Di Marco Rottigni, Chief Technical Security Officer EMEA di Qualys
I responsabili della sicurezza IT dispongono di una quantità di informazioni superiore al passato, ma questo non li aiuta a risolvere i problemi e non consente loro di concentrarsi sulle priorità di business. E’ indispensabile migliorare il consolidamento dei dati, i livelli di prioritizzazione e i processi.
Dati, dati ovunque, ma riusciamo a fermarci a pensare?
In primis è importante verificare le fonti disponibili da cui attingere i dati sugli apparati IT, sul livello di sicurezza e di conformità.
I Responsabili IT che hanno già consolidato i propri processi si affidano a strumenti di IT Asset Management (ITAM) o database di Configuration Management (CMDB), mentre chi si basa su approcci meno formalizzati analizza ancora i dati elaborati in fogli di calcolo e database proprietari. I dati di compliance sono conservati principalmente su fogli di calcolo o documenti, talvolta provenienti da società di revisione o di consulenza.
Alcune organizzazioni utilizzano software specializzati per monitorare la compliance ed eseguire controlli, ma spesso utilizzati da team che non comunicano tra loro. Altre informazioni che occorre considerare sono: abbiamo troppe fonti che si sovrappongono? Riusciamo a consolidare gli insiemi di dati – riducendo se possibile il numero di tool utilizzati per raccoglierli – in un unico ambiente?
Se pensiamo di sincronizzare più fonti di dati insieme, è importante procedere su una base affidabile e coerente, ma se questo risulta difficile – è richiesto un lavoro manuale per ottenere risultati tempestivi – allora potrebbe essere più conveniente ed accurato consolidare strumenti e prodotti ovunque sia possibile.
Dopo aver analizzato la fonte dei dati, serve ragionare su come migliorare l’utilizzo di queste informazioni, mirando al contesto e all’accuratezza dei dati. In questo caso, il contesto implica la fornitura dei dati più appropriati, filtrati per soddisfare un obiettivo o un requisito specifico. L’accuratezza invece implica la fornitura di informazioni aggiornate a quanto sta avvenendo in questo momento piuttosto che rispetto ad un giorno o una settimana fa. E’ altresì importante rivedere i processi per la gestione e l’utilizzo di questi dati su base giornaliera. Ad esempio, quali sono i processi di prioritizzazione e remediation delle superfici vulnerabili oggi? È già in essere un approccio efficace ed efficiente, oppure richiede una maggiore supervisione per assicurare buoni risultati? Ogni organizzazione dovrebbe mirare alla precisione perché la mancanza di dati accurati porta ad un eccesso di informazioni, che devono essere analizzate prima di poterle considerare inutili ed eliminarle.
Secondo uno studio IDC, il tempo medio impiegato per gestire un problema di sicurezza richiede da una a quattro ore per incidente e coinvolge due membri del team SecOps (Fonte: The State of Security Operations). Data la carenza di competenze in materia di sicurezza, il più grande vantaggio aziendale che si ottiene dai dati accurati è l’efficienza operativa. Dati più accurati riducono il numero degli eventi da investigare, permettono al team di approfondire solo gli eventi importanti e di risparmiare tempo prezioso per altri compiti. Le diverse fonti di dati possono poi essere utilizzate in tandem, partendo dalle informazioni Cyber Threat Intelligence per comprendere la nostra esposizione e la relativa sfruttabilità in tempo reale, fino ai dati dell’IT Asset Management (ITAM) che possono dirci cosa abbiamo installato e qual è lo stato di questi apparati. La combinazione di queste due fonti aiuta ad avere coscienza di quando problematiche di security si manifestano nell’organizzazione e dell’urgenza di rimedio o di altre forme di mitigazione.
Pensare fuori dagli schemi
Le considerazioni fatte dovrebbero aiutarci ad adottare un approccio pratico per la gestione degli asset IT su base regolare. Tuttavia, l’IT di oggi è costituito da molti dispositivi e servizi che non sono collegati al nostro network o vengono ospitati e gestiti da terze parti, come ad esempio i servizi dei grandi provider di cloud pubblico, come Amazon o Microsoft. Per ogni piattaforma esterna utilizzata dalla nostra impresa, dovremmo avere la medesima granularità di dati che usiamo internamente, informazioni che poi devono essere centralizzate per consentire di esaminare l’intero contesto.
