Monitoraggio sicurezza IT: l'importanza della correlazione tra eventi

Controllare la sicurezza di un sistema significa registrare costantemente quello che avviene e poter distinguere gli episodi anomali dalla normale operatività. Spesso ci viene detto: “tutti gli accessi al sistema vengono registrati”, ma è davvero così utile questo dato se tenuto come informazione isolata? Migliaia di accessi al giorno, riportati su report, a cosa servono nella pratica? Sicuramente a recuperare informazioni storiche nel caso di un danno subito, ma la vera sfida è attuare controlli in real time per riuscire a prevenire quel danno. Le raccolte di eventi massivi, senza una qualche forma di correlazione, sono si necessarie, ma hanno una bassa resa in termini di prevenzione sulla sicurezza.

Facciamo un esempio esterno al mondo IT:
la sicurezza di casa nostra

Supponiamo che, per controllare la sicurezza di casa, installiamo delle telecamere per vedere quante persone sostano vicino alla porta d’ingresso. Alla fine di ogni giornata abbiamo un numero assoluto di persone.
E’ davvero così utile questo dato in una forma così neutra?
Non è forse meglio avere informazioni da aggiungere per ottenere qualcosa di più utile alla sicurezza?
Ad esempio: chi sono queste persone?
Quante volte quella persona si ferma davanti alla mia porta nella stessa giornata? In che orari sostano quelle persone?

Queste e altre ancora sono le informazioni che, correlate tra loro, possono aiutarti ad individuare un reale rischio.

Gli eventi

Abbiamo fin qui detto che, per controllare la sicurezza IT, è necessario raccogliere costantemente gli eventi che accadono e poi cercare di correlarli tra loro per dargli un valore che consenta di individuare le reali situazioni anomale.
Ma quali possono essere questi eventi da raccogliere?

Di seguito un elenco non esaustivo

Accessi al sistema
Interattivi, remoti, batch (tramite processi)

Accessi errati al sistema
Password sbagliate, utenti inesistenti, utenti disattivi

Gestione delle utenze
Creazione, modifica di ruolo, cancellazione, disattivazione

Gestione dei file con dati sensibili/personali
Modifica e cancellazione

Cambio della data e dell’ora del sistema
Portare indietro la data è una delle attività potenzialmente critiche eseguite da chi vuole commettere atti fraudolenti

Comandi eseguiti dagli utenti con diritti elevati
Verifica della tipologia di comandi eseguiti dagli utenti amministratori

Gestione dei dati di business
Inserimento, cancellazione e modifica dei dati importanti per l’azienda (anagrafiche clienti, gestione del personale, gestione bancaria, giacenze di magazzino…)

Le proprietà degli eventi

Ogni evento monitorato deve poter essere arricchito di più informazioni possibili volte al controllo della sicurezza.
Ad esempio, non basta infatti sapere che l’utente “mrossi” si è collegato al sistema, ma bisogna conoscere altri dati come:

Quando

Da
dove

Con quale programma

Da quale porta di sistema o con quale protocollo

Per quanto
tempo

La correlazione tra gli eventi

Gli eventi descritti finora diventano veramente utili per la sicurezza solo se li leghiamo tra di loro con qualche algoritmo che chiamiamo correlazione.

Accessi al sistema, la loro provenienza e il software utilizzato

Mettendo insieme queste tre informazioni e il tempo in cui avvengono, possiamo creare una semplice correlazione per capire se considerare pericoloso un evento di accesso oppure no. Supponiamo che l’accesso avvenga da utenti conosciuti, dallo stesso IP, con il software gestionale installato proprio su quell’IP e in orario d’ufficio. E’ un’informazione pericolosa? Dovendo fare una selezione possiamo dare un basso livello di gravità a quel tipo di accesso, mentre alzeremmo il livello se lo stesso accesso avvenisse di notte e magari da un IP diverso da quello atteso.

Gestione degli utenti e accessi

Un utente che viene creato, utilizzato e poi eliminato nel giro di pochi minuti, è un altro esempio di correlazione tra tre eventi diversi e il periodo temporale. Questa correlazione sicuramente ci allerta su una situazione anomala da verificare il prima possibile.

Accessi errati e loro provenienza

Unendo più eventi diversi e il tempo in cui avvengono, possiamo facilmente individuare eventuali robot che tentano di accedere ai sistemi, magari da un PC ignaro di avere installato quel programma fraudolento. Correlando gli eventi di accesso errato con l’orario di accesso e l’IP di provenienza, il gioco è fatto: il robot è immediatamente individuato. Questa correlazione è importante perché gli accessi errati e continui ai sistemi, provocano spesso una disattivazione delle utenze per autoprotezione, con il conseguente fermo di attività.

Utenze amministrative troppo diffuse

Potremmo non renderci conto di quanto siano diffuse le password degli utenti amministratori di sistema ma le correlazioni tra gli eventi di sicurezza ci possono aiutare. Infatti, basterebbe verificare, in real time, da quanti IP diversi si stanno collegando tali utenze e il momento in cui lo fanno, per capire se lo stesso profilo è utilizzato da più persone.

Tali correlazioni devono essere continuamente attive per poter avere dei riscontri immediati che aiutino a controllare le anomalie nella sicurezza. Per questo motivo non è possibile agire manualmente, ma bisogna dotarsi di prodotti o di programmi specifici.