[section_title title=Internet of Things, croce e delizia: come proteggere i dati?]
La sfida è dare un senso a questa intelligenza, date la varietà e la vastità della serie di dati. Pensando al numero di dispositivi su una rete elettrica, in un sito di produzione, o in un quartiere della città, ci sono molti più zeri in quel numero che in una tipica rete aziendale. Ogni dispositivo, firewall e gateway pubblicherà informazioni sul comportamento di ogni singolo dispositivo connesso. Bus di messaggistica Security possono portare rapidamente queste informazioni ai sistemi interessati, rendendole disponibili al team competente del SOC o dell’incident response. E poi?
Questa nuova ondata di dati si aggiunge al problema già attuale dei big data della security, dal momento che gli analisti di sicurezza sono già sommersi da eventi e avvisi, cercando di sfruttare analytics ad elevate prestazioni, come Hadoop, per trovare un significato nella mole delle informazioni disponibili. Il SIEM log management- oriented sta già cedendo il passo a sistemi avanzati molto abili nel filtraggio, elaborazione e valutazione di questi dati, in grado di individuare gli eventi anomali o per i quali si rendono necessarie indagini più approfondite. L’IoT accelererà questa transizione caricando i team operativi di security di un onere ancora più pesante a seguito della corsa ai “must-have” indossabili e connessi ricevuti in regalo quest’anno.
L’intelligence delle minacce verticale, come stiamo vedendo ad esempio con il FS-ISAC (Financial Services Information Sharing and Analysis Center) e altre iniziative a livello governativo, sarà normalizzata e correlata con dati sulle minacce locali, sulla propria azienda, e globali, per aiutare i sistemi e il personale a decidere quali contromisure intraprendere.
I vendor informeranno l’intelligence sulle minacce a livello di dispositivo e di settore verticale, proprio come fanno oggi per gli endpoint esistenti. L’internet degli oggetti può essere protetto, ma la protezione sarà possibile pensando la sicurezza come parte integrante dell’infrastruttura, non come un’aggiunta a posteriori.
Una volta rilevato un comportamento anomalo e identificato come potenziale indicatore di attacco o indicatore di compromesso, sarà essenziale condividere queste informazioni rapidamente all’interno della community. Con la velocità di esecuzione e la capacità di adattamento degli attacchi odierni, non sarà più accettabile mantenere per sé l’informazione su una minaccia, né attendere gli avvisi di sicurezza dai team centralizzati.
L’obiettivo è chiaro: un sistema di informazioni condivise e automatizzate sulle minacce, correlate con i dati su minacce globali, nazionali, locali, verticali, e mirate e inquadrate infine in una visione olistica su misura per ogni organizzazione.
