Come funziona il SOC di Axitea tra intelligenza artificiale, SOAR e sicurezza fisica
di Riccardo Robecchi pubblicata il 09 Gennaio 2023, alle 16:31 nel canale SecurityAxitea è in una posizione unica, in quanto fornitore di servizi di sicurezza sia digitale, sia fisica. Ne abbiamo parlato con Andrea Lambiase per capire come funziona il SOC, il centro di monitoraggio e risposta dell'azienda
Le minacce informatiche sono in continua crescita e affrontarle da sé è sempre più difficile per le aziende. Per questo sono nati i SOC, acronimo di "Security Operations Centre", che aiutano le aziende a tenere sotto controllo le proprie infrastrutture informatiche in maniera più efficace. Tra i servizi offerti da Axitea, azienda attiva sia nella cybersicurezza che nella sicurezza fisica, c'è proprio anche la messa a disposizione di un SOC che, orchestrando e automatizzando la risposta agli attacchi, protegge con maggiore efficacia i propri clienti. Ne abbiamo parlato con Andrea Lambiase, Chief Digital Strategy & Innovation Officer.
La sicurezza è sempre più un servizio
Lambiase (in foto): "La sicurezza cyber ha a che fare con asset immateriali, ma in senso generale sta convergendo verso modelli di servitizzazione digitale,ovvero di trasformazione di prodotti e piattaforme specializzate in servizi digitali", ci dice Lambiase. "L’utilizzo del paradigma digitale nell’erogazione di servizi di cyber security sembra quasi scontato, fin quando non andiamo a elencare quali sono le caratteristiche di un servizio digitale, perché solo a quel punto ci si rende conto che attualmente non è esattamente questo il paradigma di riferimento della maggior parte dei service provider di settore. Una delle caratteristiche dei servizi digitali, ad esempio, è l'iperconvergenza, la capacità di integrare sorgenti e piattaforme in processi standard capaci di alimentare un’unica dashboard di controllo e gestione degli eventi, ma c'è anche il tema dell'esperienza dell’utente, quello dell'automazione, quello della misurabilità e del co-design. Se ci fermiamo a questi cinque aspetti, capiamo quanto è importante oggi gestire un servizio complesso di cybersicurezza, e non necessariamente come fornitore esterno, ma anche come centro di competenza che eroga i propri servizi a clienti interni. Certamente è necessario dotarsi di strumenti e competenze che rendano possibile tutto questo. In particolare, per quanto riguarda i servizi di cyber security, avere una piattaforma di orchestrazione evoluta (SOAR) significa, di fatto, cogliere tutte le opportunità e le possibilità offerte da un servizio digitale."
Edge9: Come funziona il SOC di Axitea e a quali fonti si affida per rilevare le minacce?
Lambiase: "Il SOC di Axitea è strutturato su due livelli più uno: un primo livello è il primo touchpoint di gestione dell'evento cyber, un secondo livello ha il ruolo più di analisi e risposta agli incidenti; il livello in più è la parte di adversarial security, ovvero la parte di DVA, di testing in laboratorio degli schemi d'attacco, di bug bounting, di gestione e capacità di scoperta di nuovi schemi d'attacco per il mercato italiano. La novità, e la differenza introdotta dal SOAR, è il fatto che gli analisti non lavorano più a silos: utilizzano una sola dashboard per il monitoraggio degli incidenti e delle modalità standardizzate, o playbook come si dice in gergo, di risposta agli incidenti che sono collegate all'evento stesso e non alla piattaforma di riferimento."
"Il SOAR è un layer intermedio che integra una serie di piattaforme con cui noi gestiamo gli eventi e la risposta, ovvero il SIEM, le tecnologie e piattaforme EDR, le tecnologie di Network Security, , quelle deputate alla mitigazione dei rischi di attacchi via email,le tecnologie di riferimento per l’esecuzione di Vulnerability Assessment e Penetration Test.. Si tratta di soluzioni best of breed in quanto Axitea ha fatto la scelta di operare come system integrator: riteniamo che nell'ambito della cybersicurezza le soluzioni di mercato siano già molto mature e scalabili. Il valore aggiunto risiede nella capacità del System Integrator di creare soluzioni e architetture di gestione della sicurezza dimensionate per il perimetro di riferimento e naturalmente efficaci nella prevenzione, nel monitoraggio e nella response agli attacchi. Ognuna delle piattaforme sopra menzionate genera eventi di natura diversa, ma correlabili tra loro. Nell'approccio a silos che è ancora tipico di tanti SOC, il SIEM rileva e correla un certo tipo di eventi, l'EDR rileva e correla un altro tipo di eventi e la soluzione di sicurezza di rete rileva altri eventi ancora. Una correlazione di secondo livello non viene fatta e neppure – conseguentemente – un arricchimento della library di threat intelligence che metta insieme tutti gli eventi rilevati per affinare la risposta. In più, dal punto di vista dell’ergonomia del servizio, ogni piattaforma ha una propria dashboard di controllo: questa caratteristica costringe molti provider a organizzare le competenze per silo tecnologico o a gestire gli eventi su più dashboard e più schermi, con evidenti inefficienze in entrambe le opzioni."
