Security analytics platform: che cosa sono e a che cosa servono? Innanzitutto, è bene chiarire che questo tipo di soluzione non è un sistema SIEM: a tutti gli effetti è una piattaforma separata che diventa un componente aggiuntivo del Security Information and Event Management. Lo sanno bene i professionisti della sicurezza IT, che utilizzano una varietà di strumenti per raccogliere informazioni tempestive e utilizzabili sugli attori delle minacce.
Per combattere in modo proattivo una varietà e una frequenza sempre crescenti di attacchi informatici, una security analytics platform è uno strumento importante. Per chi ancora non l’ha preso in considerazione, gli esperti offrono indicazioni utili a capire come funziona e quali sono i criteri di valutazione più opportuni.
La governance della sicurezza è addizionale
L’analisi delle minacce alla sicurezza informatica fa uso di una serie di sistemi diversi come, ad esempio, il log management o gli strumenti di monitoraggio del traffico di rete che si connettono agli elementi di rete tramite pipeline. Queste tecnologie esaminano il traffico di rete che passa attraverso i dispositivi di accesso, raccolgono i dati e li confrontano con le regole e altri parametri memorizzati nel sistema.
Se vengono identificati pacchetti di dati sospetti, questi tool segnalano le anomalie tramite allarmi e messaggi nella dashboard di sistema. Il livello successivo dell’analisi della sicurezza informatica è il SIEM (oggi anche in cloud), che utilizza potenti algoritmi e altri strumenti per fornire valutazioni aggiuntive sul traffico sospetto. I sistemi SIEM offrono raccomandazioni basate su messaggi pre-programmati che vengono presentati con l’analisi del traffico.
Security analytics platform: cos’è e come funziona
L’analisi della sicurezza fornita da una piattaforma, combina le funzionalità dei big data con un’intelligenza specializzata nelle minacce per rilevare, analizzare e mitigare le minacce interne, le minacce informatiche persistenti e gli attacchi mirati da parte di malintenzionati esterni. Utilizzando una programmazione potenziata dall’Intelligenza Artificiale e dall’apprendimento automatico (ML), gli strumenti di analisi della sicurezza eseguono ulteriori funzionalità, come l’analisi dell’entità utente e del comportamento (User and Entity Behavioral Analytics – UEBA) per fornire agli analisti della sicurezza maggiori informazioni sulle fonti e sul comportamento delle minacce, nonché su ciò che una minaccia potrebbe fare in seguito. Le piattaforme di analisi della sicurezza offrono anche raccomandazioni basate sull’analisi del comportamento, comprese azioni preventive per ridurre la superficie di attacco e come mitigare la gravità dell’evento se si verifica un attacco.
Tre livelli di analisi della sicurezza diversi
Gli strumenti di analisi della sicurezza informatica possono connettersi a quasi tutti i dispositivi di rete. Come visualizzato nella tabella sovrastante, possono essere collegati a un firewall, router e switch di rete. Questi strumenti possono essere programmati per monitorare il traffico e identificare e contrassegnare le anomalie in base al loro database interno di vettori di minacce.
Poiché sono necessari più processi di gestione dei dati e degli incidenti, un sistema SIEM può essere stratificato sul sistema di base.
Se la frequenza e la gravità degli attacchi aumentano, è possibile aggiungere una piattaforma di analisi della sicurezza. Lo strumento di analisi della sicurezza raccoglie informazioni dagli altri due livelli ed esegue analisi più sofisticate, utilizzando l’intelligenza artificiale per esaminare i dati e generare approfondimenti e consigli più dettagliati. Di fatto, molti prodotti oggi sul mercato offrono combinazioni dei tre livelli di analisi della sicurezza.
Le funzioni di una Security analytics platform
Gli strumenti di analisi della sicurezza sono progettati per prevenire gli attacchi informatici. Esaminano i dati sulla sicurezza della rete in modo molto dettagliato utilizzando motori analitici specializzati basati sull’Intelligenza Artificiale. Una delle funzioni principali della piattaforma è l’analisi del comportamento, che esamina i dati degli eventi in vari contesti per cercare:
- schemi specifici nel modo in cui gli attacchi sono stati perseguiti
- quali risorse sono state attaccate e come
- quali tracce post-evento esistono che potrebbero fornire ulteriori approfondimenti sull’autore
Le piattaforme di analisi della sicurezza utilizzano l’AI anche per fornire raccomandazioni per riparare dispositivi e sistemi vulnerabili e prevenire attacchi futuri. Ulteriori attività che possono essere eseguite dalle piattaforme di analisi della sicurezza includono quanto segue:
- scansione e valutazione delle vulnerabilità
- test di penetrazione e caccia alle minacce
- attività di risposta agli incidenti informatici
- valutazioni di conformità
- Rilevamento e risposta dell’endpoint
I vantaggi di una Security analytics platform
Gli strumenti di analisi della sicurezza offrono alle organizzazioni diversi vantaggi chiave:
#1 Rilevamento e risposta di incidenti di sicurezza e anomalie
Gli strumenti di analisi della sicurezza analizzano un’ampia gamma di tipi di dati, creando connessioni tra diversi eventi e avvisi per rilevare incidenti di sicurezza o minacce informatiche in tempo reale.
