Dal SOC di Certego servizi differenziati. Ogni azienda ha ritmi, operatività, organizzazione e contatti, diversi dalle altre. E sulla base di queste caratteristiche, sono differenti dalle altre realtà anche le probabilità, le modalità di esporsi ai rischi di attacchi. Anche a quelli che poi sono comuni a tutti, ma non tutti vi vanno incontro allo stesso modo. Va da sé che anche la protezione deve essere tarata in questo personale contesto, impossibile da prevedere con soluzioni e approcci standard. Lo sforzo che viene richiesto, a un centro cui delegare le attività di Managed Detection and Response, diventa perciò non solo di mantenere un presidio attivo sugli incidenti, ma di capire fino a che punto quel presidio riesca davvero a entrare nelle caratteristiche operative dell’azienda che deve proteggere.
L’approccio di Certego, società parte del gruppo Vem, specializzata in servizi di MDR e di Cyber Threat Intelligence, è proprio qui che si distingue, concentrandosi sulle attività di rilevamento e risposta alle minacce IT, ma con un modello pensato per seguire ambienti, priorità e rischi che cambiano da azienda ad azienda, e non con “servizi pacchetizzati” e replicabili su chiunque. In pratica, un MDR che non chiede al cliente di adattarsi alle rigidità di una piattaforma, ma il contrario.
LEGGI ANCHE: SOC in Italia: come sono, di chi sono, per chi sono e dove sono. La mappa italiana completa
Certego, un SOC che si adatta alle esigenze
Certego nasce a Modena nel 2013 già focalizzata sulle attività di rilevamento e risposta alle minacce IT, impegno che si è tradotto nel tempo in un servizio erogato da un SOC attivo 24 ore su 24, 7 giorni su 7, oggi impegnato nel monitoraggio di oltre 1.800.000 asset IT e nel supporto a più di 200 organizzazioni. L’idea che un servizio MDR possa funzionare allo stesso modo per realtà molto diverse tra loro, con infrastrutture, processi e priorità di business non paragonabili, viene fin da subito considerata da Certego poco adatta alla complessità che oggi le aziende si trovano a gestire.
“Nel nostro settore non esiste una risposta valida per tutti, perché ogni azienda porta con sé una superficie di attacco diversa, una storia tecnologica diversa e anche una diversa tolleranza al rischio – osserva Bernardino Grignaffini Gregorio, CEO e founder di Certego -. Per questo il servizio deve adattarsi al contesto operativo del cliente. Quando succede il contrario, il rischio è avere un modello magari ordinato sulla carta, ma meno utile nel momento in cui bisogna capire davvero cosa sta succedendo”.
Tutto questo si traduce in tre aspetti legati tra loro, il controllo diretto della tecnologia, la disponibilità del dato telemetrico e una threat intelligence che serve a supportare il lavoro del SOC. Un altro aspetto importante è la scelta di sviluppare internamente buona parte delle tecnologie usate nelle attività di Security Operations. Fin dall’inizio, l’azienda ha preferito costruire un proprio ecosistema applicativo invece di affidarsi solo a strumenti esterni, così da avere maggiore autonomia tecnologica, intervenire più in fretta sull’evoluzione delle piattaforme e adattarle alle esigenze del SOC e dei clienti.
Nel tempo questo percorso ha portato alla definizione di un insieme di soluzioni che comprende la piattaforma di unified security operations PanOptikon, Halo per il detection engineering, insieme agli strumenti dedicati alla cyber threat intelligence. Componenti che fanno parte di un ambiente integrato e modulare, che può essere esteso e combinato in maniera progressiva a seconda delle necessità dell’azienda.
Il servizio mantiene anche la possibilità di integrarsi con tecnologie di terze parti, così da adattarsi con più facilità a contesti diversi. “Per noi controllare la tecnologia non vuol dire chiuderci, ma avere la possibilità di evolvere con più velocità – spiega Grignaffini Gregorio -. Le minacce cambiano, cambiano gli asset da monitorare, cambiano i bisogni dei clienti. Dipendere interamente dalle roadmap di altri fornitori rende più difficile accompagnare questi cambiamenti con i tempi richiesti dalle operation”.
PanOptikon, la piattaforma di controllo e gestione su cui si basa il SOC Certego
All’interno di questo ecosistema, PanOptikon ha un ruolo centrale e rappresenta l’ambiente in cui vengono orchestrate le attività MDR. La piattaforma raccoglie gli eventi di sicurezza e, allo stesso tempo, funge da centro di controllo operativo per l’insieme delle attività SecOps. È accessibile sia al team di Certego sia ai clienti, consentendo di lavorare su una base condivisa, con visibilità continua sul livello di rischio e sulle attività in corso. La piattaforma monitora l’intera superficie IT dell’azienda, dagli endpoint alla rete, dal cloud alle identità digitali fino alle vulnerabilità, raccogliendo e analizzando informazioni provenienti da fonti differenti. Su questa base vengono costruite dashboard personalizzabili che permettono a figure diverse, dall’IT manager al CISO fino ai responsabili di funzione, di accedere ai dati e agli indicatori più rilevanti per il proprio ambito.
