Scambio di informazioni tra aziende per contrastare il cyber-crimine

Mag 10, 2018 Marco Schiaffino Hacking, In evidenza, Minacce, News, Prodotto, RSS, Social engineering 1

I reparti di sicurezza informatica sono portati sempre più spesso a condividere dati e informazioni per individuare gli attacchi dei pirati.

Maggiore il numero di dati su cui si effettua un’analisi, maggiori le possibilità di individuare potenziali minacce. La regola sembra banale e le società di sicurezza la applicano ormai da molti anni, raccogliendo tutti i dati provenienti dagli endpoint installati sulle macchine dei clienti per avere una “visione globale” delle minacce.

Ora questa filosofia comincia a interessare anche i singoli reparti di sicurezza delle aziende, i cui SOC (Security Operation Center) intessono sempre più spesso rapporti con aziende dello stesso settore per fare fronte comune contro le minacce informatiche.

“È una buona pratica in continua crescita” spiega Yuval Cohen, CISO di ServiceNow che Security Info ha intervistato a margine del Knowledge18 in corso a Las Vegas. “La condivisione di informazioni tra aziende permette di migliorare l’accuratezza dell’intelligence e consente di individuare minacce che, singolarmente, gli esperti di sicurezza farebbero fatica a individuare”.

Si tratta, in pratica, di “unire i puntini” partendo da una base di dati più ampia di quella a cui avrebbe accesso un singolo SOC per riuscire a mettere a fuoco ciò che potrebbe sfuggire con una visione più ristretta.

“In ServiceNow abbiamo addirittura predisposto una piattaforma dedicata per questo tipo di attività, basata sul concetto di Trusted Security Circle”.

L’idea di base è quella di creare una community di aziende omogenee per settore o con caratteristiche che in ogni caso le collochino sullo stesso livello di rischio. Tra di loro, le aziende possono condividere anonimamente i dati che rilevano e che possono indicare un attacco informatico.

Sembra un po’ di vedere una versione professionale di un social network a tema. Avere accesso a informazioni come queste, però, è decisamente molto più utile di quanto possano esserlo le foto delle vacanze di un collega.

“Il sistema dei Trusted Security Circle è pensato per essere differenziato in base al livello di fiducia che si ha nei confronti degli altri membri” precisa Cohen. “Gli utenti possono creare dei gruppi più ristretti in cui condividere le informazioni con maggiori dettagli e migliorare così l’efficacia del sistema”.

È bene ricordare che stiamo parlando di realtà di grandi dimensioni, che hanno a disposizione risorse umane e tecnologiche tali da giustificare un’attività di analisi indipendente.

“Spesso i SOC di aziende a livello enterprise si trovano nella situazione di avere così tanti avvisi di sicurezza da esserne letteralmente sopraffatti” prosegue Cohen. “Il vero problema è che puntare l’attenzione solo sugli alert con rischio più elevato è molto rischioso. Può succedere, infatti, che gli indizi che portano all’individuazione di un attacco siano rappresentati da numerosi avvisi di gravità minore, che messi insieme definiscono però un quadro più serio”.

Da questo punto di vista, l’accesso ai dati di chi opera in situazioni simili rende più facile la definizione dei possibili schemi di attacco e il loro contrasto.

Condividi l'articolo