In che modo la tua azienda può prevenire la violazione di dati

0
347

This post is also available in: Inglese Francese Tedesco Portoghese, Brasile Spagnolo Russo

Cominciamo con una verità non ovvia: il problema del fermare la violazione dei dati non riguarda il rilevamento. I moderni sistemi di sicurezza rilevano molte cose. Anche troppe; secondo uno studio della società di sicurezza IT Bricata, un Security Operations Center (SOC) medio riceve oltre 10.000 allarmi al giorno da una vasta gamma di prodotti di monitoraggio e rilevamento. Il problema quindi non è un rilevamento insufficiente.

Il fatto è che il problema risiede altrove: non si tratta di rilevazione, ma di correlazione.

Rilevare è semplice! Ma cosa viene dopo?

Nella sua forma più semplice, la rilevazione è un allarme. Un utente esegue un’attività e viene generato un log. I moderni sistemi di sicurezza cloud sono costruiti per rilevare. Un SOC medio può generare tra i 5000 e il 40.000 allarmi al giorno (anche di più per le reti più grandi).

Tuttavia, il problema con il rilevamento è che guardare ciascun allarme non ci dice niente. Quasi ogni log può essere legittimo o illegittimo a seconda del contesto in cui viene creato.

Considera le seguenti attività; guardando a ciascuna di esse puoi dire quale è legittima?

  • Un amministratore di sistema si registra da una posizione insolita. Succede perché sta lavorando a qualcosa di urgente mentre è in vacanza o perché gli hacker dell’Europa dell’est gli hanno rubato le credenziali?
  • Un utente accede alla rete fuori dall’orario di lavoro. Succede perché ha un’emergenza di lavoro o perché gli hacker stanno cercando di passare inosservati?
  • Un ingegnere DevOps invoca una chiamata API che non ha mai usato prima. Stanno facendo uscire una nuova versione del prodotto o è un hacker che tenta un’espansione laterale nella tua rete?
  • Un amministratore di database accede a un bucket di archiviazione cloud-based esportandone tutti i dati. Fa parte del suo lavoro o qualcuno ha appena rubato l’intero database utenti.

Il fatto è che guardare a un singolo allarme non può di per sé rivelare l’intenzione sottostante.

[Ti potrebbe interessare anche: Defense Against Vulnerabilities in the Cloud – Is It Too Late?]

Gli aggressori volano sotto il radar

Nella nostra esperienza di analisi delle violazioni di dati, abbiamo imparato che nella maggior parte dei casi le attività malevole sono state effettivamente identificate in tempo, ma hanno volato sotto il radar.

Come mai?

  • Sovraccarico di log: i responsabili della sicurezza sono sommersi da così tanti allarmi che non hanno il tempo di analizzarne molti. Conseguentemente, gli eventi importanti si perdono nel rumore di fondo.
  • Allarmi a basso rischio: molte attività che costituiscono una violazione di dati non sono ad alto rischio e ad alto impatto, ma piuttosto azioni banali cui viene assegnato un basso rischio. Conseguentemente, vengono spesso trascurate.
  • Assenza di contesto: guardare a ciascuna attività indipendentemente dalle altre non ne rivela l’intento.
  • Allungarsi nel tempo: gli incidenti di violazione di dati possono richiedere settimane e a volte mesi per essere svelati. I registri arrivano quotidianamente a volume elevato, rendendo impossibile ricordare altri allarmi risalenti a settimane prime e associare singole attività.

Come risultato di queste realtà della gestione quotidiana della sicurezza, qualsiasi mezzo per analizzare manualmente gli allarmi e inserirli nel contesto per identificare attività malevole è destinato a fallire.

<p>

        </p>

La rilevazione è importante ma la correlazione è fondamentale

La chiave quindi non è in una maggiore rilevazione ma nella correlazione.

La correlazione consiste nel prendere eventi indipendenti e apparentemente non correlati e metterli in relazione attraverso superfici di minaccia, risorse e tempi.

Torniamo al precedente elenco di esempi di attività.  Preso singolarmente, ciascun evento è privo di significato e non è possibile discernere l’intento sottostante.

Ma consideriamo la seguente catena di eventi:

  1. Un utente si connette da remoto a un ora inconsueta fuori dall’orario di lavoro.
  2. Qualche giorno dopo, lo stesso utente invoca per la prima volta una chiamata API per elencare tutti i privilegi utente.
  3. Nel corso di alcune settimane, l’utente effettua una serie di connessioni a più bucket di archiviazione contenenti informazioni sensibili.
  4. L’utente scarica i dati da un bucket di archiviazione verso una posizione esterna alla rete.

Vedere questi eventi in una catena correlata è diverso dall’analizzarli singolarmente. Pertanto, la correlazione è molto importante in quanto consente di individuare una violazione di dati nella sua interezza e non soltanto i singoli eventi che ne fanno parte.

La correlazione è un elemento critico della sicurezza informatica e può fare la differenza tra bloccare in tempo una violazione e leggerla sui giornali.

[Ti è piaciuto il post? Registrati subito per ricevere ogni settimana le ultime novità Radware direttamente nella tua email oltre all’accesso esclusivo al Premium Content di Radware.]

LEAVE A REPLY

Please enter your comment!
Please enter your name here