La tecnologia Big Data rivoluzionerà il settore della sicurezza. Si moltiplicano i progetti di cyber security che mettono in campo la potenza di fuoco dei big data analytics e i CIO lavorano per rimuovere gli ostacoli che ne frenavano la diffusione
La sicurezza IT è un malato grave. Gli attacchi perpetrati ai danni di governi, organizzazioni industriali e militari hanno ampiamente dimostrato di poter assurgere a rischio globale. Il loro livello di sofisticazione, con l’importante corollario dei mezzi a disposizione, efficacia e complicità non lasciano presagire un futuro tranquillo. Ci si domanda come ciò possa accadere. Non si è abbastanza bravi oppure la tecnologia di cui si dispone non funziona? E si rischia di scivolare sul terreno minato di una vecchia questione: è più elevato il rischio derivante dall’infrastruttura tecnica o quello della fallibilità delle persone? Certamente, avere ben chiari i limiti degli strumenti di sicurezza a disposizione è un buon punto di partenza. Consapevoli delle capacità ma soprattutto dei limiti della tecnologia, occorre individuare le misure più efficaci per difendersi da ogni possibile rischio.
Una miniera di dati da sfruttare meglio
«La tecnologia Big Data sembra la più adeguata per far fronte alle nuove sfide di sicurezza. Non solo perché le nostre società dovranno affrontare uno scenario nuovo caratterizzato da una maggiore interazione e scambio di dati attraverso le reti sociali e gli oggetti intelligenti, ma anche per l’emergere di disruptive technologies come il cloud computing e le app di mobilità, ambiti nei quali i metodi tradizionali di sicurezza, basati sulla protezione perimetrale e i controlli statici di minacce note, diventano obsoleti» – afferma Anna Gandolfi, responsabile Competence Center di Indra in Italia. Il meno che si possa dire è che serve un approccio diverso nell’affrontare i problemi di sicurezza. Un primo passo praticabile da tutti o quasi è di riuscire a sfruttare meglio la mole di dati a disposizione. Sistemi SIEM, ids/ips, proxy, firewall producono un’alluvione di dati in continua espansione. Terabyte di dati relativi alla sicurezza, raccolti dalle aziende sia per rispetto alla normativa, sia per il monitoraggio.
Si stima che le grandi organizzazioni generino, a seconda delle dimensione, da 10 a 100 miliardi di eventi ogni giorno. Numeri enormi, destinati a crescere ancora. Perché nuovi dispositivi, software e persone alimenteranno i sistemi di raccolta, con altre info, non necessariamente di sicurezza: un profluvio di click, segnali provenienti da RFID, cellulari, sensori, testi, audio, transazioni commerciali e così via. «Il segreto non è la mera capacità di collezionare terabyte su terabyte di dati, ma sapere come utilizzarli» – rileva Gastone Nencini, country manager di Trend Micro Italia. Secondo gli esperti, il volume di dati analizzati dalle grandi organizzazioni è destinato a crescere a doppia cifra. La buona notizia è un impiego più ampio e redditizio. Per esempio in cloud dalle tecnologie di sicurezza. «Da qualche tempo, alcuni vendor utilizzano le capacità di analisi intrinseche ai big data per applicarle al campo della sicurezza, utilizzandole in un sistema cloud» – nota David Gubiani, technical manager di Check Point Software. E in futuro lo saranno ancora di più. «I più grandi vendor e i grandi e medi system integrator forniscono consulenza e strumenti per utilizzare al meglio i big data: tali integrazioni proseguiranno parallelamente allo sviluppo del cloud computing e della sua security» – pronostica Luca Beltramino, managing director di TelecityGroup Italia.
