Ivan Straniero, Territory Manager, Italy & SE Europe Arbor Networks analizza i trend di sicurezza più recenti ed evidenzia come, ad oggi, le aziende di ogni dimensione, Paese e settore di attività, stiano affrontando numerosi problemi legati alla sicurezza. Di fatto, nonostante anni di investimenti in infrastrutture di sicurezza da parte delle aziende, la domanda relativa alla possibilità che una società possa essere colpita da un attacco non è più espressa in termini di “se” ma di “quando”. È una realtà accertata, quasi tutte le reti aziendali sono colpite quotidianamente da attacchi sferrati senza sosta da parte di malintenzionati che continuano a sviluppare un crescente arsenale di minacce. Le tendenze evidenziate da Arbor Networks sono messe in risalto anche da recenti indagini Gartner.
La prima linea della sicurezza di rete è costituita dall’analisi attraverso l’uso di una risorsa collegata in modo imprescindibile all’infrastruttura stessa, ovvero il traffico di rete. Grazie a un accesso senza precedenti a strumenti analitici, che consentono l’esplorazione intuitiva di grandi set di dati, i team responsabili della sicurezza possono scoprire informazioni di intelligence all’interno di tutta questa massa di dati. Di fatto, “L’analisi ai fini della sicurezza è un requisito emergente nella continua guerra degli armamenti contro i malintenzionati”.
Per capire come le aziende più preparate affrontino le cyberminacce quotidiane, nei mesi scorsi Arbor Networks ha commissionato all’Economist Intelligence Unit una nuova ricerca mirata. Intitolata “Cyber Incident Response: Are business leaders ready?”, la ricerca ha coinvolto 360 aziende di tutto il mondo e, più di tre quarti di esse hanno dichiarato di aver subito un incidente di sicurezza nel corso degli ultimi due anni. Nonostante questo, solo il 17% degli interpellati ha affermato di sentirsi completamente preparato in caso di cyberattacchi futuri. Una analisi di sicurezza efficace si basa su due componenti: per prima cosa un sensore installato in un segmento della rete che acquisisca i pacchetti, e un motore di analisi che compia il grosso del lavoro. Questo engine dovrebbe combinare una enorme scalabilità per soddisfare l’incremento dei carichi con la capacità di eseguire il replay del traffico attraverso una interfaccia intuitiva per un data mining efficace. I relativi tool devono essere in grado di effettuare il replay di centinaia di Terabyte di dati (considerando che una rete tipicamente satura genera oltre 10 Terabyte di dati ogni giorno), e di conservare i dati dei pacchetti catturati per almeno 60 giorni in modo da assicurarsi che non possano essere stati compromessi da attacchi mirati particolarmente avanzati.
Richard Stiennon di IT Harvest L’analisi di sicurezza è la scienza dei big data applicata ai dati dei pacchetti del traffico di rete. Lo stato dell’arte prevede l’acquisizione di tutto il traffico da ciascun segmento di rete e la conseguente esecuzione di un’analisi completa. I sensori sono passivi, risultando cioè del tutto trasparenti sulle linee dati. L’analisi viene compiuta offline. La tecnologia complessiva si sta evolvendo rapidamente con miglioramenti costanti che consentono di effettuare il drill-down fino al singolo pacchetto, guardare all’intero traffico per ottenere un quadro complessivo dello scenario, avvalersi di fonti di intelligence esterne come gli IoC (Indicatori di Compromissione) e correlare eventi altrimenti separati. Oggi gli attacchi sono lanciati da esseri umani seduti di fronte a un computer remoto. I difensori devono sorvegliare costantemente le loro reti per rilevare, dissuadere, impedire e bloccare gli attacchi.
Nonostante la consapevolezza dell’analisi di sicurezza stia crescendo, molte aziende trovano difficile definire in modo appropriato le linee guida per risolvere il problema. Di fatto, prima di decidere in merito alla tecnologia di big data appropriata, un’azienda deve capire qual è l’obiettivo che tenta di raggiungere per mezzo di una strategia analitica.
Affinché le aziende possano trasformare i dati acquisiti in intelligence tattica esse devono avvalersi di esperti dotati di una comprensione completa delle tipologie di dati ed eventi che desiderano osservare, e delle relazioni che le legano. In prospettiva futura, in uno scenario in rapida evoluzione come quello relativo alla sicurezza dei dati, si sta lavorando a nuovi sistemi di seconda generazione, strumenti analitici per l’indagine in tempo reale dei flussi dei pacchetti. Sebbene resterà sempre importante essere in grado di effettuare il replay del traffico alla ricerca di intelligence, il tempo disponibile per reagire contro gli attacchi più sofisticati e automatizzati continuerà a ridursi. In un’epoca di innovazione e targetizzazione degli attacchi come questa, la capacità di rilevazione è essenziale e la prevenzione è l’obiettivo. Con l’evolversi degli attacchi, l’analisi di sicurezza è senz’altro destinata a diventare una funzione assolutamente cruciale nella continua corsa agli armamenti contro i cyberattaccanti.
