Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Data mining

ESG: The Big Data Security Analytics Era is Here

White
Paper
È iniziata l'era della Big Data
Security Analytics
Jon Oltsik, Senior Principal Analyst
Gennaio 2013
Il presente white paper di ESG è stato commissionato da RSA Security
ed è distribuito su licenza di ESG.
© 2013, The Enterprise Strategy Group, Inc. Tutti i diritti riservati.
White paper: È iniziata l'era della Big Data Security Analytics
2
Sommario
Executive Summary ................................................................................................................................ 3
Gli ostacoli al miglioramento della Security Maturity organizzativa ...................................................... 3
Anche gli strumenti legacy di analisi e monitoraggio della sicurezza frenano il progresso ................... 6
Avvento dell'era della Big Data Security Analytics ................................................................................. 8
Trasformazione della tecnologia per la Big Data Security Analytics .................................................................. 9
I CISO devono sostenere la sicurezza dei Big Data ............................................................................... 10
Una verità più ampia ............................................................................................................................ 12
Tutti i marchi utilizzati appartengono ai rispettivi proprietari. Le informazioni contenute in questa pubblicazione provengono da fonti che
Enterprise Strategy Group (ESG) considera affidabili, ma che non garantisce. Questa pubblicazione può contenere opinioni espresse da
ESG, soggette a possibili cambiamenti nel tempo. Pubblicazione protetta dal copyright di The Enterprise Strategy Group, Inc. La riproduzione
o la distribuzione integrale o parziale della pubblicazione, in formato cartaceo, elettronico o altro, rivolta a persone non autorizzate e senza
l'espresso consenso di The Enterprise Strategy Group, Inc., costituisce violazione della legge sul copyright vigente negli Stati Uniti ed
è passibile di azione legale per il risarcimento dei danni e, se applicabile, di azione penale. Per ulteriori informazioni, rivolgersi a ESG Client
Relations al numero 001 508 4820188.
© 2013, The Enterprise Strategy Group, Inc. Tutti i diritti riservati.
White paper: È iniziata l'era della Big Data Security Analytics
3
Executive Summary
Qualche anno fa ESG ha creato un maturity model per la gestione della sicurezza, che prevedeva un'evoluzione
del programma di gestione della sicurezza in quattro fasi. L'obiettivo era utilizzare al meglio la ricerca ESG per
individuare strategie vincenti e best practice che aiutassero i CISO a creare un piano di gestione della sicurezza
e assegnare priorità ad attività in grado di potenziare la sicurezza e contenere i rischi, continuando nel
contempo a sviluppare la Security Maturity organizzativa.
I CISO sono sicuramente impegnati nell'evoluzione della Security Management Maturity, ma molte
organizzazioni affrontano problemi imprevisti che ne ostacolano il progresso. I CISO devono fronteggiare un
panorama di minacce insidiose e una valanga di nuove iniziative tecnologiche che rendono sempre più difficile
gestire la sicurezza. Le organizzazioni di livello enterprise, inoltre, hanno difficoltà a reclutare e formare nuovi
professionisti della sicurezza, che risultano pertanto sotto-organico e oberati di lavoro. I nuovi rischi e le vecchie
sfide per la sicurezza spesso travolgono gli strumenti di analisi e i controlli di sicurezza legacy.
Le grandi organizzazioni non possono più difendersi da attacchi mirati e malware avanzato facendo affidamento
su sistemi di sicurezza preventivi, strumenti appositamente progettati, processi manuali e configurazioni
finalizzate. Per assicurare una consapevolezza situazionale costantemente aggiornata e decisioni rapide in
base ai dati, d'ora in avanti, è necessario basare la gestione della sicurezza sul monitoraggio e l'analisi continui
dei dati. Ciò significa che le grandi organizzazioni sono entrate nell'era della Big Data Security Analytics.
Questo white paper è giunto alle conclusioni seguenti:

Le tendenze di mercato e riguardanti la sicurezza stanno creando nuovi ostacoli per la gestione
della stessa. Nel corso degli ultimi anni i CISO sono stati costretti a fare i conti con tre tendenze difficili
e convergenti. In primo luogo, affrontare un panorama di minacce sempre più pericolose, legate a
malware nascosto, social engineering e attacchi mirati di avversari ben finanziati ed esperti. In secondo
luogo, proteggere nuove tecnologie quali il cloud computing, i dispositivi mobili e la virtualizzazione
dei server. Infine, fare fronte a una carenza di competenze per la sicurezza, con conseguente difficoltà
a reclutare e assumere nuovi talenti. Questi ostacoli pongono nuove esigenze relativamente ad addetti,
processi e tecnologie di sicurezza esistenti.

L'infrastruttura di sicurezza esistente non è più adeguata. In molte organizzazioni di livello enterprise
la protezione e l'analisi della sicurezza dipendono da numerosi strumenti indipendenti specifici basati
su firma, gateway perimetrali, processi manuali e competenze specializzate. Anche se questa affiliazione
non integrata di tecnologie di sicurezza è risultata adeguata negli anni passati, oggi si rivela inidonea
a fronte della scala e dell'entità delle minacce e non è più in grado di soddisfare i requisiti generali di
gestione della sicurezza.

