Evoluzione del Security Operation Center: intervista a Bernardino Grignaffini

Grignaffini2
Bernardino Grignaffini, Amministratore Delegato Certego

Le tematiche caratterizzanti la cybersecurity sono in continua evoluzione, nel corso degli anni sono mutati dunque gli scenari e di pari passo ci si è trovati dinanzi a differenti rischi e opportunità. Ciò vale sia per chi si propone di attaccare la sicurezza delle informazioni come che per chi accetta la sfida di difendere questa stessa sicurezza. In questo contesto e con un’analisi retrospettiva possono essere identificate differenti generazioni di Security Operations Center, parliamo di questa evoluzione con Bernardino Grignaffini, laurea in Fisica cum laude, lunga esperienza nel settore della sicurezza informatica e oggi Amministratore Delegato di Certego, azienda specializzata in Security Incident Response e Threat Intelligence.

Nella situazione attuale i confini della rete da difendere sono sempre più sfumati e addirittura inesistenti. In pratica chi si occupa di sicurezza deve operare ed attendersi di interagire con strumenti e attacchi dal cloud, all’interno del cloud e attraverso il cloud.

Chris Triolo, quando era VP di HPE ESP, si esprimeva così: “Dobbiamo andare dove ci conducono i dati e crediamo che la definizione di “security operations” vada ampliata per sfruttare i modelli di “analytics”, data science, Big Data e shared intelligence per divenire più efficaci nella protezione dell’azienda digitale di oggi”.

Quanto è grande l’impatto del cloud, sia come superficie di attacco che come strumento abilitatore, per il tuo SOC? Credi negli strumenti quali l’analisi dei “Big Data” la data science come alleato nel tuo lavoro quotidiano?

L’adozione del cloud è un processo di cambiamento progressivo e inevitabile che impatta fortemente sulla sicurezza informatica. Tralasciando le evidenti differenze che caratterizzano le diverse tipologie di Cloud (SaaS, IaaS, PaaS), possiamo affermare che l’aspetto più critico di questo cambiamento risieda nella perdita di alcuni controlli di sicurezza ed in particolare del controllo degli accessi che tipicamente vengono permessi a prescindere dalla locazione fisica e dalle caratteristiche del client. Questa condizione è in generale accompagnata da una carenza di log di accesso che deve essere in qualche modo sopperita per consentire al SOC di applicare regole di correlazione e di Anomaly Detection finalizzate al rilevamento di accessi sospetti. Anche le funzioni di Incident Response risultano condizionate dall’adozione del Cloud, richiedendo pertanto una pianificazione specifica. Sicuramente anche la Cybersecurity può trarre informazioni utili dai concetti di Big Data ma spesso è preferibile parlare di Smart Data. Attraverso i dati di Threat Intelligence è possibile comprendere quali siano i principali indicatori di compromissione (IoC) e concentrare la raccolta dei dati in modo specifico su questi indicatori (i.e. Smart Data).

Un altro ambito che può contribuire a rendere maggiormente efficiente un SOC è l’automazione: automatizzare il più possibile alcuni processi può eliminare alcuni “colli di bottiglia” in fase di classificazione ed eventualmente di escalation. Esistono sul mercato strumenti efficaci che permettono di automatizzare alcune fasi successive alla detection di un incidente di sicurezza?

Sono ormai disponibili sul mercato diversi strumenti in grado di fornire funzioni di orchestration per il supporto alle principali funzioni dei SOC. In tal senso, risulta determinante la possibilità di rendere automatiche il maggior numero possibile di funzioni ripetitive. Come sempre, tuttavia, è necessario identificare prima il processo da automatizzare e quindi adottare lo strumento informatico in grado di fornire il miglior livello di automazione. Riteniamo comunque che la capacità di giudizio e l’esperienza degli analisti non siano attualmente sostituibili da soluzioni software, per quanto evolute possano risultare.

Nel corso degli anni il panorama dell’information security si è modificato in maniera importante, sia dalla parte dei “buoni” che dei “cattivi”. Qual è la tua visione sull’evoluzione delle minacce e degli attacchi durante questi ultimi anni?

Negli ultimi anni si è verificato un consolidamento del Cybercrime che si è di fatto organizzato in strutture altamente specializzate ed integrate tra loro. Questo fenomeno è stato anche determinato da una progressiva colonizzazione del Cybercrime da parte della criminalità tradizionale che vede in questa area la possibilità di guadagni significativi e condizioni di basso rischio. Il Cybercrime è oggi a tutti gli effetti una economia organizzata che si basa su regole di riduzione dei costi e massimizzazione dei ricavi. Ciò implica che la capacità di monetizzare un attacco ne determina la sua diffusione, così come la convenienza di un vettore di infezione rispetto ad un altro (i.e. Spam vs Exploit Kit).

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here