In aggiunta, maggiore è il numero di servizi IT che sposteremo in cloud, maggiore sarà il volume dei dati – basato sulla scansione continua per le vulnerabilità, sulle modifiche delle risorse IT e sulla implementazione di nuovi dispositivi nel tempo.
Poter gestire tutte queste informazioni è complicato quando si tratta di individuare potenziali problemi, ma diventa essenziale per capire quali elementi sono più importanti per il business. Le informazioni sono importanti anche per identificare risorse e dispositivi critici per il business, assicurandosi che ricevano immediata attenzione in caso di cambiamenti di ambiente. La classificazione di questi aggiornamenti permette al team di prioritizzare gli sforzi. Tali insiemi di dati forniscono anche avvisi quando si manifestano condizioni di rischio per la sicurezza e consentono la rapida individuazione di quelle risorse che necessitano di patch.
La centralizzazione dei dati supporta gli obiettivi di molti team: i team di gestione delle risorse e delle operazioni IT, le divisioni addette alla sicurezza e i professionisti di compliance, richiedono tutti gli stessi dati sulle infrastrutture IT utilizzate all’interno dell’azienda. Le differenze sono legate alla prospettiva e alle azioni da implementare.
Se, ad esempio, pensiamo ad un’istanza del server di cloud virtuale in un account AWS, dovremo installare un agente nella ‘golden image’, che inizierà a raccogliere dati dal momento in cui viene generata qualsiasi nuova immagine del server.
Per il personale IT, l’agente fornirà informazioni preziose sulle risorse che utilizza: dove è collocato geograficamente, quando è stato avviato l’ultima volta, quale software ha installato, quale software proprietario o open source utilizza e quali sono le informazioni di fine supporto legate a questo software.
Al contrario, il team di sicurezza vorrà valutare questi dati dell’agente per verificare ogni nuova vulnerabilità, per rilevare i segni sulla compromissione dei dati e capire se gli exploit sono disponibili per le vulnerabilità rilevate, ricevendo anche informazioni sulla disponibilità di nuove patch da aggiornare. Il team di compliance dovrà invece verificare se il server è conforme al set di controlli inclusi in qualsiasi framework di controllo applicabile, includendo PCI DSS per i dati delle carte di pagamento o dati coperti dalle linee guida GDPR.
Come illustrato in precedenza, è possibile aumentare la consistenza di tutti i processi attivi tramite la creazione di un’unica fonte di verità basata su dati di asset IT, minimizzando lo sforzo richiesto per processare e distribuire questi dati.
Analogamente, questi dati sono molto utili per supportare altri dipartimenti aziendali su temi di sicurezza. Quando pubblicazioni di alto livello condividono storie sugli ultimi attacchi e brecce informatiche, il numero degli interessati di solito aumenta.
Essere in grado di fornire loro informazioni in modo proattivo su tutti problemi può sicuramente contribuire a diffondere fiducia nei piani di sicurezza da noi adottati all’interno dell’organizzazione.
Ampliare l’attenzione ai dati delle risorse IT
La gestione della sicurezza si basa sempre più sui dati. Senza questa consapevolezza, diventa difficile dare priorità ai problemi e garantire che tutte le risorse IT siano sicure. Tuttavia, saper gestire l’intero volume dei dati basato su un’unica ed accurata fonte che ruota attorno agli strumenti IT è un grande problema, soprattutto se non disponiamo degli strumenti adeguati. Tornando all’esempio precedente di un’istanza del server cloud, possiamo evitare un’eccessiva duplicazione del lavoro manuale quando l’IT decide di disattivare un server perché non più necessario. Invece di dover aggiornare una miriade di fogli di calcolo e database tra i diversi team aziendali, con una piattaforma centralizzata si riesce a fare la modifica istantaneamente. Il server viene rimosso dalla dashboard legata alla sicurezza e la conformità migliorerà automaticamente.
In sintesi, riteniamo essenziale centralizzare tutti i dati e ottenere una vista unificata su tutte le risorse IT, indipendentemente dal luogo in cui si trovano e dal momento in cui facciamo una ricerca. Il consolidamento dei dati dovrebbe inoltre facilitare la gestione, l’analisi e la ricerca di informazioni su asset, software e aggiornamenti installati. Avere un quadro dettagliato di tutti gli aggiornamenti necessari per la sicurezza dei nostri dati, ben collegati all’ambiente reale, ci garantisce il perfetto allineamento dei tool IT alle priorità del nostro business.