Best Practice

I cyber-attacchi si verificheranno - siate preparati a rilevarli

Gli attacchi informatici non hanno più alcuna possibilità: Le infrastrutture informatiche del Gruppo sono ormai soggette a un monitoraggio internazionale centralizzato 24 ore su 24, 7 giorni su 7.

Attacchi informatici: rilevare e rispondere

Al giorno d’oggi, sempre più imprese riconoscono la necessità di individuare prontamente gli attacchi informatici e contrastarli in modo mirato. Vi è però un problema di non poco conto: in molte aziende, le infrastrutture IT non sono monitorate a livello centrale e spesso mancano sia il personale qualificato sia il know-how necessario ad arginare rapidamente gli attacchi e neutralizzarne gli effetti. La soluzione consiste nel creare un SOC (Security Operation Center), vale a dire un’apposita struttura centralizzata che assicuri una maggiore visibilità degli incidenti rilevanti in fatto di sicurezza.

Alla luce del crescente numero di attacchi e incidenti informatici, una grande multinazionale delle telecomunicazioni ha preso la decisione strategica di dotarsi di un GSOC (Global Security Operation Center) per le proprie sedi locali e i mercati partner a livello internazionale. Essendo partner strategico dell’iniziativa, quest’azienda ha scelto Hewlett Packard Enterprise, il cui prodotto ArcSight, soluzione leader nel settore SIEM (Security Information & Event Management), è perfettamente in grado, grazie all’estrema flessibilità e scalabilità che lo contraddistingue, di connettere tra loro località diverse caratterizzate da ambienti IT assolutamente eterogenei.

La soluzione tecnica

Per realizzare tale infrastruttura SIEM, è stato necessario, innanzitutto, rivolgersi a esperti in architetture di rete e SIEM che progettassero e curassero il lancio dell’infrastruttura ArcSight a livello globale. I consulenti di Spike Reply hanno da subito guidato il processo e attualmente ne curano anche l’ampliamento presso le filiali nazionali della capogruppo.

Dopo l’implementazione, all’infrastruttura sono stati gradualmente collegati gli eventi relativi ai vari componenti IT. Gli sviluppatori di contenuti si sono assicurati che, da un lato, gli eventi venissero rilevati senza errori dall’infrastruttura e, dall'altro, che offrissero supporto al GSOC per quanto riguarda allarmi, ottimizzazione e risoluzione degli eventi. Fin dall’inizio, gli analisti dei diversi ambiti specialistici sono stati riuniti in un team con il compito di valutare la grande mole di occorrenze e classificarle in base alla loro criticità. Il passo successivo ha riguardato la creazione del settore IM (Incident Management) e del sotto-settore IR (Incident Response), responsabili della gestione operativa e tecnica degli incidenti di sicurezza IT. In caso di rilevazione di un incidente, il team, in collaborazione con i reparti aziendali interessati, ha il compito di contenere e neutralizzare, nonché documentare, l’evento critico. Gli esperti di Spike Reply coadiuvano queste attività fin dall’avvio del progetto presso tutte le filiali nazionali.

Automazione per la sicurezza IT

La costante integrazione di vari componenti di sicurezza ha consentito non solo di accrescere notevolmente il livello di protezione di cui gode l’azienda, ma anche di riconoscere in anticipo gli eventi potenzialmente dannosi.

In base alle esperienze maturate con questo progetto e alle ultime novità in fatto di sicurezza IT, i consulenti di Spike Reply lavorano attualmente a un SIEM di nuova generazione, che punterà maggiormente sull’automazione e sull’intelligenza artificiale per realizzare ulteriori sinergie e risparmi sui costi. I continui sviluppi fanno sì che il grado di automazione nel monitoraggio della sicurezza IT aziendale cresca costantemente. L’apprendimento automatico permette ai sistemi impiegati di riconoscere modelli di occorrenza che innescano un meccanismo di allerta. Tuttavia, a prescindere dal grado di automazione raggiunto, il fattore umano non può mai essere ignorato neppure in simili scenari: se un allarme è stato provocato da una falla nella sicurezza, ed è quindi richiesta un’azione, deve sempre essere un operatore umano a stabilirlo.

Spike Reply, gli esperti di sicurezza del gruppo Reply, è tra gli integratori di sistemi leader nel campo della sicurezza IT in Germania. L’offerta di servizi si estende dalla progettazione e integrazione di numerosi prodotti di sicurezza IT fino alla messa in servizio e gestione operativa di sistemi IT completi. Grazie al suo portafoglio di prodotti e servizi, Spike Reply funge da full service provider sia di grandi e prestigiose imprese sia per clienti di medie dimensioni, offrendo servizi che vanno dall’analisi, all’audit, alla progettazione e al ruolo di responsabile della protezione dei dati fino alla gestione di un SOC (Security Operation Center).