La cybersecurity è ormai diventata un tema di conversazione all’interno delle aziende di qualsiasi settore. A fronte di un costo medio per violazione pari a circa 200 dollari per ogni record1 perso di un cliente, e ancor più elevato per la proprietà intellettuale perduta, le aziende sono alla ricerca di nuove soluzioni. Le aziende più lungimiranti hanno individuato una nuova classe di soluzioni in grado di rilevare le nuove minacce più sofisticate, progettate in modo da apparire come un’applicazione tipica di acquisizione e analisi di grandi volumi di dati. Queste soluzioni aiutano a combattere i criminali informatici e le minacce persistenti avanzate (APT) e, di conseguenza, le aziende hanno optato per gli hub di dati aziendali, basati su Apache Hadoop, per armarsi e supportare la sicurezza informatica.
Le sfide della sicurezza
Gli aggressori sono diventati più sofisticati, le occasioni e il numero di attacchi sono cresciuti in modo esponenziale, di conseguenza le aziende si trovano impreparate a gestire situazioni critiche, a ciò si aggiunge la minaccia rappresentata dal crescente numero di device e connessioni non verificate all’interno dell’azienda e gli strumenti a disposizione del centro operativo di sicurezza (SOC) non sono stati creati per il panorama attuale.
Gli indicatori di compromissione (IoC) sono spesso nascosti in flussi di dati che provengono da innumerevoli sistemi: tali informazioni sono difficili da analizzare e archiviare, oppure poco strutturate per adattarsi ai sistemi esistenti. Il risultato è che il SOC si limita ad analizzare sottoinsiemi di dati di sicurezza per rilevare solo gli exploit noti utilizzando la corrispondenza della firma, la correlazione e l’analisi dei dati inseriti manualmente in un sistema e riutilizzati in un altro.
Cloudera ha identificato una serie di sfide che le aziende si trovano ad affrontare:
· Impossibilità di accedere ai dati – Con le tradizionali architetture di sicurezza informatica, i SOC vedono solo una piccola percentuale dei dati di sicurezza. Il motivo è che i volumi e la varietà di dati oggi superano i limiti della tecnologia attuale. Per affrontare il problema del volume di dati, i centri operativi di sicurezza limitano le fonti di dati monitorate e archiviano questi dati, in genere, dopo 60-90 giorni. Inoltre i SOC non dispongono di mezzi efficaci per l’archiviazione e l’analisi di dati non strutturati, come email e messaggi di testo che possono contenere indicatori preziosi di potenziali minacce, utilizzando tecniche quale l’analisi del sentiment.
· Analisi limitate – Poiché i criminali informatici sfruttano tecniche di attacco sempre più avanzate, i tradizionali sistemi per la gestione delle informazioni e degli eventi di sicurezza (SIEM) non sono in grado di identificare l’attacco in quanto le soluzioni SIEM rilevano le minacce note utilizzando firme e correlazione di dati. I SOC hanno quindi bisogno di sfruttare tecniche avanzate di analisi al fine di scoprire le minime variazioni nei comportamenti di un utente e di un sistema, che sono gli indicatori più affidabili di compromissione. Quest’analisi comportamentale, infatti, consente la rilevazione di connessioni interne non verificate e APT, ma è necessario monitorare terabyte di dati affinché sia efficace.
· Tempi lunghi per la mitigazione – I responsabili della sicurezza spesso non hanno l’accesso diretto ai dati necessari per poter avviare analisi e attività di mitigazione efficienti. Grazie ai sistemi SIEM, l’azienda ha a disposizione informazioni di valore solo per un breve periodo di tempo: i security manager devono quindi richiedere i dati al team operativo al fine di ottenere le informazioni di cui hanno bisogno, e spesso questo processo richiede giorni o addirittura settimane.
· Sicurezza dei dati obsoleta – In questo nuovo mondo ultra-connesso, i sistemi che archiviano le informazioni sulla sicurezza non sono stati creati per proteggere in modo efficiente i dati. Inoltre, la sicurezza dei dati è estremamente difficile da gestire dato il numero sempre maggiore di utenti che accedono a tali informazioni.
