Sicurezza

IOC (Indicatori di Compromissione): è una nuova intelligence e migliora le operazioni di enterprise security

I portali di threat intelligence analysis non sono una novità, ma fino a poco tempo fa erano disponibili solo per le elite di specialisti. Oggi finalmente sono a portata di azienda. Gli esperti riassumono le opportunità e i vantaggi di un SIEM di nuova generazione

Pubblicato il 11 Mar 2016

ajedrez-640385-640-160311185734

Oggi i virus fileless e le più gravi minacce alla cybersecurity sono in grado di celarsi all’interno del traffico Internet e delle normali attività online aziendali. Gli IOC (indicatori di compromissione) si perdono nel mare magnum delle migliaia di avvisi generati ogni giorno dagli attacchi di massa di basso livello e dagli eventi sospetti. In realtà, tutte queste segnalazioni si rivelano poi non pericolose, non a caso gli esperti della sicurezza lo chiamano rumore di fondo.

Questo è un problema serio perché, secondo un recente studio, i team di sicurezza aziendale possono gestire solo il 4% delle segnalazioni che ricevono. Inoltre, la stessa minaccia artefatta (ad esempio un e-mail di phishing o un file contenente virus) può essere innocua o pericolosa a seconda che si tratti di un evento isolato o sia parte di un attacco multifase.

Un’intelligence per gli attacchi di ultima generazione

I responsabili della sicurezza aziendale devono determinare quali di queste minacce siano realmente gravi e poi correlarle con altri IOC. Questo processo di analisi può richiedere giorni, ma anche settimane o mesi. I feed di dati sulle minacce, open source o commerciali, forniscono dei flussi di indicatori, utili per fermare gli attacchi di massa. Il problema è che, non fornendo una soluzione al problema della rilevazione di attacchi mirati, spesso peggiorano le cose, moltiplicando il numero di avvisi generati dal sistema SIEM (Security Information and Event Management) e dagli strumenti di monitoraggio, generando più confusione che informazione. I nuovi servizi di intelligence vanno ben oltre la minacce dei feed di dati e forniscono due ulteriori elementi chiave:

  • Un flusso di dati relativi alle minacce che include non solo gli indicatori ma anche una più ampia analisi dei malware a essi legati
  • Un portale di analisi che consente ai responsabili della sicurezza di analizzare gli indicatori e le minacce, osservarne i modelli e identificare gli attacchi complessi

Inoltre, alcuni servizi includono anche un meccanismo per diffondere rapidamente le informazioni sulle minacce confermate agli enforcement point come i firewall e i sistemi di monitoraggio.

I benefici delle analisi più sofisticate

I portali di threat intelligence analysis non sono una novità, ma fino a poco tempo fa erano disponibili solo per specifici gruppi di ricerca, fornitori, società di consulenza per la sicurezza informatica, grandi istituzioni finanziarie o agenzie governative che potevano permettersi di sviluppare e sostenere autonomamente il proprio portale. Questi nuovi servizi di intelligence per la cybersecurity sono basati su questi strumenti collaudati, ma sono disponibili per tutti i team di sicurezza aziendale. In alcuni casi, il fornitore di servizi offre una soluzione one-stop shopping che include non solo il portale di analisi, ma anche flussi di informazioni sulle minacce ottimizzarti e ulteriori integrazioni con i firewall e SIEM. In che modo questi nuovi servizi consentono alle aziende di rilevare e mitigare gli attacchi mirati? Gli esperti segnalano i benefici principali che i sistemi di analisi apportano alla sicurezza IT, aiutando a:

  1. comprendere la priorità delle varie minacce attraverso l’impiego di indicatori che rendono più facile focalizzare l’attenzione sulla tipologia di minacce più rilevanti a seconda dei settori specifici, delle applicazioni software o della tipologia di impresa
  2. identificare immediatamente le informazioni chiave, permettendo agli addetti alla sicurezza di concentrare le risorse investigative sugli elementi giusti grazie ad appositi cruscotti risolti anche nella parte di interaction design
  3. contestualizzare e analizzare le minacce, consentendo ai responsabili della sicurezza IT di correlare e analizzare minacce e indicatori, separando gli attacchi coordinati dagli eventi isolati
  4. intervenire con prontezza tramite una componente automatica di identificazione delle minacce che, tramite gli enforcement point e gli strumenti di monitoraggio permettono di ridurre drasticamente la finestra temporale sfruttabile dai cybercriminali per trovare e rubare informazioni riservate

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 2