Le tradizionali applicazioni per la sicurezza fanno affidamento su regole e soglie per reagire alle violazioni attraverso strumenti per la gestione degli eventi di sicurezza (SIEM) e per la prevenzione della perdita di dati (DLP) oltre che sul confronto con scenari noti per individuare specifici problemi legati al malware.
Questo approccio, tuttavia, risulta spesso inefficace quando ci si deve proteggere dalle minacce di nuovo tipo o provenienti dall’interno. Il responsabile aziendale della sicurezza si trova, quindi, a dover rispondere a un’annosa domanda: in che modo è possibile identificare una minaccia interna?
Un esempio concreto
Le attività correlate alle minacce interne sono camuffate come comportamenti che, se rimossi dal contesto, possono apparire perfettamente leciti.
Evidenze di rischio potrebbero essere molteplici: un utente o un sistema che opera a mezzanotte, un accesso a dati sulla strategia corporate, il fatto che due server si colleghino via http, un cmd.exe lanciato su una workstation e così via. Ma ognuna di queste attività, in realtà, è completamente lecita ed evidenziarla come rischio causerebbe un’enormità di falsi positivi.
Un utente che lavora a un orario insolito, di per sé, non è indice di un possibile illecito, anche se lo specifico utente non è solito farlo. Se, tuttavia, a questa attività, se ne affiancano altre: per esempio, la connessione avviene tramite VPN dalla Cina, l’utente accede a cartelle e dati a cui solitamente non accede o sposta un numero di dati significativamente più grande del normale allora il livello di rischio associato all’aggregazione di questi comportamenti diventa elevato e meritevole di essere segnalato.
Questo significa che non è possibile distinguere comportamenti leciti da quelli illeciti semplicemente cercando la corrispondenza con uno schema noto oppure con la “signature” di un codice dannoso. Serve un approccio differente che sia capace di distinguere tra ciò che è normale e ciò che non lo e, nel contempo, in grado di adattarsi costantemente ai nuovi paradigmi di normalità che cambiano col tempo.
In altre parole, è necessario introdurre nel processo di ricerca delle minacce un livello di analytics basato su tecnologie di machine learning.
Concentrarsi sugli eventi davvero importanti
Uno dei miti da sfatare nella sicurezza è che disporre di un numero più grande possibile di sorgenti di dati sia sempre un vantaggio. I log della sicurezza sono ormai Big Data in cui i CISO annegano e disperdono le proprie energie. L’eccesso di dati determina problemi nella normalizzazione, rende più difficile l’identificazione delle reali minacce e oscura i rischi rilevanti.
Altrettanto fuorviante è inseguire l’idea che una soluzione di analytics non possa fornire indicazioni affidabili se non analizza ogni evento.
Un modello più efficace è quello di spostarsi da una focalizzazione sulla quantità di dati raccolti in favore della loro qualità. Questo è l’approccio seguito da ArcSight Intelligence, la soluzione sviluppata da CyberRes, la business unit di Micro Focus dedicata alle soluzioni software per abilitare la cyber resilienza.
ArcSight Intelligence è la soluzione integrata con la famiglia di soluzioni ArcSight per il rilevamento delle minacce, che sfrutta la tecnologia Interset di machine learning non supervisionato per definire in modo autonomo e continuo modelli di comportamento normale specifici per ogni utente e sistema e fornire indicazioni di rischio sulla base dall’individuazione di anomalie.
L’obiettivo di ArcSight Intelligence è di ridurre enormemente lo sforzo richiesto per identificare le reali situazioni di rischio e di ricondurre miliardi di eventi a una manciata di indicazioni di alta affidabilità sulle minacce.
“Per rendere più efficiente ed efficace il processo di protezione è essenziale aver sempre presente gli “use case” che sono rilevanti per la propria attività – spiega Pierpaolo Alì, Director Southern Europe, Russia, CIS, CEE & Israel di CyberRes –. Questo permette di comprendere quali sono le sorgenti da monitorare e il tipo di dati che servono per ottenere un’analisi efficace. A tal fine le soluzioni ArcSight fanno affidamento sul framework Mitre Att&ck, che mette a disposizione metodologie consolidate e tecniche di difesa estrapolate da casi reali.”
Un punteggio di rischio basato su un’analisi intelligente
Il processo di analisi sviluppato da CyberRes con le soluzioni ArcSight prevede una serie di connettori che permettono di mettere a fattor comune tutte le tipologie di dispositivi e acquisirne i log.
Gli eventi di sicurezza raccolti vengono inviati a ArcSight Intelligence che provvede, innanzitutto, a normalizzarli rendendo omogenei i formati delle diverse entità e arricchendo alcuni campi con informazioni aggiuntive che migliorano il processo successivo di analytics.
A questo punto interviene la fase di analytics con l’uso di tecnologie di Machine Learning non supervisionato per creare le relazioni tra diverse entità, individuare le anomalie di comportamento e assegnare a ogni specifico evento un punteggio del livello di anomalia.
Il processo si conclude all’interno del motore di rischio dove le informazioni sulle anomalie vengono aggregate e viene prodotto un punteggio di rischio da 0 a 100 assegnato alla serie concatenata di eventi che caratterizzano lo specifico comportamento di un utente o un sistema.