Un nuovo modo di operare
Oggi, chi attacca può impiegarci anche parecchio per penetrare una rete. Anche per ragioni di opportunità. Ma una volta entrato, l’obiettivo è di rimanerci il più a lungo possibile. Conquistata una posizione favorevole, l’intruso necessita di esplorare la rete, muoversi tra le subnet, identificare il luogo in cui si trovano le informazioni di maggiore interesse. Tutte azioni che per essere svolte in modo silente richiedono tempo; l’attaccante poi mira a conservare il varco per continuare a sottrarre info anche in futuro. E tenere sotto controllo le difese in campo. La risposta a questi attacchi non può che essere più innovativa rispetto a quella tradizionale. Per esempio, riuscire a variare dinamicamente la propria postura difensiva dalla detection real time alla cattura totale dei pacchetti e alla loro deep inspection. L’analisi offline del traffico – però – richiede tempo. E comporta costi notevoli in termini di latenza. Inoltre, le serie storiche di dati da analizzare possono essere molto estese. Si tratta di riuscire a correlare eventi molto distanti nel tempo tra di loro e provenienti da molteplici fonti. Tentativi falliti di loggarsi; l’aumento del traffico di rete; un utilizzo anomalo di risorse o l’esecuzione di processi sconosciuti, soprattutto se ripetuti – sono tutti eventi che i tool tradizionali di sicurezza non sono in grado di far dialogare tra loro e che possono essere messi in relazione ai tentativi di compromissione.
Le soluzioni che generano analitiche big data sono in grado di analizzare quantitativi di dati superiori rispetto a quelle tradizionali. Inoltre, consentono un più rapido accesso ai dati raccolti, rendendo più efficace la correlazione delle informazioni interne ed esterne all’organizzazione. Ma bisogna fare in fretta. Le informazioni di eventi di sicurezza significativi perdono valore nel tempo. Perciò l’analisi tempestiva dei dati è un fattore critico per opporsi alla minaccia cyber, giocata anch’essa sulla velocità di esecuzione dell’azione. La capacità delle soluzioni big data di correlare dati provenienti da numerose fonti su periodi di tempo anche lunghi limita il numero di falsi positivi e consente di individuare con maggiore tempestività i segnali di un attacco APT (Advanced Persistent Threats) prima che siano inghiottiti dal rumore di fondo generato dalle attività legittime. Il risultato è un quadro più ampio delle minacce. «L’analisi di grandi volumi di dati può aiutare a rivelare modelli tipici di infiltrazione, attacchi mirati sofisticati che altrimenti rimarrebbero nascosti» – conferma Gastone Nencini di Trend Micro Italia.
I big data analytics offrono un approccio e un modo di operare nuovo. Il monitoraggio e la gestione dinamica dei dati su larga scala abilitano l’eliminazione di tutte le informazioni non rilevanti provenienti dai sistemi in-house. Il consolidamento e la correlazione di dati proveniente da qualsiasi fonte nei casi migliori riescono a restituire una visione olistica dell’infrastruttura, consentendo alle organizzazioni di ottenere una visibilità e gestibilità migliore di minacce e vulnerabilità, abilitandole a fissare priorità più aderenti all’effettivo rischio. Ultimo aspetto, ma non meno importante, è che questi sistemi mitigano gli effetti di un attacco cyber. Tutto ciò consente alle aziende sia di essere più reattive sia di giocare d’anticipo, consentendo nei casi più riusciti di modificare il sistema di policy di sicurezza, quasi in tempo reale.
Perché l’analitica big data sia davvero efficace, l’azienda deve predisporre una propria analisi del rischio. Dotarsi di sistemi di risk management consentirà alle organizzazioni di implementare un processo di remediation automatizzato e così abbreviare i tempi di risposta, migliorare l’efficienza operativa ed elevare il livello di efficacia, generando – questo è l’auspicio – consistenti risparmi di tempo e denaro. Ma le aziende dovrebbero porsi le domande giuste – come suggerisce Beltramino di TelecityGroup Italia: «Con quali sistemi storare grandi quantità di dati e consentire veloci estrazioni e analisi? Quali sono i migliori software per analizzare i dati? Quali sono i migliori tools di analisi e le strutture cluster per la tecnologia Big Data»?
In tal senso, le organizzazioni più lungimiranti interessate allo sfruttamento delle analitiche big data possono iniziare a sviluppare un piano d’azione per gradi, partendo da una strategia di business analytics che includa il data mining sui dati già in possesso. E in seguito, integrare l’architettura big data. «L’approccio evolutivo è l’unico che ha senso» – concorda Mauro Cicognini, membro del direttivo Clusit. «Un approccio tradizionale di “progetto”, con ambiti e obiettivi ben definiti e una concreta pianificazione di fasi, non è nemmeno pensabile se non su piccola scala». L’impiego per il data mining delle fonti di dati già presenti in azienda oltre a conferire maggior valore agli investimenti effettuati, a volte con finalità diverse, consente di conseguire in modo graduale i risultati desiderati.
