Real time monitoring è una delle parole chiave nel mondo della sicurezza informatica oggi. Il motivo? Secondo tutte le società di sicurezza, uno dei problemi attuali nella cyber-security riguarda la capacità delle aziende di individuare tempestivamente una violazione dei sistemi. A dirlo sono le statistiche basate sulle analisi forensi degli attacchi subiti negli scorsi anni. Spesso gli amministratori IT riescono a individuare le violazioni solo dopo settimane o addirittura mesi dal primo attacco, un periodo di tempo in cui i pirati informatici hanno tutto il tempo di muoversi all’interno delle infrastrutture e fare quello che vogliono. Per arginare quella che sta diventando una vera e propria emergenza, anche alla luce dei rischi delle sanzioni collegate al GDPR, serve l’adozione di un approccio diverso ispirato al real time monitoring.
Cosa vuol dire real time monitoring nella sicurezza
Il concetto di real time monitoring, nella pratica, prevede di mettere in campo un sistema in grado di tenere sotto controllo le infrastrutture informatiche per analizzare costantemente il loro funzionamento e rilevare tempestivamente eventuali anomalie. Gli strumenti principali per effettuare controlli di questo genere è il SIEM (Security Information and Event Management), che consente di registrare tutti gli eventi di sicurezza all’interno della rete, e un SOC (interno o esterno) che permetta di analizzare i log registrati dal sistema e approfondire le eventuali “red flag” che emergono. Il controllo, però, non si limita alle applicazioni o ai servizi, ma anche degli utenti. L’analisi dello user behaviour, affidato a sistemi di intelligenza artificiale, consente infatti di individuare immediatamente comportamenti anomali (per esempio un collegamento al di fuori degli usuali orari o da una posizione geografica insolita) che possono rappresentare un indizio di compromissione. In definitiva, questa costante attività di monitoraggio permette di individuare rapidamente i sintomi di compromissione dei sistemi e, unita a un’indispensabile attività di intelligence, consente di ridurre i tempi necessari per rilevare un attacco, rispondere in maniera adeguata e, in definitiva, proteggere i dati sensibili dell’azienda.
Dal real time monitoring alla sicurezza preventiva
Se il controllo attraverso un’attività di real time monitoring è indispensabile per garantire un livello di protezione adeguato, questo non significa che si debba trascurare l’aspetto della prevenzione. Anzi: la declinazione della prevenzione nella prospettiva della cyber-security “moderna” è da intendersi come un processo ispirato alla stessa logica di controllo in tempo reale. Sotto questo profilo, la scansione continua dei sistemi per il rilevamento di vulnerabilità conosciute rappresenta la garanzia di ridurre al minimo la superficie di attacco a disposizione di un eventuale pirata informatico e massimizzare il livello di sicurezza dei sistemi. La mappatura di eventuali falle di sicurezza consente infatti di agire sia attraverso la pianificazione delle patch indispensabili per correggere i bug rilevati, sia per predisporre controlli mirati in grado di individuare eventuali tentativi di sfruttare una specifica vulnerabilità all’interno della “finestra” compresa tra la scoperta del bug e la sua correzione.
Sicurezza e real time monitoring dall'inizio: pianificare la rete
L’impostazione secondo la logica del real time monitoring, per sua natura, richiede un prerequisito: la trasparenza. L’adozione di un sistema SIEM, di per sé, non è infatti sufficiente. Affinché il SIEM sia efficace, serve che l’intera architettura di rete e dei sistemi garantisca la massima trasparenza. In altre parole: è bene tenere presente che si può analizzare (e quindi proteggere) solo ciò che si vede. In quest’ottica, il tema della cyber security si intreccia con quello della pianificazione e progettazione dei sistemi informativi, che devono essere scelti anche sulla base delle loro caratteristiche e, in particolare, sulla base della compatibilità dei servizi cloud con i sistemi SIEM utilizzati e sulla possibilità di esportare i log per analizzarne il funzionamento in tempo reale.
