La sicurezza informatica è un inseguimento continuo fra attaccanti che mettono in piedi strategie sempre più evolute e difensori che trovano sistemi e metodologie sempre più rapide ed efficaci per reagire. Diventa così indispensabile fare ogni sforzo possibile per recepire ogni possibile cambiamento dello scenario. Oggi gli strumenti di analisi e controllo non mancano ma rimane il problema dell’orchestrazione, della capacità di recepire i segnali sempre più numerosi e contestualizzarli in modo che siano funzionali alla prevenzione.
Per cogliere questa sfida Kyndryl, il più grande fornitore di infrastrutture IT al mondo, ha realizzato a Roma un nuovo Cyber Operations Center, situato al Tecnopolo Tiburtino all’interno di un datacenter tier IV, che ospita più di 170 specialisti. Un punto di partenza, secondo Federico Botti, Practice Leader Security & Resilience, e Andrea Boggio, Associate Director, Alliance Partnership Development, Cyber Resilience di Kyndryl Italia.
“La nostra intenzione – spiega Federico Botti – è quella di creare un centro che non sia solo operativo, ma che sia un centro di conoscenza basato su due pilastri: automazione e orchestrazione da un lato e le persone dall’altro”. Da qui anche la scelta di nominarlo Cyber Operations Center, per distinguersi dai SOC (Security Operations Center) tradizionali e circostanziarne la finalità.
“Pur avendo alle spalle un background solido, arriviamo sul mercato solo in tempi recenti, e questo ci permette di guardare all’innovazione con un occhio più fresco” Continua Botti. Ricordiamo che Kyndryl nasce nel 2021 come spin-off di IBM IT Infrastructure services.
Automazione e orchestrazione: il pilastro tecnologico
Uno dei principali problemi che gli operatori del settore oggi si trovano a dover affrontare è quello di dover raccogliere, organizzare e contestualizzare dati e segnali provenienti da numerose piattaforme diverse. Un compito oneroso, che richiede soluzioni tecnologiche adeguate. “Uno dei nostri obiettivi principali è quello di utilizzare l’automazione per federare piattaforme SIEM diverse e far convergere EDR, XDR e gestione delle identità in un unico sistema di controllo orchestrato, un polo centralizzato federato”.
Un polo centralizzato in cui trova spazio non solo la parte preventiva e predittiva della cybersecurity, ma in cui si cerca di applicare criteri analoghi all’intera filiera della cyber resilience. “Per noi si tratta, storicamente, di un punto di forza: i nostri principali clienti sono mission critical e già in passato abbiamo avuto importanti storie di successo in caso di remediation legata ed eventi distruttivi” sottolinea Botti.
L’automazione, insomma, viene vista come strumento per migliorare la qualità del servizio e non solo come risorsa per contenere i costi operativi che comunque possono essere mitigati grazie all’economia di scala. Per conciliare automazione e qualità, Kyndryl non ha dubbi: è necessario investire sulle persone. Anche utilizzando l’orchestrazione nel modo corretto. Riducendo, cioè gli aspetti usuranti e a basso valore aggiunto del lavoro di campo della cybersecurity, in particolare quello di livello 1.
Quella che Botti e Boggio definiscono automazione qualitativa e che, approfondendo, conferma l’impressione avuta: l’idea è quella di usare strumenti molto avanzati, come un SOAR di nuova generazione, molto machine learning e intelligenza artificiale non per delegare il lavoro e contenere i costi, ma per raggiungere un livello di servizio più elevato e competitivo.
Le persone al centro: il pilastro operativo
Ridurre l’apporto nelle attività a basso valore aggiunto, nella visione di Kyndryl, significa rendere ancora più importante l’intervento umano negli altri contesti. Per questa ragione l’azienda ha fatto sforzi considerevoli per acquisire professionalità dal mercato, ma anche per formarne di nuove a partire dalle scuole, rivolgendosi a giovani in uscita da diplomi e percorsi di laurea e affiancando all’assunzione un programma di academy aziendale. Grazie a questo le persone diventeranno in breve tempo capaci di padroneggiare gli strumenti evoluti che Kyndryl utilizza all’interno del proprio centro.
L’importanza della conoscenza
Particolarmente interessante scoprire, attraverso la testimonianza di Andrea Boggio, come all’interno di un centro operativo di questo tipo l’accesso alla conoscenza sia fondamentale. E come trovino posto sia strumenti di ultima generazione, sia pratiche consolidate come l’uso di knowledge base condivise.
“All’interno della nostra struttura usiamo diversi tipi di strumenti, a partire dai playbook, set di istruzioni operative, fino ad arrivare al machine learning utilizzato per fare analisi su quantità di dati ingestibili all’occhio umano e spesso nemmeno correlati. Questi strumenti di intelligenza artificiale (che Boggio tiene a sottolineare non essere di tipo generativo) ci permettono di trovare il proverbiale ago nel pagliaio e forniscono all’analista informazioni preziose, che non sarebbero altrimenti identificabili”.
Grazie alla componente di automazione, in Kyndryl si fa largo uso del case management assistito: i playbook sopra citati sono di fatto diagrammi di flusso, continuamente aggiornati e rivisti, che guidano gli operatori, anche di primo livello, all’interno di un percorso prestabilito, standardizzato e replicabile. In questo modo, oltre a rendere più efficiente lo scambio di informazioni fra i livelli, si riduce considerevolmente il numero di falsi positivi.
“Per poter fare questo, tuttavia, servono persone con una base esperienziale specifica” ricorda ancora Boggio. “Non tutto è sempre riconducibile a schemi pregressi. Possiamo dire che, in qualche modo, il nostro approccio è quello di portare le persone a prendere sempre meno decisioni, ma sempre più critiche”. Grazie, appunto, all’opportunità di accedere a una base di conoscenza estremamente ampia, anche a scopo formativo.
I dati sono solo il punto di partenza
Sempre Boggio illustra un interessante approccio che chiama piramide di conoscenza: “Si parte dai dati grezzi e si arriva alla saggezza”. Come? Di fatto, attraverso una delle pratiche più semplici ed efficaci del digitale: mettendo a valore i dati a disposizione. “La nostra conoscenza si matura sia all’interno del nostro perimetro sia attraverso fonti esterne note e certificate di threat intelligence. Questa nostra capacità di travasare la conoscenza nei processi di automazione e orchestrazione ci ha permesso di comprimere molto alcune fasi: per esempio, abbiamo ridotto tempo e risorse dedicate alla prima, identificare e classificare, del 60/70%. Questo ci permette di avere tempi di risposta estremamente competitivi e di fare analisi più profonde nei confronti di quello che emerge dal filtro”.