La sicurezza informatica aziendale è garantita da soluzione di protezione e difesa che contribuiscono alla prevenzione di un incidente informatico. Tuttavia, introdurre anche elementi di protezione in real-time contribuisce a contrarre i tempi di detection di una effrazione, frode o incidente, che costituisce il fattore cruciale per il maggior contenimento dei danni collaterali ad un attacco informatico e alla conseguente possibile esfiltrazione di dati. Operare in real-time è solitamente collegato a capacità di monitoraggio sia dell’ambiente interno all’azienda, ovvero reti e sistemi informatici, sia dell’ambiente esterno ovvero la rete web, i social, i forum, sia di surface che deep, ma anche il dark web. Ci si riferisce quindi a tutte quelle fonti da cui si possono recuperare informazioni di interesse sulla propria organizzazione.
L’importanza delle segnalazioni in real-time per la sicurezza informatica aziendale
Introdurre tool e strumenti capaci di una protezione continua in tempo reale o di segnalazioni in real-time permette in alcuni casi di contribuire a rendere inoffensive le minacce da subito, senza aspettare il verificarsi di sintomi e problemi sul computer, mentre in altri casi consente di individuare prontamente segnali premonitori di un incidente informatico in modo da contenere i danni. In questo senso la sicurezza informatica aziendale risulta ottimizzata. Infatti, nel primo caso le protezioni in real-time possono operare per il contrasto delle infezioni e quindi giocare un ruolo preventivo alla contaminazione della minaccia. Nel secondo caso invece, rientrano nei sistemi di monitoraggio ai fini della segnalazione di un potenziale problema e della sua analisi approfondita.
Tipicamente nella sicurezza informatica aziendale le soluzioni in real-time per il controllo degli eventi nel perimetro aziendale ricadono nella categoria dei Security Information and Event Management (SIEM). Questi sistemi infatti, effettuano il monitoraggio e la gestione in tempo reale per tutti gli eventi che accadono all'interno della rete e sui vari sistemi di sicurezza, fornendo una correlazione e aggregazione tra essi visibile da una consolle centrale di monitoraggio che segnala warning e in alcuni casi fornisce una risposta automatica. Se si volesse traslare questo concetto al monitoraggio in tempo reale ma all’esterno del perimetro aziendale, allora si dovrebbe ricorrere a sistemi di analisi e correlazione capaci di acquisire informazioni via Open Source Intelligence (OSINT) mediante crawler specializzati e capaci di ricercare e acquisire informazioni secondo dei criteri di ricerca specifici.
In Cyberoo abbiamo specializzato questi moduli nelle componenti Cypeer, CSI e supervisionato il tutto con il servizio I-SOC implementato in una logica di Managed Detection and Response (MDR) che permette di avere a disposizione gli strumenti e le competenze necessari per contrastare i cyber attacchi con la massima efficacia.
La componente Cypeer per la sicurezza informatica aziendale locale
Per quanto Cypeer integri alcune logiche dei SIEM, appartiene ad una classe di strumenti di detection con una visibilità molto più ampia. Di fatto, secondo la definizione di Gartner, Cypeer è un sistema Cross Layered, che agisce come concentratore e correlatore di eventi che avvengono nel perimetro della sicurezza informatica aziendale, ma in maniera più evoluta, perché arricchito da algoritmi di AI basati su Machine learning e anomaly detection che permettono di filtrare e scremare dati meno rilevanti e falsi positivi. Le attività in tempo reale (super visionate dai nostri cyber security specialist) permettono di individuare (detection) e notificare situazioni rischiose per la sicurezza dei dati e dei sistemi IT. Alcune delle fonti di dati più comuni da cui trarre informazioni sono ad esempio Firewalling, URL Filtering, Antispam, Sistemi DHCP e DNS , ma sono possibili integrazioni di ulteriori fonti di dati; fondamentalmente ogni sistema (o layer) che sia in grado di produrre log in serie storica. L’approccio MDR di Cyberoo consente di sfruttare tutte le fonti con la massima efficacia.
La componente CSI per la sicurezza informatica aziendale osservando le fonti aperte
La soluzione CSI fornisce informazioni preziose che contribuiscono alla consapevolezza dei rischi e delle minacce che possono impattare la sicurezza informatica aziendale: minacce indirette solitamente impattanti su vasta scala e minacce dirette che sono specifiche per una azienda. Le minacce non sono solo tecnologiche, ma anche di natura fraudolenta e gli indizi trovati in rete possono contribuire a determinare la conclusione che possa essere avvenuto un incidente informatico prima che altri segnali lo rendano evidente ed esplicito. La soluzione è completamente implementata in “Cloud” localizzato in Italia. I server forniscono servizi virtuali con tutte le proprietà̀ di un sistema ad alta affidabilità̀: backup totali e incrementali, snapshot, recovery functionality, datacenter almeno di livello 3, ecc.
I servizi in real-time di alerting disponibili con il servizio MDR di Cyberoo riguardano ad esempio: Data Breach Detection, Brand Monitoring, Vulnerability Management, Data Leakage Detection, Deep&Dark Web Monitoring e Vip User Protection.
L’I-SOC per il monitoraggio e le segnalazioni in real-time
Tutti i servizi della componente Cypeer e CSI sono coadiuvati dal servizio I-SOC (Intelligence – Security Operation Center) che è composto da cybersecurity specialist, ovvero personale qualificato e specializzato nella cybersecurity. Un team di circa 50 specialisti dislocati fra Italia e sedi estere (volte a favorire le analisi di dati ed informazioni riportate in lingue diverse). La specializzazione copre tre livelli di competenze e verticalizzazioni: ethical hackers, Incident Response Team e specialisti di varie tecnologie.
In questo modo la sicurezza informatica aziendale è tenuta sotto controllo da ogni punto di vista. L’I-SOC si incarica della ricezione delle segnalazioni da parte di Cypeer, e CSI e la conseguente attività̀ di gestione e monitoraggio, senza interruzione operando 24 ore su 24, 7 giorni su 7. Sia Cypeer che CSI sono prodotti che forniscono segnalazioni dettagliate e puntuali, ma l’operato dei tecnici contribuisce ad analisi e gestioni più raffinate di un qualsiasi tool tecnologico, per quanto evoluto. In particolare, questo è vero per l’eliminazione di falsi positivi. Le capacità di monitoraggio in real-time dei tool e gli algoritmi di Intelligenza Artficiale, evitano agli specialisti l’attività di basso profilo del controllo (eliminando di fatto il SOC di primo livello), occupandosi solo dei casi realmente significativi e potenzialmente gravi che superano le soglie di attenzione preconfigurate risultanti dai sistemi stessi. L’I-SOC notifica al Cliente i vari passaggi della segnalazione, agendo di conseguenza (mitigazione o remediation) secondo quanto concordato in fase di contrattualizzazione del servizio MDR.
