AES_1 2022

INTERVISTA Primo piano 34 Gennaio - Febbraio 2022 n Automazione e Strumentazione mazione . Nel mondo della sicurezza informatica il dato che arriva ha già delle ‘regole di correlazione’, come vengono chiamate nel nostro contesto, o delle regole basate sulla parte di Machine Learning , che elaborano il dato e presentano alla persona che lo legge lo scenario di un potenziale incidente. Nel caso di Splunk questo viene fatto già dalla piatta- forma e poi vengono forniti strumenti per creare altre regole ma in modo semplice senza che sia necessario scrivere codice o stare a programmare o fare operazioni troppo complesse. Naturalmente se uno vuole spingersi oltre e personalizzare tutto arrivando a scriversi da solo il suo algoritmo può farlo, c’è assoluta trasparenza e flessibilità ”. Piattaforme così avanzate, con già un alto contenuto di elaborazione, possono sembrare molto impegnative dal punto di vista economico: ci sono soluzioni abbordabili anche dalle PMI? “In realtà in termini di costo la piattaforma viene dimen- sionata in base a quanti dati colleziona, quindi a quanti GigaByte di dati vengono macinati dalla macchina. Ci sono poi strutture di pricing non legate alla quantità di dati per rendere ancora più flessibile il pricing. D’altra parte, se ci si pensa, un’azienda piccola processa pochi dati, ha molto meno dati da inserire rispetto a una grande azienda; quindi la piattaforma diventa abbor- dabile sia per la PMI sia per la Large Enterprise . Ovviamente la piattaforma farà la stessa cosa ma a due costi molto diversi perché processerà volumi di dati molto diversi. C’è anche una varietà di approccio nella gestione delle piattaforme per la Cyber Sicurezza. Si passa da modelli dove una Large Enterprise compra la piattaforma e ne gestisce tutta la parte operativa, a situazioni - in ambienti medio piccoli - dove l’azienda acquista la piattaforma e se la tiene in casa, per assicurarsi il possesso del dato e della piattaforma, ma poi l’operatività viene affidata a un partner esterno che eroga un servizio sulla piattaforma del cliente; fino ad andare ai clienti molto più piccoli dove il partner fornisce sia la piattaforma sia il servizio”. In molti ambiti industriali si parla di approccio proattivo: anche per la Cyber Sicurezza è possibile e che cosa significa operare in modo proattivo? “Dico sempre, un po’ scherzando, che nella security la palla di cristallo non esiste: è inverosimile infatti poter preannunciare a un’azienda che ‘fra tre giorni succederà esattamente questo evento’. Nella security però è pos- sibile fare tante cose che si avvicinano all’ approccio proattivo . Se io so, ad esempio, che un’azienda manifatturiera in passato è stata attaccata da determinati attori, i quali tipicamente usano determinati strumenti che lasciano le tracce (noi le chiamiamo indicatori), allora io posso, tramite la piattaforma, applicare tali indicatori al mio contesto e fare quello che si chiama Threat Hunting . Per fare una analogia con l’esperienza comune: se ho dei preziosi in casa e abito in una zona dove i ladri fre- quentemente vengono a rubare, allora posso provare a vedere se qualcuno ha cercato di forzare la porta, se ha lasciato dei segni che indicano l’utilizzo dei tipici attrezzi da scasso. Un esercizio analogo si può fare, in modo più proattivo, utilizzando il Machine Learning: nel mondo della secu- rity è possibile far sì che i dati addestrino un modello che poi possa riconoscere quando i dati rivelano un comportamento diverso da quello imparato durante l’addestramento; è il cosiddetto Anomaly Detection, cioè rilevatore di anomalie. In ambito security si possono fare tanti esempi di atti- vità che permettono di individuare qualche cosa prima che succeda un danno grande. L’esempio più comune è quello dei ransomware , cioè quei virus che entrano nei sistemi e attivano la cifratura che rende i dati illeggibili per poi chiedere un riscatto; prima che accada quel tipo di danno, cioè prima che il dato venga cifrato, l’attac- cante fa tutta una serie di passi per ottenere accesso alla rete e una volta ottenuto l’accesso deve capire come è fatta l’organizzazione, come sono organizzati i sistemi, dove stanno i backup perché magari vuole cancellarli, quali sono gli utenti privilegiati e quali no. Da quando ha La piattaforma di Splunk dispone di strumenti che permettono di supervisionare i flussi IT e di intervenire tempestivamente, gestendo meglio la sicurezza e le risorse produttive