· Un numero sempre maggiore di punti di contatto – Il numero di sistemi all’interno dell’azienda, e di utenti che li utilizzano, sono aumentati notevolmente, a ciò si aggiunge il volume di informazioni necessarie da monitorare e analizzare che mette sotto stress i sistemi tradizionali.
È ormai chiaro che per combattere gli attacchi interni e le APT è necessario un nuovo tipo di soluzione in grado di rilevare le anomalie mentre si stanno svolgendo. Queste sfide rappresentano una grande opportunità per i SOC di ottimizzare capacità e risorse e diventare proattivi ed efficaci nella lotta contro gli aggressori informatici.
I vantaggi di una soluzione EDH
L’hub di dati aziendali (EDH) di Cloudera per la cybersecurity rappresenta una soluzione progettata per rilevare tutte le minacce nelle prime fasi del processo di attacco, aiutando le aziende a evitare danni finanziari e di reputazione. A differenza delle soluzioni tradizionali, la soluzione EDH per la cybersecurity può acquisire, memorizzare e analizzare qualsiasi volume di dati relativi alla sicurezza informatica, consentendo di rilevare anche i più piccoli cambiamenti comportamentali di un utente o di un sistema. Grazie all’integrazione di un EDH con i sistemi esistenti, le aziende possono sviluppare rapidamente e senza alcuna interruzione una nuova strategia di sicurezza.
Cloudera assicura una serie di vantaggi grazie all’utilizzo di una soluzione di sicurezza moderna ed efficace:
· Dati di sicurezza unificati – I dati e le informazioni relativi agli eventi possono essere una risorsa strategica solo se gestiti da un sistema in grado di memorizzare qualsiasi volume o varietà di dati. Quando i SOC implementano un sistema EDH possono predisporre di un unico, ampio repository di dati sulla sicurezza al fine di conservare le informazioni per sempre. In questo modo i SOC hanno a disposizione un’unica piattaforma scalabile per lo storage e l’analisi di dati relativi a endpoint, rete, cloud e utente, oltre al pieno supporto per fonti di dati non tradizionali come email, testi, social media, audio e video. Con Hadoop come soluzione tecnologica di base, inoltre, le aziende possono memorizzare tali dati su una piattaforma accessibile a un costo inferiore per terabyte rispetto ai sistemi tradizionali.
· Rilevamento delle minacce avanzate persistenti (APT) – La soluzione EDH di Cloudera per la cybersecurity alimenta una nuova generazione di analisi di sicurezza progettata per rilevare le minacce basate sull’analisi comportamentale. L’azienda può sfruttare avanzate tecniche statistiche e di apprendimento automatico al fine di individuare i criminali e le intrusioni all’interno del perimetro aziendale, oltre alle minacce avanzate persistenti. In questo modo si individuano rapidamente i comportamenti atipici degli utenti e dei sistemi, permettendo all’azienda di rilevare minacce sconosciute e insolite.
· Rapido processo di mitigazione delle minacce – Utilizzando un unico hub di dati aziendali per la cybersecurity, Cloudera permette di velocizzare le attività di analisi e ridurre il tempo necessario a mitigare una violazione: il dipartimento sicurezza può quindi accedere in tempo reale ai dati storici e risolvere rapidamente gli eventi segnalati.
Conclusioni
La soluzione EDH, alimentata da Apache Hadoop, ha spostato il paradigma della gestione dei dati per la sicurezza informatica e per il rilevamento delle minacce: le aziende beneficiano della potenza di Hadoop e sfruttano le caratteristiche dell’EDH di Cloudera per lo sviluppo di una soluzione di sicurezza affidabile e scalabile. Le aziende possono ora archiviare volumi illimitati e varietà di dati di sicurezza grazie a potenti analisi comportamentali di terabyte di dati per rilevare criminali informatici e APT, e, attraverso le funzioni di ricerca, possono visualizzare tutti i dati storici accelerando le indagini e la mitigazione.
