La nuova declinazione della sicurezza informatica gravita intorno al termine “intelligence”, in due diverse accezioni. La prima è artificial intelligence, che in ambito security consente di utilizzare strumenti evoluti per l’analisi dei malware e il rilevamento tempestivo degli indicatori di compromissione (IOC) a livello di infrastruttura IT. La seconda, altrettanto importante, è quella della threat intelligence, cioè la raccolta di informazioni che consentono di rendere più efficace l’azione di prevenzione e contrasto degli attacchi informatici. Entrambi gli aspetti, però, ruotano intorno allo stesso soggetto: il Security Operation Center (SOC) che, oltre a gestire gli strumenti di difesa, ha un ruolo fondamentale proprio nell’ambito della threat intelligence.
La conoscenza è l’arma più efficace
Il tema della threat intelligence è terribilmente ampio, ma può essere riassunto in un obiettivo strategico: garantirsi conoscenze sufficienti per avere una posizione di vantaggio nei confronti dei cyber criminali. La logica, per dirla con le parole del celebre stratega Sun Tzu, è quella di conoscere il proprio nemico per essere in grado di fronteggiarlo nel modo più efficace. Un compito che gli strumenti automatizzati, per quanto evoluti e raffinati, non possono certamente svolgere. I responsabili della threat intelligence, quindi, sono i professionisti che operano all’interno del SOC, le cui conoscenze rappresentano un patrimonio prezioso per garantire l’efficienza e l’efficacia dei sistemi di protezione sotto un profilo strategico. Non solo: la declinazione pratica della threat intelligence richiede, oltre a competenze specifiche, un elevato livello di personalizzazione. In altre parole, gli analisti addetti al SOC devono essere in grado di focalizzare la loro attività non solo in base al settore specifico in cui opera l’azienda, ma anche tenendo conto degli strumenti e delle tecnologie che implementa nei suoi sistemi IT.
Professionisti della cyber security
Oltre all’utilizzo di strumenti tecnici specifici basati su AI e machine learning, l’efficacia del SOC dipende da quello che potremmo definire il “capitale umano” presente al suo interno, cioè dal know how dei professionisti che lo gestiscono. Un simile livello di preparazione, però, richiede un’attività puntuale di aggiornamento sulle nuove tecnologie, sulle tecniche di attacco utilizzate dai pirati, le vulnerabilità di sistemi e software che emergono nel corso del tempo. Per quanto riguarda la dimensione specifica dell’azienda, l’attività di threat intelligence copre, oltre al controllo del perimetro delle infrastrutture IT, anche il monitoraggio delle attività esterne al perimetro della rete aziendale (per esempio eventuali campagne di phishing che prendono di mira i clienti dell’impresa) e tutto ciò che può impattare, direttamente o indirettamente, sul livello complessivo di cyber security. Insomma: un’attività a tempo pieno, che richiede notevoli risorse e investimenti. Non è un caso che, in un recente passato, i Security Operation Center fossero una prerogativa delle grandi aziende impegnate nel settore tecnologico, le sole in grado di potersi permettere (e per cui risultassero giustificati) gli investimenti adeguati a dotarsi di un SOC interno. La recente evoluzione della cyber security legata alla digital transformation ha però cambiato le carte in tavola. Oggi qualsiasi impresa, indipendentemente dal settore di attività e dalle sue dimensioni, necessita di un supporto adeguato di threat intelligence e del supporto di un SOC.
Perché affidarsi a un SOC esterno
Se le condizioni sono mutate in termini di esigenze, rendendo il supporto di un SOC un elemento indispensabile per qualsiasi azienda, un’identica evoluzione si è verificata anche sul lato dell’offerta. In particolare, con l’introduzione di formule basate sul concetto della “security as a service”. La logica, in pratica, è quella di poter contare su un servizio analogo a quello di un SOC interno che è in grado di svolgere la sua attività di controllo attraverso strumenti in remoto e, soprattutto, di fornire quell’attività di threat intelligence che in una declinazione “locale” del servizio richiederebbe un livello di investimento molto più elevato.
Più sensori e dati uguale maggiore protezione dagli attacchi informatici
Quello economico, però, non è l’unico vantaggio che offre questo tipo di soluzione. Fare riferimento a un SOC esterno, che gestisce l’attività relativa a più aziende, permette infatti di godere di un effetto moltiplicatore in quanto a capacità di analisi dei dati e di raccolta di informazioni. La disponibilità di un maggior numero di sensori e di dati reperiti attraverso la raccolta dei log dei sistemi IT consente infatti al SOC di migliorare le sue capacità di rilevamento delle minacce e garantire una maggiore efficacia a livello di contrasto degli attacchi informatici. Insomma: l’esternalizzazione dell’attività di threat intelligence innesca, a livello globale, un effetto feedback che migliora il livello complessivo di sicurezza di tutti i soggetti coinvolti. Un elemento, questo, che sta influendo in maniera determinante sul successo del modello della security as a service.