Costruire Ponti Digitali: l’interoperabilità nella lotta contro le minacce informatiche
A cura di Sandra Marsico
Ormai non si può iniziare una dissertazione su argomenti inerenti la cyber security senza un doveroso preambolo: l’ecosistema digitale odierno è caratterizzato da minacce informatiche in continua evoluzione e sempre più sofisticate, perimetri di sicurezza che si estendono oltre i confini tradizionali, organizzazioni che implementano una vasta gamma di soluzioni di sicurezza e un bisogno sempre più impellente di affrontare la sicurezza in modo olistico o, come si suol dire, come un “tutto”.
È in questo panorama che l’interoperabilità tra gli strumenti di cybersecurity emerge come una necessità imperativa per il raggiungimento di diversi obiettivi, tra i quali:
- Affrontare in modo efficace e tempestivo gli attacchi informatici, massimizzando l’efficienza delle risorse e riducendo i tempi di risposta.
Ricordiamoci che il Dwell Time (tempo di permanenza) medio globale relativamente alla persistenza degli attaccanti all’interno delle infrastrutture delle vittime, è sì in continuo calo, anno dopo anno, ma che è ancora a dei livelli pericolosamente elevati. Secondo l’ultimo rapporto M-Trends 2023 il numero medio di giorni in cui un attaccante è rimasto sottotraccia nell’ambiente target prima di essere rilevato, è stato di 16 giorni nel 2022.
- Utilizzare in modo più efficiente le risorse, sia in termini di hardware/software che di risorse umane.
Evitare quindi sovrapposizioni in termini di funzionalità erogate o espletate, ridurre gli interventi manuali, permettendo alle organizzazioni di destinare i propri dipendenti a compiti che richiedono maggiore attenzione strategica. Potremmo dire compiti più di concetto e meno esecutivi. E questo ci porta al terzo obiettivo.
- Potenziare l’efficienza operativa e l’automazione attraverso l’ottimizzazione dei processi di sicurezza.
Per fare degli esempi molto semplici, parliamo in questo caso di attività quali scansioni delle vulnerabilità, distribuzione di patch e, come indicato in precedenza, della risposta agli incidenti. Lo scopo è quello di rendere le operazioni più rapide ed efficienti.
L’interoperabilità si potrebbe definire come la capacità di interazione tra sistemi eterogenei, e si rivela essenziale per lo scambio efficace di dati e l’armonizzazione dei vari sistemi di protezione in campo che, nella maggior parte dei casi, vengono offerti da differenti produttori.
Questo concetto sostiene non solo una comunicazione continua e senza ostacoli tra piattaforme tecnologicamente diverse, ma offre inoltre la possibilità, per le entità che intendono perseguirla, di sviluppare una strategia di sicurezza informatica su misura, che si amalgama senza frizioni con la propria infrastruttura di sicurezza la quale, se pure basata sulle migliori best practice del settore, rimane naturalmente unica nel suo genere ed esclusiva dell’organizzazione.
Il raggiungimento di un’interoperabilità completa è al momento una sfida che, nonostante gli immensi progressi che si stanno raggiungendo in tal senso, appare ancora molto lontana dall’essere vinta. Le differenze tra le architetture dei sistemi, la varietà dei linguaggi di programmazione e l’esigenza di proteggere le informazioni sensibili, complicano l’integrazione.
Non da ultima, vi è la questione della volontà dei fornitori di collaborare nello standardizzare le loro soluzioni per il bene comune, superando la tendenza a creare ecosistemi chiusi. Se per le organizzazioni i benefici sono facilmente individuabili (in questo articolo ne abbiamo già citati tre, a mero titolo esemplificativo, ma ve ne sono molti di più), anche per i fornitori di soluzioni di sicurezza le opportunità che derivano da un maggior focus sull’interoperabilità non sono da sottovalutare. Una su tutte, la possibilità di distinguersi in un mercato competitivo, offrendo soluzioni che non solo siano potenti da sole ma possano anche amplificare l’efficacia delle tecnologie esistenti.
