Il Servizio Sistema Informativo Informatico (SSII) della Regione Emilia Romagna si occupa della gestione dell’informatica interna all’Ente, gestendo l’infrastruttura di rete interna, le postazioni di lavoro, i dispositivi mobili, il CED (dall’hardware fino al middleware) e la progettazione e lo sviluppo delle applicazioni rivolte all’interno dell’Ente.
La sicurezza informatica è presidiata sia dal punto di vista organizzativo che tecnologico: il SSII definisce le policy di sicurezza, si occupa del monitoraggio, delle verifiche e della gestione operativa in ambito security. Il contesto è quello di un CED con 5.000 postazioni lavoro, 700 server, 800 apparati di rete, 250 amministratori e qualche centinaio di applicazioni web, quindi una realtà piuttosto complessa, che eroga servizi sia all’interno della Regione, sia per alcuni aspetti anche a realtà esterne (ASL, agenzie regionali).
Qual è il punto di partenza del continuous monitoring
La sicurezza informatica, soprattutto per quanto concerne il rispetto della normativa, rientra tra le priorità del’SSII. È questo il motivo per la direzione ha ritenuto che la pubblicazione del decreto sulla privacy potesse essere l’occasione per potenziare questo aspetto, sviluppando una soluzione di sicurezza IT più ampia, finalizzata a migliorare la cybersecurity interna.
Con la pubblicazione del provvedimento del Garante sugli amministratori di sistema, il Servizio Sistema Informativo Informatico si è quindi dotato di un SIEM e ha predisposto un sistema di log management per il controllo degli accessi degli amministratori di sistema (azione più ampia rispetto a quanto richiesto dallo stesso provvedimento, che chiedeva di tracciare gli accessi degli amministratori di sistemi e di conservarlo per un certo periodo di tempo in modalità sicura). Queste attività hanno fatto sì che i responsabili della struttura si rendessero conto di avere potenzialmente a disposizione informazioni di una certa rilevanza che avrebbero permesso loro di monitorare in maniera più efficace e continua la sicurezza IT.
Come gestire un numero potenzialmente infinito di eventi
In questo contesto le sfide principali erano due: estrarre le informazioni utili dal rumore di fondo – il patrimonio informativo rilevante, infatti, era nascosto in un Mare Magnun di dati inutili – e riuscire a farlo a fronte di un numero di risorse limitato. Si trattava di gestire un numero potenzialmente infinito di eventi con risorse finite. Il sistema informativo eterogeneo dell’Ente presenta circa 700 server, il tutto viene raccolto attraverso 32 connettori (meccanismi messi a disposizione dalla tecnologia SIEM) per una mole di eventi che negli ultimi tre anni si è assestata su una media di circa 1500 EPS (event per second), ovvero 135 milioni di eventi al giorno (poco meno di un miliardo di eventi a settimana). Le best practice applicabili al processo di continuous monitoring degli eventi di sicurezza prese in considerazione dai responsabili del progetto in questo frangente sono state la Special Publication 800-92 del NIST Guide to Computer Security Log Management (pubblicazione che stabilisce le linee guida e per la raccolta, la protezione e la conservazione sicura dei dati di log), il Critical Security Controls (CSC) 6 (Maintenance, Monitoring, and Analysis of Audit Logs) e il CSC19 (Incident Response and Management) del Sans Institute.
Le best practice in due fasi
L’approccio seguito dal Servizio Sistema Informativo Informatico ha previsto l’avvio di un progetto pilota, la conseguente verifica dei risultati con l’apporto di correzioni e, infine, la standardizzazione delle procedure. I parametri di valutazione degli oggetti e degli eventi utilizzati per filtrare e razionalizzare il miliardo di eventi raccolti ogni settimana sono suddivisibili in due differenti set:
- trovare un criterio interno legato a quella che è l’importanza degli asset, ovvero le criticità (con i parametri business role e privacy/sensibilità dei dati)
- tidentificare un termine di raffronto legato alla tecnologia, ovvero la priorità (i cui tre parametri considerati sono: convidence, rilevance e severity)
Al termine del processo di nromalizzazione si ottengono tra i 50 e i 100 eventi da analizzare a settimana. Conoscere quanto accade nei punti chiave della rete aziendale permette l’avvio di notifiche tempestive nel caso di deviazioni anomale che potrebbero rappresentare le avvisaglie di eventuali attacchi. Le contromisure adottate sono state:
- blocco di netblock ostili a livello di border router
- verifica delle vulnerabilità e loro rimozione
- tuning degli apparati di sicurezza (IPS, Firewell e SIEM), onde evitare segnalazioni per fasli positivi
“La soluzione – ha commentato Fabio Bucciarelli, responsabile sicurezza informatica Regione Emilia Romagna – ci permette di essere oggi più efficaci, più veloci e meglio organizzati nella gestione della cyber security oltre che più informati su quanto succede e con un livello di compliance più alto, anche in prospettiva, considerando le novità sul fronte della privacy ed eventuali esigenze di notifica in caso di data breach”.
I prossimi passi
Al momento i sistemi analizzati sono circa 70, ma i responsabili del Servizio hanno in programma di estendere a breve il monitoraggio anche sui sistemi a criticità inferiore. Il progetto prevede anche di passare da un monitoraggio di tipo reattivo a uno preventivo con un sistema di alerting tempestivo, di procedere con l’integrazione e la correlazione con informazioni fornite da CERT e da piattaforme OSINT e l’adozione di tecniche di Active Defense.