamenti, i sistemi applicativi acquisiscono e monitorano gli eventi attraverso log, collezione di dati atomici ed elementari non necessariamente legati alla sicurezza; si tratta di una numerosità di eventi veramente rilevante (qualche migliaio di eventi al secondo, per un’organizzazione di media grandezza), che scala al moltiplicarsi delle componenti applicative e la cui analisi diventa improponibile in assenza di una strumentazione adeguata; i sistemi SIEM nascono per essere alimentati da una molteplicità di log e per applicare in tempo reale un set di regole di correlazione; mediante l’affinamento di tali regole di correlazione l’analista è in grado di assegnare una priorità alle segnalazioni separando dal rumore di fondo gli eventi indicatori di un attacco cyber in corso; i sistemi SIEM sono inoltre dotati di dashboard personalizzabili che forniscono all’analista suggerimenti sulle opportune misure correttive da attuare.

  • Integrazione SIEM-Threat Intelligence:

la Threat Intelligence viene definita (SAN Institute) come “l’insieme di dati raccolti, valutati ed applicati riguardanti minacce alla sicurezza, attori delle minacce, exploit, malware, vulnerabilità ed indicatori di compromissione”; l’integrazione fra questa base dati e la strumentazione SIEM aumenta in maniera rilevante la capacità dell’analista di riconoscere in tempi ristretti gli indicatori di attacco; tipicamente le informazioni di Threat Intelligence sono accessibili mediante API da servizi pubblici (ad esempio: VirusTotal, IBM X-Force Exchange, etc.) e consentono di assegnare un indice di reputazione ad un indirizzo IP o URL analizzato, basato sul rischio potenziale della minaccia.

  • Funzioni SIEM di estrazione/analisi a supporto della Digital Forensics:

la Digital Forensics è quella branca della scienza forense che si occupa della preservazione, dell’identificazione e dell’investigazione delle informazioni trovate all’interno dei dispositivi digitali, al fine di produrre evidenze che riguardano crimini informatici; il sistema SIEM raccoglie in maniera centralizzata e sicura gli eventi, assegna loro un riferimento temporale e normalmente adotta tecniche di memorizzazione che garantiscono tecnicamente la non modificabilità; il fatto stesso che gli eventi vengano registrati su un sistema diverso da quello in cui sono stati generati assicura che il soggetto autore della compromissione non abbia modo di cancellarli od alterarli; le funzioni di estrazione ed analisi di un sistema SIEM abilitano l’esperto di Digital Forensics ad una ricerca integrata ed avanzata, particolarmente efficace in caso di  eventi di attacco che abbiano coinvolto, attraverso diverse fasi, una molteplicità di sistemi.

  • Strumentazione di Detection & Response integrata con il sistema SIEM:

uno strumento di Detection & Response (EDR, XDR sono gli acronimi presenti nel panorama attuale di offerta) agisce raccogliendo, all’interno di workstation e server, elementi utili per l’investigazione e l’identificazione di eventuali indici di compromissione; l’integrazione fra il sistema SIEM e lo strumento EDR/XDR permette una duplice sinergia: il SIEM, in caso di segnalazione da parte dello strumento EDR/XDR su uno specifico sistema, può assegnare una priorità maggiore agli eventi provenienti da quello specifico target; lo strumento EDR/XDR, in seguito a segnalazioni provenienti dal SIEM relative ad uno specifico sistema, può aumentare l’acquisizione di evidenze dal target stesso, estremamente utili per l’eventuale successiva analisi di Digital Forensics.

Il modello organizzativo di un SOC

L’overview descritta nel paragrafo precedente non deve portarci ad una eccessiva fiducia sull’efficacia incondizionata della strumentazione tecnologica.

Senza un’adeguata organizzazione operativa ed un team di specialisti, in possesso di competenze di alto livello su un ampio raggio di tematiche cyber, non potrà mai essere raggiunto un livello sufficiente di presidio degli incidenti di sicurezza.

Dal punto di vista organizzativo la funzione interna od esterna che eroga il servizio SOC dovrebbe prevedere:

  • un Supporto di 1° Livello, costituito da personale con profilo professionale di Security Analyst, avente il compito di:
    • svolgere attività di primo contatto verso gli stakeholder esterni al SOC;
    • presidiare gli eventi segnalati dalla piattaforma di monitoraggio;
    • effettuare, relativamente all’evento in esame, analisi, classificazione ed assegnazione delle priorità;
    • gestire il sistema di tracciamento e notifica degli incidenti;
  • un Supporto di 2° Livello, costituito da personale con profilo professionale di Security Specialist, avente il compito di:
    • erogare, relativamente all’evento in esame, attività di “deep analysis”;
    • fornire indicazioni sulle possibili azioni di remediation;
    • operare interventi di ottimizzazione della piattaforma di monitoraggio mediante attivazione e tuning delle regole di correlazione.
  • un Supporto di 3° Livello, costituito da personale con profilo professionale di Digital Forensics/Threat Specialist,  avente il compito di:
    • erogare attività specialistiche di Digital Forensics, Threat Intelligence e Malware Analysis.

Conclusioni

In questo primo articolo abbiamo brevemente analizzato le modalità con cui un’organizzazione enterprise può prepararsi in maniera adeguata ad una tempestiva identificazione degli elementi interni all’azienda distintivi di un rischio cyber. Nel prossimo appuntamento analizzeremo la Cyber Threat Intelligence, un’altra importante attività di analisi delle minacce, finalizzata alla rilevazione di elementi malevoli esterni all’azienda.

Autore: