Il Cyber Security Monitoring potrebbe essere la risposta digitale alla famosa massima di Sun Tzu che, ne “L’arte della guerra”, scrisse "se conosci il nemico e te stesso, la tua vittoria è sicura". Infatti, se si considera la contrapposizione fra criminali informatici e aziende, come un conflitto, fra chi attacca e chi difende, allora conoscere bene la propria realtà e conoscere il proprio avversario, in modo minuzioso, può costituire un indiscusso vantaggio difensivo. Il Cyber Security Monitoring, usato come sistema continuo di analisi e correlazione, può consentire il riconoscimento di elementi anomali, che normalmente non dovrebbero verificarsi nell’ambiente osservato, l’evidenza di condizioni sospette che possono scatenare l’esigenza di approfondimenti e la segnalazione diretta di allerta.
Per ottenere queste capacità collettivamente indicate come di Early Warning, è necessario saper osservare, saper confrontare e correlare per poi dedurre. Quindi alle funzionalità di raccolta informazioni (crawling), aggregazione, classificazione, è necessario affiancare capacità di apprendimento automatico (machine learning) e di rilevamento delle anomalie (anomaly detection), che rientrano nell’ambito dell’Intelligenza Artificiale. L’obiettivo del Cyber Security Monitoring è intercettare indizi della fase di “reconnaissance”, ovvero la ricognizione iniziale o della fase dei movimenti laterali di un attacco, per consentire gli interventi atti a prevenire la fase di exploitation (che solitamente costituisce la fase finale della catena di attacco, la kill Chain n.d.r.). In quest’ottica, l’attività di monitoraggio si colloca come un elemento fondamentale nei servizi di servizi di security gestiti (Managed Detection and Response o MDR), che permettono di elevare il livello di cyber security nell’azienda.
La suite Cyberoo
Una implementazione del Cyber Security Monitoring completato da algoritmi di A.I. è realizzata dalla Cyber Security Suite di Cyberoo, che nell’implementazione del sistema MDR utilizza due soluzioni: CYPEER e CSI (Cyber Security Intelligence). La prima effettua un Cyber Security Monitoring verso l’interno della realtà aziendale, mentre la seconda effettua il monitoraggio verso l’esterno. Insieme forniscono una vista “a 360 gradi” dello scenario di sicurezza e abilitano quindi interventi di tipo mirato e preventivo sulla propria organizzazione.
CSI effettua attività di Open Source INTelligence (OSINT), raccogliendo e analizzando le informazioni presenti sulle fonti pubbliche o ad accesso ristretto, al fine di fornire una visione delle minacce cyber esterne dell’azienda sotto osservazione. Questa collezione di informazioni accresce la consapevolezza dei rischi e delle minacce specifiche e targettizzate per l’organizzazione soggetta ad analisi, oppure delle minacce di tipo generale, ma pur sempre potenzialmente incombenti. La piattaforma CSI effettua ricerche sulla base di keyword, all’interno di forum, chat, IRC ed altre fonti social; si avvale di Crawler (software che analizzano i contenuti di una rete o di un database in un modo metodico e automatizzato, N.d.R.), che fanno ricerche in rete e su fonti di dati molto specifiche. Normalmente la soluzione CSI è completamente implementata in Cloud (localizzato in Italia), ossia, i server che forniscono i servizi sono virtuali e posizionati in un ambiente ad alta affidabilità̀. CSI è fornita unitamente al servizio di I-SOC (Intelligence - Security Operation Center) composto da cinquanta specialisti e attivo 24x7x365.
Scaturiscono dal Cyber Security Monitoring di CSI una serie di servizi possibili: Data Breach, Domain Checker, Early Warning, File Finder, Deep Analysis & VIP User. Tutti abilitati dal monitoraggio specifico e specialistico che evidenzia un eventuale problema mediante gli indizi rinvenuti dall’analisi. Queste evidenze consentono l’adozione di azioni preventive difensive o di remediation attraverso il sistema MDR.
La seconda componente della suite è il CYPEER, un concentratore e correlatore di eventi che avvengono nel perimetro aziendale, acquisiti mediante Agent. Rappresenta un sistema di analisi Cross Layered, arricchito da algoritmi di AI basati su Machine learning e anomaly detection che permettono di filtrare e scremare dati meno rilevanti e falsi positivi. Questo Cyber Security Monitoring, rivolto verso l’interno del perimetro aziendale, notifica (detection) situazioni rischiose per la sicurezza dei dati e dei sistemi IT (Firewalling, URL Filtering, Antispam, Sistemi DHCP e DNS, integrazioni di ulteriori fonti di dati). Anche la componente CYPEER può essere affiancata dagli operatori dall’I-SOC per interventi di risoluzione.
Benché il Cyber Security Monitoring della componente CSI lavori centralizzata in Cloud, non effettua condivisione dei dati dei singoli clienti. Ogni tenant dedicato, lavora separatamente, ma sa estrapolare informazioni comuni utili all’analisi.
La componente di machine learning e di anomaly detection (regressione lineare per analisi comportamentale, n.d.r.) non necessita di un addestramento iniziale. All’avvio delle attività di Cyber Security Monitoring si sottopone un flusso di dati per tre settimane e la AI apprende gli andamenti su cui valutare le anomalie. Ovviamente nella fase iniziale un team analizza anche manualmente i dati, per capire se la rete o i sistemi siano già compromessi (altrimenti la AI imparerebbe una situazione già compromessa).
Sicurezza della Suite Cyberoo
Tutte le evidenze del Cyber Security Monitoring raccolte ed elaborate sono secretate e disponibili solo agli utenti/sistemi autorizzati alla loro gestione. Ogni accesso alle informazioni è registrato e i log mantenuti secondo la normativa vigente e gli standard di sicurezza sulla materia.
Valore aggiunto della suite Cyberoo
Il valore aggiunto della soluzione CSI consiste nella capacità di indicizzare, aggregare e analizzare l’enorme mole di informazioni reperibili, ponendo l’attenzione solo su quelle informazioni che possano risultare utili. Inoltre, la suite permette una copertura molto ampia di controlli verso l’esterno del web e dark web e verso l’interno dell’azienda osservata. Il prodotto è continuamente esteso con integrazioni verso qualsiasi sistema che esponga API e permetta di acquisirne i log (componente CYPEER). Tutti gli aggiornamenti avvengono mediante una componente di management, che impone aggiornamenti in near real time per sia per gli agent, per le regole di machine learning, gli IOC, il software e l’allarmistica.