Mentre esploriamo le complessità e le sfide dell’interoperabilità nell’ambito della cybersecurity, emergono ulteriori considerazioni che ampliano la nostra comprensione su come affrontare efficacemente le minacce informatiche.
La distanza tra l’ambizione di un’interoperabilità completa e la realtà attuale ci spinge a riflettere non solo sulle barriere tecniche e sulla volontà dei fornitori, ma anche sul divario percettivo tra i produttori di software di sicurezza e le effettive necessità dei loro utenti finali. Questo divario risalta particolarmente quando consideriamo l’ampia gamma di utenti che interagiscono con le soluzioni di cybersecurity.
Tradizionalmente, si potrebbe pensare che il personale IT sia l’unico custode della sicurezza digitale di un’organizzazione. Tuttavia, la realtà è molto più sfaccettata. Organizzazioni vitali, come quelle che gestiscono l’infrastruttura critica nazionale o i sistemi industriali, si affidano spesso a specialisti non IT per implementare e gestire le loro strategie di cybersecurity. Questa pratica mette in luce l’importanza di sviluppare soluzioni interoperabili che siano non solo tecnicamente compatibili tra diversi sistemi, ma anche accessibili e utilizzabili da un’ampia varietà di professionisti.
La vera misura del successo di un prodotto di cybersecurity non si trova solamente nella sua capacità di soddisfare le esigenze tecniche del personale IT, ma nel suo impatto sulla leadership aziendale e sulle autorità che valutano la postura di sicurezza di un’entità.
Chief Information Security Officers (CISO) e altri responsabili della sicurezza devono allora superare una visione ristretta che si concentra esclusivamente sulle nuove funzionalità del software. È essenziale riconoscere che il valore di una soluzione di cybersecurity si estende ben oltre la sua efficienza operativa, abbracciando aspetti critici come la conformità normativa, la gestione del rischio e la mitigazione delle vulnerabilità.
Collegando questi concetti, diventa evidente che l’interoperabilità e l’adattabilità delle soluzioni di cybersecurity non devono solo facilitare la comunicazione tecnica tra diversi sistemi. Devono anche rispecchiare una comprensione profonda delle variegate necessità degli utenti finali e delle strutture organizzative. Solo attraverso un approccio inclusivo e olistico, che riconosce l’importanza di soddisfare le esigenze di un’ampia gamma di stakeholder, si può veramente avanzare verso un ecosistema di cybersecurity più resiliente ed efficace.
Arrivati a questo punto di comprensione del perché andrebbe perseguita l’interoperabilità, chi ne beneficerebbe e a che livello, nasce spontanea una domanda: quali sono gli strumenti che, ad oggi, hanno gettato, e stanno gettando, le basi per la realizzazione di un’architettura interoperabile?
Tecnologie SIEM: le piattaforme di Security Information and Event Management (SIEM) aggregano dati di log provenienti da una varietà di fonti, inclusi computer e server basati su sistemi operativi Windows e Unix like, dispositivi di networking, applicazioni (custom e di terze parti), e innumerevoli altre sorgenti fino ad arrivare ai controllori logici programmabili (PLC). Questi sistemi facilitano l’interoperabilità attraverso l’unificazione dei formati di log, applicando metodi di filtraggio, analisi e standardizzazione dei vari campi dati (con la normalizzazione del formato della data che rappresenta un vantaggio significativo già di per sé).
Tecnologie SOAR: i Security Orchestration, Automation, and Response (SOAR) sono soluzioni informatiche già progettate allo scopo di ottimizzare le operazioni di sicurezza. Integrano diversi strumenti, automatizzano i compiti ripetitivi e coordinano le risposte agli incidenti informatici. Il loro utilizzo migliora l’efficienza dei team di sicurezza, riduce i tempi di risposta alle minacce e aumenta l’efficacia complessiva della gestione degli incidenti di sicurezza. È doveroso dire che, anche se nati per gli ambiti di cybersecurity, i SOAR vengono oggi utilizzati in modo proficuo anche in altri settori.
