Il mese di Agosto è ormai agli sgoccioli, e con lui giungono al termine anche le ferie estive. Volendo fare un bilancio, le misure messe in opera prima di partire hanno fatto il loro dovere: tra mimikatz e print nightmare, qualche tentativo di attacco ransomware c’è stato, ma la copia off line dei backup che avevo chiesto di fare ha funzionato, salvando in pochissimo tempo il lavoro di mesi.

Adesso però voglio avere un sistema che mi permetta di controllare meglio cosa accade: manca ancora qualche mese alla fine dell’anno, ma è opportuno iniziare sin da ora a ragionare sulle strategie di Cyber Resilience più “a lungo termine” da inserire in roadmap ed implementare a partire dal prossimo anno, e a pianificare tutte le attività ad esse propedeutiche.

ISO 27001:

Prima di tutto, la certificazione ISO27001. Ottenere la certificazione è un processo lungo e dispendioso dal punto di vista dell’engagement delle risorse. Per questo mi sono mosso con largo anticipo per essere sicuro di ottenerla entro il prossimo anno.

Prima di tutto, l’ingaggio di un lead auditor e la definizione dell’ambito del progetto. Ho deciso di concentrarmi sul SOC e sulla parte B2C, per avere un sistema certificato per la gestione dei clienti che accedono al portale della mia azienda per acquistare i servizi, e che mi consenta di governare allo stesso modo anche l’accesso dei consulenti.

Poi si procede con il Risk Treatment (Valutazione e gestione del Rischio) rispetto agli asset relativi all’ambito individuato, e con la verifica che tutti i processi e le procedure necessarie siano in ordine rispetto a quanto richiesto dall’Annex A della normativa.

Per limitare al minimo il dispendio di risorse economiche ed effort, è una buona idea rivolgersi a degli esperti di compliance per un assessment preliminare, una sorta di pre-check prima dell’auditing ufficiale, per verificare sin dalle fasi iniziali del processo e con discreta certezza l’idoneità al rilascio della certificazione.

Zero Trust:

L’evoluzione delle teorie di Cyber Resilience e la necessità di accesso alle risorse da parte di dipendenti, clienti e terze parti, sembrano spingere nella stessa direzione: integrare e ottimizzare il più possibile tecnologie e informazioni per creare un sistema completo ed efficace ma che non sia un ostacolo all’esperienza dei clienti, e che anzi la agevoli.

In questo senso, l’adozione di un approccio Zero Trust è sicuramente la strada migliore: il concetto di “non fidarsi di nessuno” nell’adozione delle misure di Security, e la facilità di integrazione anche per i sistemi in cloud, mi sembrano proprio il giusto punto di approdo.

Un primo passo verso una realizzazione, anche se in forma “embrionale”, dello Zero Trust, è quello di adottare sistemi di autenticazione unificati per dipendenti e utenti esterni, che siano semplici da utilizzare, che sfruttino principi di “frictionless authentication” o addirittura “passwrodless”.

Occorre poi avere un sistema di auditing completo, solido e ben strutturato che permetta di tenere sotto controllo tutto ciò che fa parte del sistema Zero Trust: non soltanto log, ma log analizzati e incrociati con informazioni di security assessment e di threat intelligence.

SOAR

Un ulteriore passo in direzione di un approccio Zero Trust è l’adozione di un SOAR: una soluzione di Security Orchestration, Automation and Response mi permetterà di incrociare i log con le informazioni di threat intelligence per capire cosa sta accadendo, rischia di accadere o accadrà davvero. Tra le ultime evoluzioni in questo ambito, si sta facendo strada un sistema basato su “observables” e “Indicator of Compromise” (IoC). Si tratta di un approccio facile da integrare (in cui sia il server che il client utilizzano json) e soprattutto universale: consente di chiedere, in modo completamente automatico, a tutto il mondo, se si sono trovati nella mia stessa condizione e ricevere non soltanto risposte dettagliate, ma anche contromisure suggerite.

Per poter integrare le informazioni di threat intelligence nel SOAR, però, occorre definire a monte come raccogliere tali informazioni. Una prima strada potrebbe essere quella di dotarsi di una piattaforma di threat intelligence, che necessiterebbe però di un investimento di risorse importante e continuativo per il monitoraggio, l’analisi delle informazioni e l’eliminazione dei falsi positivi perché possa effettivamente costituire un valore per il mio SOC. Un’alternativa sicuramente meno impegnativa è quella di un servizio di cyber intelligence completamente esternalizzato, in cui analisti di intelligence esperti facciano in modo che al SOAR arrivino solo alert e informazioni utili, già selezionate e processate e, se necessario, tradotte da altre lingue.

Incident Response e Forensics

In ultimo, per supportare adeguatamente il SOC vorrei potenziare le attività di incident response e analisi forense. Anche in questo caso, avvalersi di servizi esterni sembra la scelta più vantaggiosa: oltre ai benefici legati all’avere un supporto on e off-site, anche 24 ore al giorno, non dovrei preoccuparmi della formazione e continuo aggiornamento di persone interne alla mia azienda, che nel lungo termine rischia di risultare più impegnativo e altrettanto costoso (se non di più).

Certo che se davvero riuscissi a gestire accessi in sicurezza in modalità Zero Trust, facendo auditing di tutti i sistemi correlati (che nel frattempo saranno già a norma secondo ISO e NIS), con un sistema di backup veramente efficace e informazioni di threat intelligence, allora avrei già fatto bei passi avanti.

Se inizio già da ora a porre tutte le basi per Zero Trust, integrato con il SOC e a norma ISO27001, entro il prossimo anno potrei già riuscire a vedere i primi risultati del mio duro lavoro: un sistema di accessi efficiente che abbia le informazioni necessarie per gestire gli eventuali incidenti in modo rapido e preciso, con dati che permettano di prendere le decisioni giuste nel minor tempo possibile; un livello di sicurezza aziendale più proattivo ed elevato; una user experience migliore per i miei clienti.

Sarà una faticaccia, ma ne varrà la pena.