Tecnologia, non magia. I limiti dei big data
Oggi, il termine “big data” è sulla bocca di tutti. «Come accaduto in altri campi dell’ICT, anche in questa materia si è presto incappati nella superficiale tentazione di descrivere il fenomeno come recente, privo cioè di correlazione con quanto ha caratterizzato gli ultimi 40 anni» – osserva Claudio Ruffini, presidente di Augeos. «Tale visione appare più che mai erronea perché il settore ICT si confronta pressoché da sempre con i (big) data». Oggi, l’approccio e la tecnologia impiegata dai big data mostra incoraggianti risultati, che fanno ben sperare per il futuro, ma che sono ancora difficili da valutare. «Non è ancora possibile sancire una matura consapevolezza di come e quanto i big data possano essere sfruttati appieno in un campo come quello della sicurezza IT. Il livello di complessità e di intangibilità degli investimenti nel campo della sicurezza appare molto più alto rispetto all’analisi finanziaria, l’elaborazione di proiezioni statistico-computazionali e lo studio dei modelli virali» – argomenta Ruffini. Ma detto questo, l’obiettivo non può che essere quello di riuscire a trarne tutti i vantaggi possibili. «Ciò che appare realmente sfidante per il settore è il saper sfruttare “in positivo” il valore aggiunto dei big data, procedendo verso la realizzazione di sistemi intelligenti capaci di prevenire, respingere e reprimere in autonomia un qualsiasi attacco» – afferma Ruffini. In altre parole, perché le soluzioni big data possano essere impiegate in ambienti di produzione, necessitano di alcune migliorie volte a rimuovere gli ostacoli esistenti.
La correlazione tra serie di dati può portare a modelli predittivi di comportamento. Tuttavia, maneggiare dati non strutturati e utilizzarli in combinazione con quelli strutturati è tutt’altro che semplice. «Per saper interpretare i dati delle analisi, occorre sapere cosa si sta cercando, e quindi saper porre le domande giuste. A volte, è possibile anche notare delle nuove regolarità nei dati, che consentono di intraprendere ricerche nuove e inattese che, se ben sfruttate, aprono delle nicchie nuove per l’organizzazione. Non è facile farlo, ma qui sta la bravura dell’analista» – argomenta Cicognini (Clusit). E dunque perizia, esperienza e talento sono e saranno sempre indispensabili. Perché neppure la sicurezza IT potrà mai ridursi a una serie di azioni meramente automatiche. «L’analista di sicurezza deve saper cogliere da indizi disparati elementi di informazione nuovi. Non può farlo solo con le proprie forze, ed è per questo che ha a disposizione le tecnologie più avanzate di analisi» – nota Cicognini. In particolare, servono nuovi algoritmi capaci di processare quantitativi di dati sempre più grandi dalle fonti più disparate. Ma servono anche dati validi, anche dal punto di vista qualitativo. «Scopo di queste soluzioni software è stabilire automatismi di controllo standard per garantire la qualità dei dati, senza la quale, qualsiasi altra attività sarebbe una perdita di tempo con risultati imperfetti» – rileva Vincenzo Todisco, managing director di QSL Italia.
