Una analisi di sicurezza efficace, osserva Straniero, si basa su due componenti: per prima cosa un sensore installato in un segmento della rete che acquisisca i pacchetti, e in secondo luogo un motore di analisi che compia il grosso del lavoro. Questo engine dovrebbe combinare una enorme scalabilità per soddisfare l'incremento dei carichi con la capacità di eseguire il replay del traffico attraverso una interfaccia intuitiva per un data mining efficace.
I relativi tool devono essere evidentemente in grado di effettuare il replay di centinaia di terabyte di dati (considerando che una rete tipicamente satura genera oltre 10 terabyte di dati ogni giorno), e di conservare i dati dei pacchetti catturati per almeno 60 giorni in modo da assicurarsi che non possano essere stati compromessi da attacchi mirati particolarmente avanzati.
Per spiegare cosa sia l'analisi di sicurezza, Richard Stiennon afferma: "L'analisi di sicurezza è la scienza dei big data applicata ai dati dei pacchetti del traffico di rete. Lo stato dell'arte prevede l'acquisizione di tutto il traffico da ciascun segmento di rete. L'analisi viene compiuta offline. La tecnologia complessiva si sta evolvendo rapidamente con miglioramenti costanti che consentono di effettuare il drill-down fino al singolo pacchetto, guardare all'intero traffico per ottenere un quadro complessivo dello scenario, avvalersi di fonti di intelligence esterne come gli IoC (Indicatori di Compromissione) e correlare eventi altrimenti separati".
Analizzare i big data che transitano in rete richiede strumenti e tecniche sofisticate
In questo senso gli analisti possono contribuire all'aspetto operativo della sicurezza anziché limitarsi come per tradizione al reporting su incidenti che siano già stati rilevati. A loro disposizione ci sarà il contesto necessario per mettere insieme gli indizi, tracciare i movimenti laterali degli attaccanti e intraprendere decisioni che possano prevenire la sottrazione di dati dalla rete.
La definizione di una strategia per l'analisi di sicurezza
Sebbene la consapevolezza dell'analisi di sicurezza stia crescendo, molte aziende trovano difficile definire in modo appropriato quel che stanno cercando: o non capiscono completamente i problemi che l'analisi può risolvere, o hanno già scommesso su tecnologie adiacenti come, per esempio, le soluzioni SIEM (Security Information and Event Management).
Prima di decidere in merito alla tecnologia di big data appropriata, un'azienda deve capire qual è l'obiettivo che tenta di raggiungere per mezzo di una strategia analitica. Nonostante le soluzioni SIEM svolgano un lavoro eccellente nel coordinare la raccolta di informazioni ed eventi all'interno di un'unica interfaccia, esse forniscono tuttavia un quadro semplicistico dello stato attuale di una rete privo di contesto e di approfondimenti come ad esempio l'indicazione delle tattiche che un attaccante è probabilmente destinato ad applicare successivamente.
Le prospettive
L'analisi di sicurezza è uno spazio in rapida evoluzione. Con i sistemi di seconda generazione già in corso di sviluppo, nel prossimo futuro possiamo aspettarci di utilizzare strumenti analitici per l'indagine in tempo reale dei flussi dei pacchetti. Sebbene resterà sempre importante essere in grado di effettuare il replay del traffico alla ricerca di intelligence, il tempo disponibile per reagire contro gli attacchi più sofisticati e automatizzati continuerà a ridursi.
In un'epoca di innovazione e targetizzazione degli attacchi come questa, conclude Straniero, la capacità di rilevazione è essenziale e la prevenzione è l'obiettivo. Con l'evolversi degli attacchi, l'analisi di sicurezza è senz'altro destinata a diventare una funzione assolutamente cruciale nella continua corsa agli armamenti contro i cyberattaccanti.