L’automazione dei processi è un’arma in più per la sicurezza. È possibile migliorare le procedure per la reazione a un problema di cyber-security? Al Knowledge18 di Las Vegas spiegano come.
Quando si parla di sicurezza informatica il focus si concentra di solito sulle tecnologie di rilevamento e contrasto dei malware o degli attacchi informatici. Nella conferenza annuale di ServiceNow (Knowledge18) il tema della cyber-security prende tutta un’altra piega e accende i riflettori sulla gestione dei processi.
Non potrebbe essere diversamente: ServiceNow, azienda nata nel 2004, non è infatti una società di sicurezza in senso stretto. Si occupa invece di automazione dei processi attraverso tecnologie cloud e di intelligenza artificiale.
“Quando ho cominciato a lavorare qui non esisteva ancora un prodotto specifico per la sicurezza” ci spiega Piero DePaoli, Senior Director del settore Security. “Ma quello che stiamo facendo è fondamentale per chi si occupa di cyber-security all’interno delle aziende”.
Sintetizzando, quella proposta da ServiceNow è una piattaforma pensata per organizzare e automatizzare i processi aziendali, sfruttando sistemi che consentono l’accesso ai dati e la definizione di flussi di lavoro attraverso procedure (completamente o parzialmente) automatizzate.
Di solito queste tecnologie sono usate per la gestione delle risorse umane, la gestione delle infrastrutture IT o il customer care. La cyber-security, però, è un settore in cui possono offrire un contributo notevole.
“In qualsiasi azienda, i responsabili della sicurezza si trovano a dover gestire un numero spaventoso di segnalazioni e avvisi che devono essere prima di tutto verificati e in seguito trattati con le operazioni più opportune” puntualizza De Paoli.
Il problema è che, anche a fronte di rilevamenti puntualissimi e segnalazioni impeccabili da parte dei software di sicurezza, il lavoro dal punto di vista di chi deve fare fronte a una minaccia è solo cominciato. Una delle difficoltà che si incontrano è quella di coordinarsi come squadra e a livello aziendale per fare in modo che il pericolo sia scongiurato.
“Normalmente la comunicazione tra le persone avviene via email, sistemi di chat, telefonate. Tutti strumenti che sono fallibili. Basta un errore e l’intera procedura viene messa a rischio. Senza contare che l’uso di questi strumenti non è particolarmente rapido”.
ServiceNow Security Operations, che Gartner definisce come un sistema di “orchestrazione, automatizzazione e risposta” è in pratica una piattaforma che consente di utilizzare un flusso di lavoro predefinito (ma personalizzabile) attraverso il quale ogni persona impegnata nel processo riceve un compito specifico che, una volta completato, avvia il passaggio successivo.
Il sistema consente di monitorare l’avanzamento del processo e offre la certezza che ognuno riceva istruzioni su ciò che deve fare esattamente quando lo deve fare, tenendo traccia di ogni passaggio.
“In questo modo si evitano continui rimpalli tra i vari operatori o settori dell’azienda, migliorando i tempi di risposta e, ancora più importante, eliminando il rischio che il processo si interrompa”.
Ma quale livello di compatibilità ha questa piattaforma con i software di sicurezza in commercio? Secondo DePaoli è elevatissimo. Non si tratta infatti di integrare i dispositivi o i software di protezione in una nuova piattaforma, ma di affiancarla ai sistemi esistenti.
“Abbiamo sviluppato delle API che permettono la comunicazione con molti dei maggiori prodotti in commercio” prosegue DePaoli “ma in realtà tutto può essere fatto attraverso un email parser (un sistema automatico di analisi delle email – ndr) che raccoglie gli alert provenienti dai sistemi di sicurezza e li avvia nel processo”.
Tutti i processi possono sfruttare informazioni provenienti da qualsiasi fonte, che vengono “digeriti” dalla piattaforma e usati per velocizzare l’attività degli addetti alla cyber-security.
Questa impostazione consente, in definitiva, di poter utilizzare la piattaforma in qualsiasi ecosistema senza stravolgere l’architettura di sicurezza.
È possibile inoltre inserire nel processo elementi provenienti da qualsiasi tipo di database, come quelli forniti in modalità open (ad esempio Virus Total) o quelli forniti come servizi commerciali (Intelligence e analisi) che vengono elaborati da sistemi di intelligenza artificiale e messi a disposizione degli operatori direttamente quando gli viene sottoposto il compito che devono eseguire.
“In questo modo è possibile sgravare gli esperti di sicurezza dai compiti più noiosi e fare in modo che si possano concentrare sugli aspetti più rilevanti del loro lavoro” conclude DePaoli.
L’esempio pratico portato da DePaoli nel corso del suo keynote, aa cui abbiamo assistito poco prima di intervistarlo, è quello della reazione alla segnalazione di un possibile messaggio di phishing.
“Dopo la segnalazione da parte dell’utente, il responsabile della sicurezza si trova di fronte a una serie di informazioni già ordinate (ricavate dai sistemi di analisi e dai software di sicurezza – ndr) che gli permettono di valutare il rischio. Da qui si passa alla fase di reazione, che comporta per esempio l’individuazione di altri messaggi simili sui server aziendali per procedere alla loro eliminazione”.
Lascia un commento