La threat detection, ossia la capacità di rilevare gli attacchi di sicurezza a reti e sistemi, è tornata a essere un tema d’attualità in seguito ai danni crescenti che ransomware, phishing e altre minacce informatiche stanno provocando alle imprese. Nel rapporto Clusit 2021 sulla sicurezza ICT in Italia si denuncia il salto di qualità fatto dal cybercrime, con un aumento degli attacchi gravi che ha superato la media degli ultimi 10 anni, toccando l’81% del totale.
l ransomware, in particolare (oggi al 67% tra tutti gli attacchi, secondo Clusit), hanno messo più volte in crisi grandi aziende ed enti pubblici, dando testimonianza di uno scenario di rischio che è fortemente peggiorato. L’apertura del perimetro della rete aziendale agli utenti in telelavoro e a un numero crescente di servizi fruiti in cloud ha reso più complesse le attività di monitoraggio ai fini della security e ridotto l’efficacia dei tradizionali sistemi di difesa. La buona notizia è che nel cloud si trovano oggi anche le risorse per difendersi dal cybercrime, in particolare quelle che servono per raccogliere le informazioni d’intelligence a livello globale ed elaborare analiticamente log e altri dati disponibili sulla rete aziendale in modo da rilevare precocemente le minacce e prendere le contromisure. Una sintesi delle funzionalità di Google Cloud Chronicle, di cui ci facciamo spiegare i dettagli da Gianluca Cimino, CSO di DGS: system integrator con ventennale esperienza nella cybersecurity e partner italiano per i servizi di Google Cloud Chronicle.
Le capacità del cloud al servizio della threat detection
Offerto come componente costitutivo del vasto portafoglio servizi di Google Cloud, Chronicle mette a frutto le grandi capacità di raccolta dati e di elaborazione in real-time del cloud Google per raccogliere, normalizzare, analizzare ed estrarre le informazioni che oggi servono per migliorare la sicurezza.
“Chronicle ha le capacità per caricare, aggregare e ricavare informazioni utili per la gestione della security dalla mole di dati di monitoraggio che le aziende spesso hanno, ma che non riescono ad analizzare. – spiega Gianluca Cimino – A tutto ciò, si aggiunge la capacità d’intelligence che la rete globale di Google può avere sulle minacce in circolazione e che ci ha spinto ad essere tra i primi a sperimentare l’efficacia di Chronicle nelle funzioni di threat intelligence, quindi a studiarne le possibili integrazioni con i più comuni apparati di difesa aziendali. Un impegno che si è tradotto per DGS nella creazione di una partnership tecnica e commerciale che ci permette di rafforzare le soluzioni aziendali per la difesa preventiva dagli attacchi alla cybersecurity e disporre di un centro di controllo efficace per la valutazione dei rischi”.
Come funziona Chronicle
Chronicle mette a disposizione vari metodi, tra cui agenti e API, per raccogliere i dati dalla rete aziendale e dai sistemi di difesa SIEM (Security Information and Event Management) già impiegati.
Si avvantaggia della potenza del cloud per normalizzare i dati in un modello unificato che consente di avere piena visibilità su tutte le informazioni relative alle interazioni tra apparati host e reti, con una profondità d’analisi che arriva fino a 12 mesi.
La base dati così creata permette a Chronicle di applicare algoritmi analitici avanzati per trovare correlazioni che sono compatibili con pattern d’attacco già visti o in corso in altre geografie. Questo permette ai team di security di avere un quadro completo della sicurezza aziendale, sia con lo scopo di identificare ed eliminare i falsi positivi, sia per assegnare priorità alle azioni nel caso serva bloccare l’evoluzione di un attacco. Attraverso lo strumento d’orchestrazione dedicato Siemplify, Chronicle può alzare barriere a difesa della rete aziendale con azioni automatizzate, simili a quelle attuate dai security operation center (SOC) nelle situazioni d’emergenza. Nelle realtà aziendali più complesse è possibile sfruttare le capacità di Chronicle attraverso interfacce API sia per integrarle con gli strumenti di gestione già esistenti sia per farle cooperare con software di terze parti. Pur essendo componente di Google Cloud, Chronicle può essere impiegato negli ambienti ibridi di tipo multicloud e, in particolare, con i servizi Microsoft Azure e Office 365.
Gli ambiti d’utilizzo di Chronicle nella difesa aziendale
“La capacità di Chronicle di ricercare correlazioni tra dati di security aiuta a individuare i trend d’attacco e i potenziali bersagli”, spiega Cimino, vantando le capacità del motore di correlazione della piattaforma cloud. “Possiamo paragonare Chronicle a un motore ‘non supervisionato’ – prosegue Cimino – che estrae le informazioni dei dati e riconosce gli attacchi indipendentemente della capacità d’indagine delle persone del team di security, eventualmente condizionabili dalle esperienze precedenti o dai pregiudizi sulle capacità delle difese aziendali. Un aspetto importante per valutare correttamente i rischi laddove agli attaccanti non manchi l’immaginazione per portare a segno le azioni.”
DGS utilizza le capacità di Chronicle per integrare le funzionalità delle altre soluzioni di security del proprio portafoglio (tra queste: AlgoSec, CyberArk, Check Point, Forescout Solutions, Fortinet, F5, Sentinel One) e per ottenere viste unificate e mirate ai ruoli aziendali. I servizi di Chronicle completano le soluzioni di sicurezza che DGS realizza su misura per i propri clienti: grandi realtà del mondo Energy & Utility (per esempio nella protezione delle infrastrutture critiche), Finance, Industry e della Pubblica Amministrazione. Secondo Cimino le funzionalità di Chronicle si prestano inoltre a rafforzare le capacità di threat detection e difesa proattiva anche nelle soluzioni pacchettizzate destinate alle PMI.