Prevenzione e reazione ad attacchi informatici tramite strumenti di Visual Analytics

Location: 
Aula A5

Nel contesto della sicurezza informatica (Cyber-security) si ha la necessità, per chi deve difendere una risorsa, di capire rapidamente la tipologia di attacco in corso, la provenienza, ed altre grandezze relative all’attacco. La grande mole di dati da tenere sotto controllo (milioni di linee di logs ed alert provenienti dai dispositivi della rete, router, firewall, intrusion detection system, etc.) richiede quindi un meccanismo facile, intuitivo ma allo stesso tempo rapido e potente di convogliare l’informazione all’operatore di sicurezza; questo strumento è rappresentato dalla visualizzazione dell’informazione.
La vista è il senso umano con la più ampia larghezza di banda nel trasporto dell’informazione; lo sfruttamento della visione e del ragionamento umano accoppiati con la potenza di calcolo degli elaboratori fornisce quindi lo strumento per dominare i problemi legati alla sicurezza informatica.
La dimostrazione verterà sulla spiegazione di 4 ambienti (a rotazione) di Visual Analytics applicati alla cyber-security, sviluppati nell’ambito del Progetto Europeo PANOPTESEC; questi ambienti nel loro insieme forniscono ad un operatore di sicurezza la capacità di migliorare lo stato di sicurezza del sistema, anticipare possibili attacchi informatici, monitorarne l’evoluzione ed infine eseguire le opportune misure correttive.

Monitoring della rete informatica e impatto sulla missione di un’organizzazione

Il prototipo implementa funzioni per il controllo dello stato di sicurezza informatica della rete di un’organizzazione, permettendo di ottenere informazioni circa lo stato di rischio e di compromissione dei singoli nodi oppure di aggregazioni a più alto livello quali sottoreti e cluster.
In aggiunta è possibile monitorare gli effetti che la compromissione di uno o più nodi della rete hanno sugli asset dell’organizzazione. In questo modo l’operatore di sicurezza può prioritizzare interventi di sicurezza sulla base degli effetti sul livello operazionale dell’organizzazione piuttosto che sullo stato di compromissione della rete.
Le informazioni sono correlate con la disposizione geografica della rete ed istanziate sul caso di studio di ACEA.

Monitoring e gestione vulnerabilità

Il prototipo implementa una dashboard visuale con una rappresentazione astratta della rete da proteggere. L’operatore può quindi valutare la numerosità ed il tipo di vulnerabilità presenti nei vari nodi della rete, coaudivate da informazioni circa la pericolosità e l’impegno richiesto per il fix.
L’utilizzo di visualizzazioni coordinate permette quindi l’isolamento delle vulnerabilità più gravi e la possibilità per l’operatore di sicurezza di definire un piano di manutenzione e fixing delle vulnerabilità del sistema, in fase proattiva, che miri all’innalzamento del livello di sicurezza della rete.

Analisi, predizione e reazione ad attacchi informatici

Il prototipo presenta una dashboard visual che permette l’analisi e la predizione dello stato di attacco di una rete sia in fase proattiva che reattiva.
In fase proattiva il sistema genera un insieme di possibili attacchi, basandosi su grandezze quali le vulnerabilità presenti ed il livello di rischio associato, permettendo la definizione di opportuni piani di risposta.
In fase reattiva il sistema correla gli eventi raccolti ai possibili scenari di attacco precomputati nella fase proattiva, permettendo la rapida identificazione del possibile attacco e il deploy del piano di risposta associato. L’operatore può inoltre visualizzare lo stato di avanzamento del piano attuale, monitorando così l’efficacia delle azioni correttive eseguite e l’evoluzione dello stato dell’attacco in corso.

Gestione del livello di sicurezza per il management

Nella comune struttura aziendale, la sicurezza informatica è spesso materia dell’operatore di sicurezza. La comunicazione del livello generale di sicurezza verso lo strato manageriale è spesso effettuata tramite semplici report statici.
Il prototipo mira invece ad aggregare a livello automatico le varie grandezze che regolano il livello di sicurezza di un’organizzazione in indicatori facilmente comprensibili dal livello manageriale (che, si ricorda, non è generalmente esperto in materia di sicurezza informatica) senza perdere la capacità per questi ultimi di raffinare il livello di dettaglio dell’analisi.
La possibilità di specificare precisi livelli di servizio e di tolleranza agli attacchi, unita ad una stima dei costi delle possibili azioni correttive, permette una migliore fase decisionale al manager, grazie all’ottenimeto di informazioni in real-time, ed una più rapida comunicazione verso gli strati più tecnici dell’organizzazione delle azioni da intraprendere.