Tecnologie EDR/XDR: Endpoint Detection and Response (EDR) ed Extended Detection and Response (EDR) sono tecnologie di sicurezza che forniscono visibilità e difesa contro le minacce informatiche. Gli EDR si concentrano sulla protezione dei singoli endpoint, come computer e dispositivi mobili, monitorando e rispondendo a comportamenti sospetti. Gli XDR estendono questo concetto, integrando dati e segnali di allarme da più fonti, come reti, cloud ed endpoint, per offrire una visione olistica delle minacce e facilitare una risposta coordinata. Entrambi migliorano significativamente la capacità di rilevare, indagare e neutralizzare le minacce in tempo reale, rafforzando la postura di sicurezza complessiva. Similmente (ma senza potersi sostituire ad esse) alle tecnologie SIEM, queste tecnologie contribuiscono all’interoperabilità consolidando dati da fonti diverse.
STIX e TAXII: Structured Threat Information eXpression (STIX) e Trusted Automated eXchange of Indicator Information (TAXII) sono standard progettati per facilitare lo scambio di informazioni su minacce informatiche in modo strutturato e automatizzato. STIX definisce come rappresentare le informazioni sulle minacce, mentre TAXII stabilisce il protocollo per lo scambio di tali informazioni. Insieme, migliorano la collaborazione tra le varie entità nella lotta (troppo spesso impari) contro le minacce informatiche, consentendo condivisione rapida e affidabile di intelligence sulla sicurezza.
YARA RULES: le Yara Rules sono un insieme di criteri utilizzati per identificare e classificare malware e altre minacce informatiche attraverso la scansione di file o flussi di dati. Queste regole permettono agli analisti di sicurezza di definire pattern specifici, come sequenze di byte o stringhe testuali, che corrispondono a caratteristiche note di software identificati come dannosi.
API: le Application Programming Interfaces (API) sono insiemi di regole e definizioni che consentono a software diversi di comunicare tra loro. Fungono da intermediari, permettendo alle applicazioni di scambiare dati e di richiedere servizi in modo efficiente e sicuro (se sviluppate in nome della security by design). L’uso delle API facilita l’integrazione e l’automazione tra diverse piattaforme e servizi, migliorando la flessibilità e l’espandibilità delle applicazioni, e contribuendo allo sviluppo di ecosistemi tecnologici più connessi e interfunzionali.
Le tecnologie citate, tendenzialmente espongono o si avvalgono di API per fornire le funzionalità di interoperabilità di nostro interesse.
Molti fornitori offrono accesso di terze parti a un set (seppur limitato) di risorse nei loro prodotti software tramite interfacce API.
Purtroppo, non esiste ad oggi una standardizzazione nelle strutture dei messaggi o nelle risposte, portando a differenze nel design e nei set di funzionalità tra i vari fornitori.
La notizia positiva è che iniziative come lo sviluppo di standard di settore più coerenti e la promozione di una cultura di collaborazione tra fornitori e organizzazioni utenti stanno gettando le fondamenta per un futuro in cui l’interoperabilità non sia solo possibile, ma diventi la norma.
L’adozione di tecnologie interoperabili rappresenta una pietra miliare cruciale nella lotta contro le minacce informatiche. Man mano che ci muoviamo verso questo obiettivo, è fondamentale che tutti gli attori coinvolti- dalle aziende tecnologiche ai decisori aziendali, fino agli stessi professionisti della sicurezza - riconoscano il valore e il potenziale di un approccio unitario alla cybersecurity.
Solo attraverso sforzi congiunti e un impegno verso l’integrazione e la cooperazione possiamo sperare di costruire un ambiente digitale più sicuro per tutti.