Technology

Cybersecurity Asset Management: Best Practice e casi critici

Come procedere efficacemente per identificare e correlare prontamente operazioni compiute da device che si manifestano temporaneamente sulla rete di una organizzazione, e riconoscere per tempo tentativi di attacco e danni futuri.

di Alessia Valentini

L’IT Asset Management (ITAM) non è una disciplina nuova nell’informatica moderna, ultimamente però il suo utilizzo sta assumendo un carattere strategico per le organizzazioni. Questo principalmente a causa delle nuove tecnologie, che se da un lato apportano importanti benefici, dall’altro, specialmente se non adeguatamente protette, contribuiscono all’estensione della superficie di attacco.

Identificare l’Asset Management solo con il processo di discovery di Hardware (HW) e Software (SW), non è corretto. Questo perché, se è vero che “si protegge solo ciò che si conosce”, allora proprio per questa ragione il semplice inventario degli asset, se pur necessario, da solo non basta.

Perchè sia efficace è infatti necessario prendere in considerare anche altri livelli di analisi, che consistono nel:

  • identificare le risorse per tipologia e classificarle, associando misure di sicurezza appropriate da monitorare nel tempo per poterne valutare la corretta attuazione e far emergere eventuali criticità;
  • conoscere i dati che ogni device HW e applicazione SW tratta e gestisce per garantirne l’appropriata messa in sicurezza da sottrazioni ed esfiltrazioni colpose o dolose;
  • valutare l’ambiente fisico che accoglie HW e SW, perché un disastro ambientale può impattare le risorse sensibili incidendo pesantemente sulla funzionalità dei device, e nel prevedere un adeguato sito secondario di Disaster Recovery;
  • conoscere l’ambito del personale aziendale che interagisce con questi asset, per renderli consapevoli di come il proprio ruolo/responsabilità possa incidere in termini di sicurezza informatica sugli asset da proteggere.
L’importanza del monitoraggio continuo per l’identificazione e la correlazione

Dotarsi di una soluzione di Cybersecurity Asset Management è quindi fondamentale per poter supportare i team di security nel tracking permanente di ognuno dei livelli di analisi elencati: HW, SW, dati, facilities e accessi delle persone. Ma sopratutto è utile e cruciale in caso di compromissione e violazione informatica. In questi casi accertare i regolari aggiornamenti di sicurezza ed effettuare le opportune indagini rispetto ai permessi di accesso alle singole risorse diventa determinante.

Inoltre, il monitoraggio continuo delle risorse è una componente fondamentale in molti standard di conformità della sicurezza informatica contemporanei. Nel NIST Cybersecurity Framework, ad esempio, l’identificazione di sistemi, risorse, dati e capacità di un’organizzazione è il primo passo per l’implementazione della cybersecurity connessa agli asset. Il National Cybersecurity Center of Excellence (NCCoE) in proposito, ha anche emesso nel 2018 la versione finale della guida NIST “IT Asset Management”, la SP 1800-5.

Adottare una soluzione di Cybersecurity Asset Management offre quindi alle organizzazioni la capacità di monitorare, gestire e creare report sulle risorse informative durante l’intero ciclo di vita. Questo ha effetti essenziali in termini di Cybersecurity perché può migliorare:

  • la visibilità delle risorse,
  • il rivelamento di quali applicazioni sono effettivamente utilizzate,
  • la risposta più rapida agli avvisi di sicurezza
  • la riduzione dei tempi di risposta dell’help desk,
  • l’identificazione delle risorse vulnerabili,
  • una maggiore resilienza dell’intero sistema informativo aziendale grazie alle misure di sicurezza introdotte.
Gestire le criticità di device distribuiti o di nuova generazione

Casi particolarmente critici sono legati al mondo finanziario. Gli istituti di credito hanno spesso sistemi digitali distribuiti in ampie aree geografiche (gli ATM ad esempio). Su questi device è necessario garantire la sicurezza, la robustezza e la resilienza, senza lasciare aperte vulnerabilità SW o debolezze che indirettamente potrebbero essere sfruttate dagli attaccanti.

Particolarmente critici sono anche i device di nuova generazione quali IoT o Smart Device. Tutte le organizzazioni che li hanno adottati potrebbero sperimentare attacchi e violazioni nemmeno troppo sofisticati, come le recenti cronache ricordano. La causa principale di queste violazioni dipende solitamente dalla mancanza di aggiornamento delle patch di security periodicamente rese disponibili dai vendor, e che dovrebbero essere installate appena possibile.

