Le difficoltà dell’analisi eventi sulla sicurezza IT

Anche tu trovi difficoltà ad avere una visione d’insieme degli eventi sulla sicurezza all’interno della tua rete? Hai notato quant’è diventato complicato eseguire le analisi eventi per risalire alla natura di un attacco o di qualsiasi problema?

Reti e sistemi sono sempre più articolati e ogni giorno hanno a che fare con malware, accessi a siti compromessi, botnet, DDoS, violazioni, applicazioni a rischio e phishing, ognuna di queste con statistiche di crescita impressionanti. Questo fenomeno è ben oltre che il preoccupante, si parla tanto dei Cryptovirus e di cosa fare per proteggerci ma ricordiamoci che il loro funzionamento dietro le quinte presuppone una vasta serie di attacchi con lo scopo di violare reti di server, ma è solo uno di tanti esempi.

Ora mettiamo insieme i pezzi, minacce, applicazioni, utenti, performances … sono molte le informazioni da mettere in correlazione tra loro per capire cosa succede. Quanti eventi dobbiamo correlare per avere la visione generale dello stato della sicurezza della nostra rete? Sono tanti, troppi.

Oggi chi si occupa di sicurezza IT si trova ogni giorno a combattere con questa situazione all’interno di un ciclo che sembra senza fine, evolve la complessità, evolvono le minacce, evolvono i sistemi per affrontarle e via che si riparte, è necessaria attenzione costante e reattività!

Certo, più facile a dirsi che a farsi.

Bene allora se siamo in guerra qual è la nostra postazione di comando? Il tavolo della regia con la mappa del campo di battaglia?

Ecco il problema è questo, la complessità richiede una postazione che ci permetta di avere sia la visione d’insieme che la lente d’ingrandimento su ogni particolare, tramite la quale reperire le informazioni e poter contrattaccare con le nostre strategie.

Tornando direttamente a noi, visto che non siamo in una trincea sottoterra ma in ufficio davanti a un PC, ciò che sarebbe utile alla nostra missione è una consapevolezza efficace, che si traduce in una console di aggregazione degli eventi che sia ben pensata, che rispecchi le esigenze operative di chi ci lavora e non di quelle che un vendor ritenga che possano essere. Con questo non ti sto dicendo di sviluppartelo ma solo che c’è vendor e vendor, ognuno con una sua capacità e sensibilità nell’interpretare i feedback del mercato.

Vi chiederete se un prodotto del genere esiste …. ne abbiamo visti alcuni di SIEM, ma ce ne sono per tutti i gusti. Di base è comunque necessario avere un log molto dettagliato, non c’è SIEM che tenga se il log è scarno. Per la scelta di questa console invece consiglio di effettuare delle trial, almeno, ma almeno di un mese ciascuna. Addirittura alcune non si limitano ad aggregare gli eventi e a presentarli in bellissime forme grafiche o ad eseguire reportistiche estremamente personalizzate, ma possono essere pre-istruite per automatizzare contromisure specifiche sul firewall al presentarsi di una condizione o evento specifico.

Porrei molto l’attenzione su questo ultimo aspetto a causa del grande numero di eventi con il quale abbiamo a che fare, in quanto risulta molto dispendioso in termini di tempo attivare le contromisure manualmente.     

Avere una console centralizzata sulla quale analizzare gli eventi sulla sicurezza senza dubbio facilita notevolmente il lavoro di sistemisti e amministratori di rete. Infatti ciò che prima era fruibile solamente su strumenti ed interfacce separate, ora grazie ai SIEM è disponibile in un’unica console, sulla quale consultare informazioni ed eventi relativi ad ogni apparato di rete, client o device.

In generale è possibile disporre di tutto ciò che vogliamo sapere su firewall, IPS e application control, unitamente agli eventi degli antivirus a bordo di client e server. La cosa è tutt’altro che banale ma piuttosto di grande utilità, chi ogni giorno ha a che fare con l’analisi di eventi può facilmente capirne il valore, perché facilitano notevolmente sia i tempi che la qualità di questa attività.

In questa guida abbiamo dedicato un intero capitolo proprio a questo argomento, oltretutto, puoi trovare le opnioni di oltre 3.000 IT Manager, che abbiamo raccolto per costruire la classifica dei "Top 10 rischi sulla sicurezza informatica per il 2016" e completate con molti consigli utili sulle contromisure da attuare.