Cyber Security Monitoring: come funziona

Il Cyber security monitoring è il processo di monitoraggio volto a individuare attacchi informatici e data breach. Il monitoraggio real time della rete informatica è una parte fondamentale del lavoro necessario a ridurre il rischio informatico. Le organizzazioni che svolgono attività di Cyber Security Monitoring riescono a intercettare gli attacchi e a rispondere in tempi minimi.

In termini di risk management, ridurre i tempi di detection and response attraverso un’azione proattiva di monitoraggio delle infrastrutture significa ridurre sensibilmente la possibilità di incorrere in danni reputazionali, economici o finanche fisici.

Parliamo di un’attività talmente importante che le aziende che trattano dati estremamente sensibili spesso si affidano ai SOC, centri operativi anche 24/7, in cui degli esperti di sicurezza informatica monitorano in tempo reale e di persona la sicurezza delle reti.

Anche senza ricorrere ai SOC, tutte le aziende possono proteggersi in maniera adeguata al proprio rischio specifico, adottando:

• da un lato degli strumenti avanzati per riconoscere anche le minacce più recenti;
• dall’altro dei software in grado di rispondere proattivamente ad un evento.

Come fare Cyber Security Monitoring

Tra i software necessari per svolgere un Cyber Security Monitoring ci sono quelli di threat intelligence. Si tratta di strumenti che utilizzano i dati e l’intelligenza artificiale per avere sempre a disposizione un catalogo aggiornato delle minacce più recenti, per dare al sistema di protezione delle reti la capacità di riconoscere l’attacco o il malware e intervenire. In termini che abbiamo imparato a conoscere, un software di threat intelligence fa quello che fa un vaccino nel corpo umano, dando alle difese immunitarie la “memoria” dell’antigene da attaccare.

Per essere sempre aggiornati e svolgere adeguatamente le operazioni di Cyber Security Monitoring, i software di threat intelligence si basano sulla tecnologia OSINT, ovvero la open-source intelligence che elabora dati a partire da vastissimi database pubblici.

Abbiamo già parlato in precedenza nel nostro blog di come fare Threat Intelligence e come scegliere il software adeguato.

Non cadiamo però nell’errore di scambiare la threat intelligence per il Cyber Security Monitoring. Infatti per ottenere un monitoraggio efficace in grado di attuare una risposta real time è necessario adottare anche altre tecnologie ed avere una strategia ben chiara.

La chiave di volta si trova nella network security, un approccio finalizzato a mettere in sicurezza tutta la rete aziendale, includendo anche l’IoT, i terminali dei dipendenti in smart working ecc.

Mettere in sicurezza l’intera rete aziendale

Per proteggere dagli attacchi informatici tutta la rete aziendale, è necessario ricorrere ad una serie di software ulteriori oltre alle threat intelligence. Solo la combinazione sinergica di azioni proattive infatti può dare senso al Cyber Security Monitoring.

Infatti se da un lato riconoscere gli attacchi più recenti è necessario, dall’altro questo monitoraggio è efficace solo se genera una incident response rapida e risolutiva.

Da questo punto di vista quindi è utile utilizzare prodotti di sicurezza informatica con varie funzioni: firewall, antivirus, SIEM ecc. 

Scendiamo nel dettaglio e parliamo di prodotti di altissima qualità, adatti a gestire sia il monitoraggio che la reazione.

La piattaforma Falcon di Crowdstrike

Una delle soluzioni più complete per effettuare il monitoraggio, la threat intelligence e la risposta agli attacchi è la piattaforma Falcon di Crowdstrike, ad esempio. Si tratta di una piattaforma modulabile, che può arrivare a coprire le funzionalità di threat intelligence (anche con l’opzione del monitoraggio da parte dei tecnici Crowdstrike) e le funzionalità più specificatamente difensive come l’NGAV, la protezione EndPoint e la Risposta EndPoint EDR.

Cortex XDR di Palo Alto Networks

Altrettanto valida per il Cyber Security Monitoring e la risposta agli incidenti è la soluzione Cortex XDR proposta da Palo Alto Networks. Infatti non solo svolge l’attività di threat detection grazie all’Intelligenza Artificiale e al Machine Learning, ma gestisce gli attacchi real time. Cortex coniuga le funzionalità di protezione EndPoint, NGAV, disk encryption e firewall. Inoltre reagisce a più attacchi contemporanei in ordine di priorità ed esegue l’analisi comportamentale su tutti i devices legati alla rete aziendale.