Per questo motivo un tool specializzato nel monitoraggio continuo di tutte le risorse digitali dell’organizzazione è l’unico modo per identificare “il cosa proteggere”. I task di osservazione del comportamento degli asset e di correlazione di eventi apparentemente non significativi fra loro, dovrebbero essere considerati insieme e confrontati con le policy e le misure di sicurezza applicate su quei Device, per riconoscere immediatamente anomalie associabili a tentativi di effrazione.

A differenza delle soluzioni SIEM, specializzate nella correlazione di informazioni ed eventi, alcuni tool di Cybersecurity Asset Management non si limitano solo a correlare eventi e inviare warning o alert, ma possono subito contribuire fattivamente alla reazione, attuando policy e task preventivamente impostati.

I problemi nascosti: Shadow IT, Dark Data e Device “effimeri”

Con Shadow IT e Dark Data vengono identificati due annosi problemi. Rispettivamente quello delle risorse informatiche presenti sulla rete di una organizzazione senza esplicito permesso, e quello legato ai dati “dimenticati” nei sistemi informativi, dopo numerose duplicazioni “di servizio”.

Formalmente si parla di Shadow IT quando in azienda sono presenti strumenti e servizi usati dai dipendenti senza esplicita autorizzazione. Talvolta questi oggetti hanno un corrispettivo hardware, ma più spesso sono sostanzialmente software installati di nascosto o per soddisfare esigenze temporanee.

Nel caso dei Dark Data invece può trattarsi di dati non bene identificati, obsoleti, ininfluenti ai fini aziendali, dati personali, a volte perfino illeciti.

Quello che accomuna entrambi è la completa invisibilità e non conoscenza da parte dei team di security e forse anche dei team IT. Di conseguenza ne deriva la totale assenza di policy di sicurezza da applicare, di aggiornamenti da effettuare e un monitoraggio efficace. Insomma, una specie di terra di nessuno, che come si può facilmente comprendere è densa di rischi dal punto di vista della cybersecurity. 

Il loro controllo è però un prerequisito essenziale, sia in termini di security che di privacy, per le indicazioni normative della NIS e del GDPR e per tutte quelle attuative ad esse correlate.

Non meno importanti in ambito cybersecurity sono i cosiddetti device “effimeri”, ovvero oggetti digitali come dischi e macchine virtuali, volumi di dati temporanei e container. Questi costituiscono nell’ambito della Shadow IT un pericoloso sottogruppo. Necessitano infatti di particolari attenzioni per la loro caratteristica di apparire e scomparire dalla rete di una organizzazione in modo estemporaneo. Proprio per questa loro peculiarità, questa tipologia di device risulta particolarmente pericolosa, ed è spesso utilizzata per attuare attacchi sofisticati. Pertanto tenere sotto controllo questo tipo di oggetti e saperne monitorare il ciclo di vita risulta strategico e cruciale.

Cybersecurity Asset Management: per rendere sicuro quello che non conosci

Imparare a farlo tenendo a mente le Best Practice, ma soprattutto dotando la propria organizzazione del giusto strumento di Cybersecurity Assett Management, è un approccio appropriato. La sua attuazione consente una periodica revisione e rivalutazione della postura di sicurezza di ogni asset: tradizionali, di nuova generazione o “effimeri”.

Per questa ragione Gruppo Daman propone la soluzione di Cybersecurity Asset Management Axonius. Con le sue peculiarità e il suo approccio unico, Axonius garantisce una visione unificata di tutte le risorse tecnologiche, conosciute e sconosciute, on premise e in cloud.

La soluzione abilita analisi complesse con semplici query, aggregando informazioni provenienti da ben oltre 100 diverse tipologie di soluzioni per la gestione e la sicurezza degli asset. In questo modo il prodotto è completamente Agentless, in quanto in grado di utilizzare le diverse soluzioni presenti nell’environment come sonde.

La soluzione abilita anche l’attuazione di misure di remediation a fronte di condizioni configurabili per consentire ai sistemi competenti di riparare quanto emerso dalle notifiche o allarmi e migliorare così la compliance aziendale.

Per saperne di più…