Dunque, occorre migliorare la capacità di sfruttare dati provenienti da fonti non sicure. Migliorare i processi di storage, la processazione dei dati e la loro sincronizzazione. Rendere migliore la resa visiva dei dati processati sotto forma di report. E la sicurezza degli indicatori sensibili di compromissione. La sfida è sapere cosa fare di queste informazioni. «Chi deve prendere decisioni non ama essere messo di fronte alle evidenze che emergono dai dati» – nota Francesco Stolfo, partner di ToolsGroup. Anche una migliore condivisione delle informazioni è un aspetto da considerare. In questo senso, la rimozione delle resistenze di natura tecnica e psicologiche, insieme alla condivisione delle informazioni, rimane auspicabile. «L’unico vero ostacolo a questo approccio è dato dalla naturale reticenza dei clienti a condividere i dati inerenti gli attacchi» – afferma Gubiani di Check Point Software. «Posso dire – però – che questa situazione sta cambiando: tutti hanno finalmente capito che le informazioni utili sono solo quelle relative a malware e attacchi e quindi nulla di “sensibile” viene passato all’esterno». Un altro ostacolo su cui lavorare è la mancanza di competenze tecniche. Servono figure capaci sia nel campo della sicurezza informatica sia nel data mining e la statistica. «La principale difficoltà è l’assenza di data scientist capaci di finalizzare l’analisi dei dati agli obiettivi di business» – afferma Francesco Stolfo di ToolsGroup. La penuria di risorse e i problemi legati alla formazione di adeguate figure professionali da inserire nei Security Operation Center (SOC) rappresenta un aspetto sottolineato anche da Roberto Patano, senior manager systems engineering di NetApp. «Il deficit di lavoratori specializzati (da 140mila a 180mila fino al 2018) rende estremamente difficile ingaggiare figure professionali adatte, in particolar modo quelle formate in ambito di sicurezza e analisi dei dati». Infine, diamo un’occhiata ai costi che l’integrazione di un sistema di analisi in un framework di sicurezza porta spesso con sé. Un aspetto sottolineato ancora da Patano, che tuttavia può essere superato attraverso soluzioni in cloud che semplificano implementazione e gestione, a costi più contenuti; oppure, acquisendo soluzioni chiavi in mano che consentono la rapida implementazione di infrastrutture specifiche e scalabili, possibilmente non limitate al solo mondo Hadoop.
“One-Stop Shop” per il Fashion Retail Planning
«I fashion retailer – spiega Fabio Lovesio, retail industry manager di BOARD International – hanno di fronte a loro sfide sempre più complesse e la velocità di esecuzione deve accompagnarsi a una pianificazione efficace e frequentemente aggiornata e monitorata nei suoi KPI fondamentali. Nonostante le mille promesse di tanti software vendor – però – c’è da chiedersi come mai nelle aziende “resistano” ancora gli Excel e i tanti custom “stratificati” negli anni. Forse perché – di fatto – tanti progetti si sono dimostrati in realtà troppo lunghi e complessi nell’assemblaggio dei presunti “best of breed”. BOARD, con l’avvento della version 9 che ha introdotto nuove funzionalità nel campo del forecasting, degli analytics e del clustering, intende posizionarsi con un approccio pragmatico, facendo leva sull’unicità del proprio toolkit in termini di semplicità di interfacciamento e modellizzazione di tutti i processi di planning. Ed esistono già progetti worldwide nel campo del Merchandise & Assortment Planning, del Replenishment, dell’Open to Buy, dello Store Workforce Management, etc. Per la prima volta, è possibile quindi avere una sola piattaforma che copre tutte le esigenze di pianificazione, non dimenticando poi la “vocazione” storica di BOARD per la BI e il CPM».
Conclusioni
Per alcuni osservatori non ci sono dubbi: nei prossimi anni la tecnologia Big Data rivoluzionerà il settore della sicurezza, una delle grande sfide globali del nostro secolo. Queste soluzioni diventeranno uno dei driver principali di sviluppo del mercato cyber security. Migliorando sensibilmente le loro capacità di controllo e adattamento a tutti gli ambiti operativi, cloud e mobile compresi. Ambiti nei quali gli attuali sistemi di sicurezza mostrano ancora preoccupanti carenze. Ma prima di comprendere appieno la reale capacità predittiva di queste soluzioni dovremo probabilmente passare attraverso una sorta di disincanto che sgomberi il campo dai facili entusiasmi. In questo senso, la ricerca potrà fare chiarezza. A patto che continui a ricevere sostegno e risorse all’altezza della sfida. Detto questo, nonostante l’incoraggiante crescita dell’attività di business intelligence, numerosi ostacoli rendono ancora difficoltosa l’implementazione della tecnologia Big Data nell’ambito security. Ma il numero molto ristretto di implementazioni attive, soprattutto in Italia, dimostra che il mercato sta muovendo i primi passi. Solo di recente i vendor hanno iniziato a dimostrare l’efficacia delle proprie soluzioni. Né si può sostenere che a breve questa tecnologia sarà alla portata di molte organizzazioni. è vero – però – che disponiamo di tecnologia più friendly. L’offerta di soluzioni e servizi è più articolata e l’esperienza accumulata offre numerosi spunti perché si possa proseguire lungo questa strada. Molto rimane da fare, ma già oggi è possibile provare la potenza dei big data in numerosi ambiti di sicurezza.