Scarica numero di ED Link - Elsag Datamat
Scarica numero di ED Link - Elsag Datamat
Scarica numero di ED Link - Elsag Datamat
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
COVER STORY<br />
da/from pag. 1<br />
IL SECURITY OPERATION CENTER DI ELSAG DATAMAT<br />
THE ELSAG DATAMAT SECURITY OPERATION CENTER<br />
Se l’uso <strong>di</strong> tali prodotti software è irrinunciabile,<br />
è tuttavia fondamentale l’apporto<br />
fornito dal personale del SOC, che<br />
con la sua esperienza e professionalità è<br />
in grado <strong>di</strong> governare in maniera appropriata<br />
il processo <strong>di</strong> analisi. Al monitoraggio<br />
deve affiancarsi una costante attività<br />
<strong>di</strong> “security intelligence”, ovvero<br />
un’azione continua <strong>di</strong> aggiornamento<br />
delle vulnerabilità e delle nuove tecniche<br />
<strong>di</strong> attacco: due processi complementari<br />
ed entrambi determinanti per il raggiungimento<br />
dell’obiettivo.<br />
Con la locuzione “security devices management”<br />
viene identificata la seconda<br />
macro-area, quella relativa alla gestione<br />
dei <strong>di</strong>spositivi <strong>di</strong> sicurezza. Una delle attività<br />
principali del nostro SOC è <strong>di</strong> amministrare<br />
da remoto (oltre che, all’occorrenza,<br />
con interventi on site) i<br />
<strong>di</strong>spositivi <strong>di</strong> sicurezza del cliente. È questo<br />
uno degli aspetti fondamentali della<br />
cosiddetta “sicurezza gestita”: il cliente<br />
viene liberato dall’onere della gestione<br />
<strong>di</strong>retta dei <strong>di</strong>spositivi e dalla necessità <strong>di</strong><br />
<strong>di</strong>sporre al proprio interno <strong>di</strong> figure specializzate<br />
in materia (un ruolo, quello<br />
dello specialista <strong>di</strong> sicurezza, che ha le<br />
proprie peculiarità e che molto <strong>di</strong>fficilmente<br />
può essere unificato tout-court<br />
con il sistemista <strong>di</strong> rete o il responsabile<br />
IT). Tutta l’attività <strong>di</strong> gestione ruota attorno<br />
al concetto <strong>di</strong> “policy”, ovvero alle<br />
regole che vengono applicate nella configurazione<br />
degli apparati <strong>di</strong> sicurezza, le<br />
quali sono implementate tenendo conto<br />
delle politiche <strong>di</strong> alto livello definite dalla<br />
<strong>di</strong>rezione dell’azienda/organizzazione,<br />
delle best practice <strong>di</strong> settore e dell’esperienza<br />
acquisita dagli operatori. Riferen-<br />
The services provided by the <strong>Elsag</strong><br />
<strong>Datamat</strong> Security Operation Center<br />
can be classified into three macro<br />
areas: real time network monitoring,<br />
security device management and IT<br />
incident management. Let’s look at<br />
them in this order. Real time device<br />
monitoring refers to the real time<br />
control of events occurring in a network,<br />
in order to identify possible security<br />
violations or potentially<br />
dangerous or suspect actions. In this<br />
area the support provided by vertical<br />
tools is essential to gather and<br />
analyse events occurring continuously<br />
in the network (mainly logs), in<br />
order to identify possible threats. But<br />
while the use of these software products<br />
is vital, the support offered by<br />
SOC personnel is also essential, provi<strong>di</strong>ng<br />
the experience and professional<br />
skill needed to manage the<br />
analysis process correctly. Monitoring<br />
must be accompanied by constant<br />
security intelligence activities,<br />
involving continuous upgra<strong>di</strong>ng to<br />
protect against vulnerabilities and<br />
new attack techniques. These two<br />
complementary processes are both<br />
essential to achieve the objective.<br />
Security devices management is the<br />
second macro area. One of the main<br />
activities of our SOC is the remote<br />
administration of customer security<br />
devices (with on-site intervention<br />
where necessary). This a key aspect<br />
of “managed security”: customers<br />
are freed of the burden of managing<br />
devices themselves and the need to<br />
employ specialists (whose services<br />
dosi alle policy <strong>di</strong> sicurezza, si parla giustamente<br />
non soltanto <strong>di</strong> “policy management”,<br />
ovvero del processo <strong>di</strong> gestione<br />
continuativa delle stesse, ma anche <strong>di</strong><br />
“policy enforcement”, cioè dell’applicazione<br />
centralizzata (e in qualche modo<br />
“forzata”) delle regole definite a tutto il<br />
perimetro dell’organizzazione.<br />
Ultima delle tre macro-aree nelle quali<br />
abbiamo schematizzato l’operatività del<br />
Security Operation Center <strong>di</strong> <strong>Elsag</strong> <strong>Datamat</strong><br />
è quella della gestione degli incidenti.<br />
Per una migliore comprensione del<br />
concetto d’incidente informatico pren<strong>di</strong>amo<br />
a prestito la definizione utilizzata<br />
nella norma internazionale ISO/IEC<br />
18044 (definizione assorbita anche da<br />
norme più note quali la ISO 27001) che lo<br />
descrive come “un evento o una serie <strong>di</strong><br />
eventi non voluti o inattesi <strong>di</strong> sicurezza<br />
informatica, i quali hanno una significativa<br />
probabilità <strong>di</strong> compromettere le operazioni<br />
<strong>di</strong> business e <strong>di</strong> costituire una minaccia<br />
per la sicurezza delle<br />
informazioni”. Dalla definizione si evince<br />
la stretta correlazione del concetto d’incidente<br />
informatico con il processo <strong>di</strong><br />
analisi degli eventi <strong>di</strong> sicurezza precedentemente<br />
descritto.<br />
Il processo <strong>di</strong> gestione degli incidenti informatici<br />
è usualmente sud<strong>di</strong>viso – e tale<br />
schematizzazione è ormai consolidata<br />
nella letteratura <strong>di</strong> settore – in quattro<br />
sotto-processi, ovvero: incident identification,<br />
che consiste nell’in<strong>di</strong>viduazione<br />
<strong>di</strong> potenziali attività “maliziose” in corso;<br />
incident classification, ovvero la classificazione<br />
del livello <strong>di</strong> criticità della minaccia<br />
associata all’evento in corso al fine<br />
<strong>di</strong> in<strong>di</strong>viduarne la tipologia e identificare<br />
il target dell’attacco; incident notification,<br />
cioè la comunicazione dell’incidente<br />
all’interno dell’organizzazione <strong>di</strong> riferimento<br />
(in particolare, nell’ambito del<br />
“computer security emergency response<br />
team”, un gruppo <strong>di</strong> esperti appositamente<br />
costituito per la gestione <strong>di</strong> situazioni<br />
critiche o <strong>di</strong> emergenza); “response<br />
& containment”, che consiste nell’in<strong>di</strong>viduazione<br />
delle appropriate strategie <strong>di</strong><br />
contenimento e <strong>di</strong> reazione all’incidente<br />
in corso al fine <strong>di</strong> limitarne l’impatto sui<br />
sistemi e sui servizi.<br />
È comunque riduttivo identificare l’attività<br />
del nostro SOC esclusivamente nei<br />
processi che abbiamo descritto. Tipicamente,<br />
infatti, viene fornita una vasta serie<br />
<strong>di</strong> servizi “complementari” a quelli descritti<br />
ma non <strong>di</strong> minor importanza: dalla<br />
8