La data driven cyber security è un approccio alla sicurezza informatica emerso negli ultimissimi anni. Tradizionalmente, infatti, la data science e i big data avevano un ruolo piuttosto marginale ed erano gestiti per lo più manualmente dai security team. Oggi la situazione sta cambiando in maniera sempre più radicale.
Che cosa ha indotto questa nuova tendenza? La crescita dei cyber attacchi e l’aumento delle minacce, sempre più numerose e sempre più tecnologicamente avanzate. Attraverso un approccio data driven alla cyber security, i dati sono utilizzati per rilevare e catalogare tutte le minacce con un aggiornamento costante. Questo approccio è alla base della cyber threat intelligence e sta favorendo la prevenzione del rischio informatico.
I vantaggi della Cybersecurity Analytics
Utilizzare un approccio data driven alla cybersecurity risulta vantaggioso per diversi aspetti. Su un piano macroscopico, possiamo dire che la cybersecurity analytics permette di adottare una strategia proattiva e non attendista verso gli attacchi informatici.
Nel dettaglio, la cyber threat intelligence basata sui dati permette di anticipare, prevedere e conoscere minacce, malware e spyware sempre nuovi.
Le aziende che scelgono di adottare delle piattaforme di threat intelligence scelgono di anticipare gli attaccanti. Lo scopo di questi software è di analizzare i big data, gestendo molteplici data feed, per avere un elenco di minacce sempre aggiornato. Questi elenchi oltre ad essere sempre up-to-date devono essere privati dei doppioni.
Attraverso l’analisi dei dati, il Machine Learning e l’Intelligence Artificiale, le piattaforme di threat intelligence riescono ad analizzare le minacce informatiche e dare l’allerta in caso di incidente, quasi real time.
Oggi gli hacker hanno a loro disposizione molte soluzioni e lo scenario si evolve in maniera estremamente rapida. Per le organizzazioni è davvero fondamentale avere una protezione informatica sempre aggiornata, anche nei confronti di malware, spyware e altri software dannosi recentissimi.
Solo l’analisi di dati raccolti attraverso database globali permette di raggiungere questo obiettivo ambizioso e di mitigare un cyber risk sempre crescente, attraverso la prevenzione degli attacchi.
I software SIEM di ultima generazione si stanno muovendo proprio in questa direzione, con funzionalità di cyber threat intelligence basata sulla data science.
Il ruolo dei SIEM nella data driven cybersecurity
I SIEM sono prodotti o software che combinano e tecnologie di sicurezza informatica basata sui dati (SIM) e la gestione degli incidenti informatici (SEM). Infatti la sigla sta per security information and event management.
In altre parole, una piattaforma SIEM ha principalmente tre obiettivi, quali:
- analisi real time degli eventi
- raccolta dei dati sull’evento e reportistica
- incident response.
Sono strumenti vantaggiosi soprattutto perché la gestione delle diverse funzioni è centralizzata, con una semplificazione del lavoro per il security team.
I SIEM di ultimissima generazione stanno facendo degli ulteriori passi avanti, aggiungendo delle features dedicate alla threat intelligence per avere una protezione sempre aggiornata.
Queste piattaforme quindi analizzano i big data provenienti da più fonti e li riportano in un feed che permette di riconoscere e rilevare una minaccia nel momento stesso in cui si presenta.
Un esempio: la threat intelligence data driven di AlienVault USM
AlienVault Unified Security Management è una piattaforma che va anche oltre il concetto di SIEM, nel senso che mira a una gestione unificata di tutti i principali aspetti di sicurezza informatica:
- rilevazione degli asset
- analisi del rischio
- rilevazione delle intrusioni
- monitoraggio comportamentale
- protezione e risposta endpoint
- SIEM e Log Management
- compliance e reportistica.
Dal punto di vista della data driven cyber security è un software “intelligente” perché la cybersecurity analytics di fonda su due strategie:
- l’AlienVault Labs Threat Intelligence
- l’Open Threat Exchange.
L’AlienVault Labs Threat Intelligence è un servizio di intelligence messo a disposizione degli utenti e dei cybersecurity teams, che possono reperire informazioni sempre aggiornate su minacce, tecniche di hacking, nuovi attacchi ecc.
L’Open Threat Exchange è invece una repository di dati di rilevanza globale, dove sono registrate tutte le minacce informatiche, i malware, i trojan e i software malevoli esistenti. Anche questa repository è in aggiornamento continuo.
Sul piano della data driven cybersecurity AlienVault USM è quindi un esempio eccellente perché parte dall’analisi di big data globali per innescare un sistema di protezione a tutto tondo per le aziende e gli enti.
Non solo conosce tutte le minacce possibili, ma ha tempi di risposta e di gestione degli attacchi estremamente rapidi, con una gestione semplificata per il team di sicurezza informatica. Combina quindi l’approccio proattivo di prevenzione del rischio, con quello attivo di reazione all’attacco.
Per ulteriori informazioni:
visita la pagina dedicata a AlienVault.