Un aspetto che Certego sottolinea riguarda il fatto che dentro lo stesso ambiente si sviluppa l’intero ciclo di vita dell’incidente, dal rilevamento alla risposta, fino alla reportistica successiva. Anche la comunicazione operativa con il cliente passa da qui, con il vantaggio di mantenere tracciate le interazioni, i passaggi decisionali e le azioni messe in campo.
Un elemento di tracciabilità che viene letto non solo come una garanzia di trasparenza, ma come una base di conoscenza che nel tempo aiuta a far evolvere processi e pratiche di risposta. In altre parole, il valore non si esaurisce nel singolo evento gestito, ma resta disponibile per migliorare il modo in cui incidenti simili verranno affrontati in seguito.
Halo consente una telemetria intelligente che “pulisce” i segnali
Un secondo aspetto del modello riguarda il tema della telemetria, soprattutto in relazione agli endpoint, dove Certego colloca Halo, la propria piattaforma di detection engineering che lavora sulla telemetria completa degli endpoint con il compito di scremare il gran volume di alert che si crea nelle attività di detection, che finisce per creare rumore di fondo senza corrispondere a minacce reali. Più questo rumore cresce, più per gli analisti diventa difficile concentrarsi sugli eventi davvero importanti.
Molte piattaforme EDR, pur restando indispensabili, spesso si basano su logiche di rilevamento predefinite e poco trasparenti, vicine a modelli black box, rendendo più difficile andare a fondo nell’analisi degli eventi e costruire detection più aderenti al contesto reale dell’organizzazione. Halo nasce proprio per dare agli analisti del SOC un accesso diretto al dato telemetrico, così da poter correlare informazioni provenienti da fonti diverse e ricostruire con maggiore accuratezza la dinamica di un attacco.
“Il dato telemetrico è importante perché ci restituisce un livello di visibilità molto più esteso rispetto a quello che si ottiene con logiche di rilevamento già confezionate – afferma Grignaffini Gregorio -. Avere accesso a quel livello di informazione permette di capire meglio ciò che accade sugli endpoint, di costruire regole di detection più aderenti al cliente e di abbassare il peso dei falsi positivi, che per un SOC rappresentano un costo operativo ma anche una dispersione di attenzione”.
Da qui deriva anche la possibilità di personalizzare le regole di detection in funzione dell’ambiente che si sta proteggendo. Non si tratta solo di un affinamento tecnico, ma di un modo per riconoscere che la stessa anomalia può assumere un peso molto diverso a seconda del settore, dei flussi operativi, degli asset coinvolti e del profilo di rischio di chi la subisce. Per Certego, lavorare sulla telemetria significa allora mettere il SOC nelle condizioni di analizzare gli eventi con maggiore profondità e, insieme, alleggerire il sistema da una parte di rumore che rischierebbe di rallentare la risposta.
Quokka e IntelOwl componenti che automatizzano l’analisi. E l’importanza dell’osservazione locale
Un ulteriore elemento riguarda la threat intelligence. Il lavoro di raccolta e analisi si basa su sensori distribuiti, sistemi honeypot, comunità di information sharing e fonti presenti nel dark web. Da qui derivano indicatori di compromissione e altri elementi utili per il SOC di Certego. In questo lavoro rientrano anche Quokka e IntelOwl, piattaforme sviluppate da Certego per automatizzare l’analisi degli indicatori di compromissione e ampliare nel tempo le informazioni a disposizione degli analisti. IntelOwl, disponibile anche in versione open source, ha raccolto negli anni una buona visibilità internazionale su GitHub, la piattaforma più usata per condividere progetti software. Gli indicatori prodotti da Certego vengono inoltre condivisi con alcune delle principali piattaforme globali di threat intelligence.
Un passaggio su cui l’azienda insiste riguarda poi il valore di una threat intelligence costruita anche a partire dall’osservazione del contesto italiano. Le dinamiche del cybercrime non si presentano infatti in modo uniforme e disporre di informazioni maturate sul territorio consente, secondo Certego, di affinare le regole di rilevamento in una direzione più vicina alle minacce che interessano davvero le organizzazioni nazionali.
“La dimensione locale conta molto più di quanto si immagini – osserva Grignaffini Gregorio -. Le campagne, i bersagli, perfino alcune modalità operative degli attaccanti possono cambiare in funzione del mercato e del Paese. Lavorare su intelligence costruita anche guardando al panorama italiano aiuta a essere più precisi, e la precisione nel nostro lavoro fa la differenza”.
Mettendo insieme questi tre livelli, controllo tecnologico, telemetria e threat intelligence operativa, emerge un modello di MDR che prova a spostare il discorso dall’idea di un servizio uniforme a quella di un servizio plasmabile. Per aziende italiane che spesso si muovono tra infrastrutture eterogenee, filiere articolate e vincoli operativi molto specifici, questa capacità di adattamento tende a diventare una caratteristica sempre più ricercata. Non tanto perché servano strumenti speciali in senso assoluto, quanto perché cresce l’esigenza di far lavorare strumenti e processi di difesa dentro il contesto reale dell’organizzazione, senza costringerli dentro una struttura prestabilita che finirebbe per semplificare proprio ciò che invece andrebbe letto con più attenzione.