"Il SOAR viceversa consente di fare quello che in gergo si chiama enrichment: si prendono gli eventi da qualunque sorgente collegata e li si correla in modo integrato non solo per uno specifico cliente, ma per tutti. Questo è importante perché anche i clienti che hanno un'infrastruttura più elementare e, quindi, hanno un livello di rischio più basso rispetto ai clienti più grandi, godono di quell'arricchimento delle informazioni che ci consente di gestirli esattamente come i grandi. La tecnologia agisce quindi come un integratore che consente di fare threat intelligence integrata e abilita l’automazione nella risposta agli eventi. In questo caso la differenza è che nei software tradizionali, ogni piattaforma ha delle modalità di risposta differenti correlate al sottoinsieme di eventi che gestisce, in alcuni casi l’intervento dell’operatore è più massivo che in altri e di conseguenza si genera una sovrapposizione di procedure e modalità di response che impattano l’efficacia nella risoluzione di un incidente, in particolare se consideriamo attacchi complessi che vanno ad avere un impatto su più componenti dell'infrastruttura. Il servizio di Axitea invece, da una parte automatizza la risposta in maniera integrata: dato un evento A, si risponde nel modo B; dall’altra,, integra in modalità “one-dashboard” la gestione dell'evento, uniformando anche le competenze necessarie per la risposta: tutti gli operatori visualizzano la medesima dashboard gestendo gli eventi su playbook standard, abilitando, grazie alla scalabilità della soluzione e il conseguente risparmio di risorse, di far evolvere su task complessi competenze e professionalità più strategiche all’interno della struttura."
La collaborazione e la trasparenza come valori aggiunti della strategia di sicurezza
"L'altro tema è quello della co-progettazione. I SOC tradizionalmente sono strutture chiuse a chiave in cui gli analisti, lavorano con procedure e modalità di gestione degli eventi con relativa scarsa trasparenza nei confronti degli utenti finali. Ad esempio, molti provider segnalano ai propri interlocutori soltanto gli incidenti, non tutte le attività svolte dal SOC sui loro sistemi e infrastrutture: il che evidentemente restituisce solo parzialmente l’effettiva dimensione e complessità delle attività routinarie svolte per conto di un cliente interno o esterno. Abbiamo pensato che per i clienti dotati di strutture interne di gestione della cyber security, fosse importante sviluppare delle forme di co-progettazione delle procedure di risposta agli eventi, costruite ad hoc sulle loro necessità e di cogestione degli incidenti. Nel primo caso, come già accennato, si tratta di collaborare con l’utente finale nella personalizzazione dei playbook (delle procedure automatizzate) di risposta agli eventi. A parità di attacco, infatti, l’efficacia nella risposta dipende dalla capacità di un service provider di adeguare la stessa all’organizzazione, alle dimensioni e alle caratteristiche generali del target dell’attacco. Maggiore sarà la coerenza tra playbook e organizzazione aziendale, maggiore potrà essere l’efficacia e la tempestività nella gestione di un incidente o di un attacco.
"Per noi oggi una delle figure più importanti del SOC è proprio il playbook designer, ovvero colui che sa adattare il playbook di risposta a un'esigenza specifica del cliente senza perdere di efficacia. Abbiamo spazi di collaborazione digitali con i quali effettuiamo questa parte di co-progettazione e, per una questione di trasparenza, mettiamo sempre a disposizione dei nostri clienti i log relativi alle attività che abbiamo fatto sui loro sistemi. Anche questo è un tema innovativo, perché le attività di gestione ordinaria vengono considerate non condivisibili con il cliente, ma per noi è invece importante farlo e stiamo pensando di certificare queste attività dei nostri operatori con una soluzione di blockchain, in modo che una terza parte le certifichi effettivamente."
Edge9: È possibile avere un esempio di attività co-progettata?
Lambiase: "Ogni cliente può avere l'esigenza di essere coinvolto nella gestione di un evento in momenti diversi: alcuni lasciano la possibilità di isolare la macchina nel caso ci sia un attacco, mentre altri vogliono essere avvisati perché hanno un dipartimento IT particolarmente attento alle attività svolte. Isolare una macchina è un'attività molto routinaria, ma rende bene l'idea di cosa voglia dire poi co-progettazione quando si tratta di attività più complesse. Con alcuni clienti immaginiamo un coinvolgimento che è uno-due fasi successive all'isolamento della macchina, mentre con altri clienti c'è l'apertura di un ticket in maniera automatica e, in mancanza di risposta entro 20 minuti, avviene l'isolamento della macchina. Un altro esempio riguarda l'etichettatura delle informazioni: ci sono clienti che hanno esigenze di protezione dei dati più stringenti, per cui considerano critici sottoinsiemi di dati che altre aziende non considerano tali; poiché alcuni dei playbook si attivano in funzione della criticità dei dati sotto attacco, poter intervenire etichettando i dati in maniera diversa aiuta a incontrare meglio le esigenze del singolo cliente."