#2 Conformità normativa
La piattaforma aiuta le aziende a rispettare le normative governative e di settore. Il software di analisi può integrare una varietà di fonti di dati, offrendo alle organizzazioni una vista unica e unificata degli eventi di dati su una varietà di dispositivi. Ciò consente ai responsabili della conformità di monitorare i dati regolamentati e identificare potenziali non conformità.
#3 Capacità forensi avanzate
Una Security analytics platform offre alle aziende informazioni dettagliate su dove hanno avuto origine gli attacchi, come i loro sistemi sono stati compromessi, quali risorse sono state compromesse e identificare eventuali perdite di dati, arrivando a fornire anche le tempistiche relative a eventuali incidenti. La capacità di ricostruire e analizzare gli incidenti può aiutare le organizzazioni a rafforzare la propria sicurezza informatica per evitare che incidenti simili si ripetano.
Perché gli strumenti di analisi della sicurezza sono importanti?
La gestione della sicurezza informatica è una corsa senza fine. Gli sviluppatori di software di sicurezza lavorano costantemente per identificare nuovi attori delle minacce e codici dannosi e, di conseguenza, sviluppare azioni di mitigazione e correzione. Allo stesso tempo, i pirati informatici sviluppano costantemente nuove tecniche di malware e codice dannoso per aggirare i firewall e altre difese di rete per causare danni a reti, sistemi e dati interni.
La protezione dei preziosi dati aziendali critici per l’azienda, nonché delle informazioni sensibili è un obiettivo imprescindibile. Investire in una potente Security analytics platform dovrebbe rientrare tra le voci di budget prioritarie per i dipartimenti IT nel 2023 e oltre. Come sottolineano gli esperti, mentre i costi di uno strumento di analisi della sicurezza possono essere proibitivi per le piccole imprese, i grandi reparti IT non possono pensare di poterne fare a meno.
Piattaforme di analisi della sicurezza: casi d’uso
Le aziende possono implementare l’analisi della sicurezza per un’ampia varietà di casi d’uso come, ad esempio:
- analizzare il traffico di rete per rilevare modelli che indicano potenziali attacchi
- monitorare il comportamento degli utenti, incluse le attività potenzialmente sospette
- rilevare potenziali minacce
- rilevare l’esfiltrazione di dati
- monitorare i dipendenti
- rilevare minacce interne
- identificare gli account compromessi
- identificare l’uso improprio dell’account utente e dei relativi account condivisi
- indagare su attività dannose
- dimostrare la conformità durante gli audit
- indagare sugli incidenti di sicurezza informatica
Come selezionare una piattaforma di analisi della sicurezza
La maggior parte delle organizzazioni dispone di tecnologie di prevenzione, rilevamento e mitigazione della sicurezza informatica. Il tema è che, in base al numero e alla gravità degli attacchi informatici affrontati, le aziende che utilizzano strumenti di analisi della sicurezza basilari potrebbero voler passare a un’opzione più potente. In fase preliminare è opportuno:
- Determinare la situazione: ad esempio, se un sistema esistente deve e può essere aggiornato
- Capire quale modello di implementazione è più congeniale all’organizzazione: on-premise, basato su cloud o servizio gestito
- Approfittare delle demo gratuite per verificare il livello di confidenza con questo tipo di soluzioni
- Identificare la conformità agli standard e la capacità di integrazione rispetto alle infrastrutture esistenti
- Esaminare le opzioni di prezzo, tenendo presente come che la maggior parte dei prodotti abbia una struttura di prezzi flessibile basata sul numero di gigabyte di dati analizzati al mese, mentre altri prodotti hanno un costo iniziale più i costi di utilizzo e manutenzione back-end
- Esaminare le capacità del sistema candidato in base alle esigenze attuali e previste.
- Considerare la curva di apprendimento dei propri dipendenti con il sistema di un nuovo fornitore, verificando se è disponibile un’attività di formazione
- Ponderare i livelli di analisi eseguiti dal prodotto, i tipi di report generati e qualsiasi ulteriore valore aggiunto
- Determinare quanta interazione utente è possibile con i sistemi, in particolare quelli basati su cloud
- Esaminare i servizi aggiuntivi offerti dal fornitore di una Security analytics platform: ad esempio test di vulnerabilità, supporto per la risposta agli incidenti e assistenza per lo sviluppo del piano di sicurezza informatica
- Verificare i servizi che affrontano i test di conformità e la loro convalida agli standard di sicurezza informatica