Ancora più che nel passato, nella fase di ripresa dall’emergenza pandemica aziende ed enti pubblici devono pensare alla business continuity delle loro attività vitali, attività a cui si è aggiunta, e non scomparirà, la necessità di proteggere la forza lavoro remota.
Secondo Niall Browne, che di mestiere assicura la sicurezza a una società che produce sicurezza (è il Ciso, Chief Information Security Officer, di Palo Alto Networks) oggi le organizzazioni si sono trovate di fronte a un paradosso inaspettato: da un lato le loro attività è stata tarpata, con il personale che ha lavorato da casa, dall’altro hanno dovuto fornire livelli continui ed elevati (forse ancora più elevati) di protezione IT.
Ciò significa che il cuore della cybersecurity, il Soc (Security Operations Center), deve rimanere attivo e funzionante e continuare a identificare e porre rimedio alle minacce, costantemente e in tempo reale.
E questo richiede una nuova mentalità: significa, per Browne, ripensare il modo in cui i SOC verranno gestiti da oggi in avanti.
Per spiegarlo a noi Browne si serve di una metafora notevolmente immaginifica, che tutti conoscono.
Basta con il modello Frankenstein
La forma di vita artificiale creata in laboratorio per eccellenza, osserva Browne, purtroppo ricorda troppi SOC, che sono stati costruiti e funzionano sullo stesso modello, con strumenti diversi, slegati e disarticolati, che non comunicano bene tra loro.
Questi SOC sono basati su prodotti che non si integrano, non supportano l’automazione e sono tenuti insieme grazie all’inventiva degli ingegneri che li gestiscono.
“Non importa quanto si cerchi di unire con forza le diverse parti del SOC, l’aspetto e l’agilità sono quelli di Frankenstein“, osserva in modo tranchant Browne.
E un altro problema, secondo Browne, nasce dal fatto che i security engineer che gestiscono il SOC sono costretti a utilizzare checklist manuali, i cosiddetti playbook, che sono state create per determinare a quali allarmi rispondere e in che modo. Ma in questo c’è poca automazione o intelligenza, e molta inefficienza.
Questo significa che gli specialisti del SOC devono verificare ogni allarme, trovare il playbook corrispondente e seguire una serie di passaggi manuali per studiarlo e reagire.
Può essere che il playbook preveda una dozzina di passaggi in sequenza e richieda un’ora per essere eseguito scrupolosamente, nello stesso tempo però all’analista arriveranno decine di nuovi allarmi.
In ambito tecnologico,questa è probabilmente una delle pratiche più inefficienti che si possano trovare, e per molte organizzazioni, osserva Browne, si tratta purtroppo della normalità.
Ora che molti ingegneri sono chiamati a lavorare da remoto sul SOC, queste inefficienze sono ulteriormente amplificate e il modello che Browne chiama Frankenstein, mostra in modo ancor più evidente i suoi problemi: “se può essere stato un modello operativo accettabile per il passato, ora non lo è più“.
Percorso a tre fasi per il SOC
Avere i team SOC chiamati a operare da remoto permette di ripensarne la progettazione e la gestione. Per Browne il SOC si devere basa su tre pilastri fondamentali, che possono essere implementati da qualsiasi organizzazione.
Interoperabilità
Il SOC dovrebbe essere costruito utilizzando soluzioni che abbraccino – dall’inizio – l’interoperabilità. Questo è fondamentale, poiché non si può passare dal manuale all’automatico senza aver prima superato il modello Frankenstein. Tutti i prodotti devono essere in grado di comunicare tra loro indipendentemente da dove si trovino gli strumenti di lavoro, dove vengano trattati i dati e lavorino i collaboratori.
Automazione
Solo dopo che l’interoperabilità è stata adottata come principio fondamentale, è possibile iniziare il passaggio critico dell’automazione. Tutte le azioni importanti devono essere automatizzate, non più affidate, ampiamente o esclusivamente, a interventi manuali. I playbook, ad esempio, che dovrebbero essere operativi 24/7/365, e automaticamente attivati per gestire i passaggi necessari a prevenire, rilevare e risolvere i potenziali problemi. La ricerca di indicatori di compromesso, l’isolamento degli utenti e dei sistemi, l’avvio di attività forensi o di altri task: tutto dovrebbe poter avvenire senza l’intervento manuale degli amministratori. Invece di impegnare gli analisti nel controllo di checklist manuali che possono durare più di un’ora, l’intervento necessario si compie automaticamente nel giro di pochi minuti, se non addirittura secondi.
Collaborazione
Deve esserci collaborazione non solo all’interno del SOC, ma anche tra tutti gli utenti. La maggior parte degli analisti SOC ha sviluppato il proprio playbook da zero, nel corso di anni e se uno di loro avesse creato un playbook eccezionale, sarà solo quello specifico SOC a beneficiarne. Ma molte aziende hanno differenti SOC, in location altrettanto distinte.
“La collaborazione – dice Browne – deve essere un principio chiave e chi ci ha insegnato la lezione della collaborazione meglio degli hacker, che condividono continuamente consigli e trucchi per penetrare nei nostri dati? Se gli hacker collaborano tra loro, perché non dovrebbero farlo anche i professionisti della sicurezza?“.
Il modello per il futuro
Il Ciso di Palo Alto Networks chiude con uno spot, più che legittimo: i responsabili di business e membri del board, che si preoccupano costantemente di migliorare lo stato della sicurezza IT ma non hanno una profonda conoscenza tecnica, dovrebbero confrontarsi con i CISO e gli analisti del SOC proprio su questi tre principi per scoprire come migliorare il SOC in questi tempi di lavoro remoto.
“La sicurezza è al centro della vita e del lavoro di ognuno di noi. Questa pandemia ci ha colpito in modi che non avremmo nemmeno immaginato. Se le organizzazioni si stanno attrezzando per guardare al futuro, è arrivato il momento di considerare anche un modello di SOC ancora più innovativo che possa fare di più per la sicurezza“.