L'intelligenza artificiale tra sicurezza informatica e fisica
Edge9: sempre più spesso si sente che non è possibile fare a meno dell'intelligenza artificiale per rispondere agli attacchi. Qual è la posizione in merito di Axitea?
Lambiase: "Le nostre tecnologie utilizzano metodiche di machine learning che consentono di fare follow up in automatico sui playbook di risposta, quindi la piattaforma auto-impara sulla base della gestione degli eventi, elimina le efficienze di processo, le ripetizioni nel flusso di lavoro e fornisce suggerimenti agli analisti sull'etichettatura dei dati e la tassonomia degli incidenti. La nostra piattaforma di scansione e sicurezza della rete sfrutta il machine learning per apprendere i comportamenti degli utenti sulla rete e, fare poi fine tuning degli eventi. Crediamo molto nell'uso dell'IA perché le macchine sono sempre più sapienti e non solo intelligenti, quindi sostanzialmente capaci di apprendere in modo molto più strutturato rispetto al passato, acquisendo una crescente capacità di analisi e di restituzione di risultati con percentuali molto basse di falsi positivi. L’utilizzo di metodiche di automazione nella detection e nella response agli attacchi cyber è tanto più efficace quanto più si considera che la maggior parte degli attacchi non è zero-day, ma seguono pattern già noti e ampiamente registrati nei database di threat intelligence. Di conseguenza, almeno nel caso dei nostri servizi, ampiamente coperti dai nostri playbook di rilevazione e risposta. Come già accennato, di conseguenza, l’automazione nella response aumenta l’efficacia nella gestione degli incidenti, il tempo di risoluzione e abilita la possibilità di impiegare parte del tempo dei nostri professionisti per compiti più strutturati e di impatto (offensive security, bug bounty, testi di nuove tecnologie ecc..)."
Edge9: A chi si rivolgono i servizi di cybersicurezza gestita di Axitea?
Lambiase: "Abbiamo clienti con 10 endpoint e clienti con 2.000 endpoint. Il SOAR è una tecnologia che rende possibili al massimo potenziale la scalabilità, cioè la possibilità di poter gestire, a parità di costi e senza incidere sui benefici, entrambe le tipologie di clienti citate. Crediamo dunque che il problema della cybersicurezza sia trasversale e che vada gestito in maniera trasversale, ma con efficacia, efficienza, capacità di tenere i costi e i benefici in equilibrio, e integrazione. I nostri servizi producono lo stesso valore e sono erogati con la stessa qualità sia per i grandi, sia per i piccoli clienti: questa è la nostra visione ed è la stella polare intorno alla quale costruiamo e miglioriamo giorno per giorno i nostri processi."
Edge9: Axitea si occupa non solo di sicurezza informatica, ma anche di sicurezza fisica. In che modo l'una influenza l'altra?
Lambiase: "La sicurezza fisica era fino a non più di qualche anni fa, nelle premesse e riducendo il servizio all'essenziale, esattamente quella iconica di film quali 'Ladri di biciclette' di De Sica: come in quei film in bianco e nero c'erano i vigilanti che andavano in giro in bicicletta o con le macchine di servizio. Negli ultimi anni il settore ha attraversato una fase di sviluppo incredibile, proprio perché sono servizi attraversati in pieno dalla trasformazione digitale, sia dal punto di vista delle esigenze del cliente finale, sia da quello delle esigenze interne. Per noi è un'occasione importante avere centrali operative che gestiscono sia la parte fisica sia quella informatica, perché siamo tra i pochi che possono sperimentare la convergenza. 'Convergenza' che non va intesa come correlazioni di eventi fisici ed eventi cyber, ma nelle modalità di gestione dell'evento."
"Mi spiego meglio. Il tema della videosorveglianza ad esempio è un buon esempio di convergenza: oggi non avviene più tramite un operatore che guarda uno schermo e controlla quando c'è un allarme, ma andando ad analizzare gli oggetti nella scena tramite un'applicazione di intelligenza artificiale che trasforma l'immagine in metadato. Questo significa che anche in questo mondo i servizi stanno diventando digitali: oggi è tutta la sicurezza a essere erogata come servizio digitale e lo sarà sempre di più. Per noi gestire queste cose in modo progressivamente convergente è un'opportunità importantissima di crescita e di miglioramento nella qualità dei servizi per i nostri clienti."
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".