L'IT sta entrando nell'era della Big Data Security Analytics. Per quanto fondamentali, la prevenzione
e la gestione dei rischi non sono più sufficienti. I CISO hanno bisogno di intelligence di sicurezza
e consapevolezza situazionale in tempo reale, che offrano visibilità sullo stato della sicurezza a tutti
i livelli dello stack tecnologico e nell'intera azienda. Grazie a questo tipo di intelligence, i responsabili
della sicurezza possono definire le priorità delle azioni, adeguare i controlli di sicurezza, accelerare
il rilevamento di incident e migliorarne i workflow di risposta. Questi progressi sono nel complesso
in grado di apportare miglioramenti alla sicurezza, riducendone nel contempo i costi operativi.
Gli ostacoli al miglioramento della Security Maturity organizzativa
Dopo aver analizzato lo stato della sicurezza delle informazioni aziendali, ESG nel 2011 ha pubblicato un
maturity model per la gestione della sicurezza volto a fornire un orientamento strategico ai CISO (vedere
la Figura 1). All'epoca, ESG riteneva che la maggioranza delle organizzazioni si trovasse ancora nella fase 2,
incentrata sulla conformità e la difesa in profondità, ma intendesse passare quanto prima alla fase 3 della
sicurezza basata sui rischi.
© 2013, The Enterprise Strategy Group, Inc. Tutti i diritti riservati.
White paper: È iniziata l'era della Big Data Security Analytics
4
Figura 1. Maturity Model per la gestione della sicurezza delle informazioni di ESG:
Fonte: Enterprise Strategy Group, 2013.
Quando questo modello è stato pubblicato per la prima volta nel 2011, ESG riteneva che la maggioranza delle
organizzazioni avrebbe implementato la sicurezza basata sui rischi entro l'inizio del 2013, ma la transizione
si è rivelata più difficile del previsto. Il ritardo non è ascrivibile a una mancanza di impegno dei team addetti
alla sicurezza. Negli ultimi due anni molti CEO e altri dirigenti non operanti nel campo della sicurezza sono stati,
infatti, sempre più frequentemente coinvolti nel controllo della sicurezza delle informazioni, approvando
regolarmente i progetti e aumentando i budget dedicati. La transizione della maggioranza delle organizzazioni
dalla fase 2 alla fase 3 è purtroppo diventata più difficile del previsto per:
1
2

Il volume e il grado di sofisticazione delle nuove minacce. Sebbene le minacce informatiche giornaliere
continuino a crescere a un ritmo esponenziale, i CISO sono preoccupati soprattutto per l'aumento degli
attacchi sferrati da malware mirati e avanzati quali le minacce APT (Advanced Persistent Threat).
Il timore è fondato. Secondo quanto è emerso da una ricerca di ESG, il 59% delle aziende di livello
enterprise è certo o abbastanza certo di essere stato il bersaglio di un attacco APT, mentre il 30% ritiene
di essere vulnerabile a futuri attacchi in tal senso.1 Il rilevamento, l'analisi e la risoluzione delle minacce
avanzate aggiunge ulteriori requisiti alla fase basata sui rischi e costringe nel contempo i CISO a valutare
e aumentare drasticamente le funzionalità di rilevamento e le capacità di risposta agli incident.

I veloci cambiamenti IT. La sicurezza basata sui rischi dipende dalla conoscenza approfondita di ogni
asset IT implementato nella rete. Questo tipo di comprensione è particolarmente difficile quando l'IT
è costantemente impegnato nel lancio di nuove iniziative come la virtualizzazione di server ed endpoint,
il cloud computing, il supporto per i dispositivi mobili e per i programmi BYOD. Un ulteriore svantaggio
è rappresentato dal fatto che molte nuove iniziative IT sono basate su tecnologie immature, soggette
a vulnerabilità di sicurezza, e potrebbero non essere compatibili con le policy di sicurezza, i controlli
o gli strumenti di monitoraggio esistenti. Ad esempio, i dispositivi mobili come smartphone e tablet
PC presentano alcuni problemi di gestione della sicurezza in relazione all'applicazione delle policy,
la discovery e la gestione dei dati sensibili e la gestione di malware/minacce (vedere la Figura 2).2
L'adozione continua di nuove iniziative tecnologiche aggiunge incertezza e complessità alla gestione
della sicurezza.
Fonte: report di ricerca ESG, U.S. Advanced Persistent Threat Analysis, novembre 2011.
Fonte: report di ricerca ESG, Security Management and Operations: Changes on the Horizon, luglio 2012.
© 2013, The Enterprise Strategy Group, Inc. Tutti i diritti riservati.
White paper: È iniziata l'era della Big Data Security Analytics
5
Figura 2. Problemi di sicurezza nei dispositivi mobili
Riguardo alla sicurezza dei dispositivi mobili, quale delle seguenti voci rappresenta la minaccia più significativa
per la sicurezza della Sua organizzazione? (Percentuale delle risposte, N=315, risposte multiple accettate)
Fonte: Enterprise Strategy Group, 2013.

Una crescente carenza di competenze nel campo della sicurezza. Nel 2012 più della metà delle
organizzazioni aveva in programma di accrescere l'organico del gruppo addetto alla sicurezza delle
informazioni e quasi un quarto (23%) lamentava una mancanza di competenze di sicurezza. I CISO
probabilmente non riusciranno a risolvere con facilità il problema: la ricerca di ESG segnala che
l'83% delle organizzazioni di livello enterprise incontra difficoltà di grado medio-alto a reclutare
e assumere professionisti della sicurezza.3
Combinate con le attività giornaliere di routine, le tendenze del mercato della sicurezza sopra descritte hanno
generato diverse problematiche in aree quali il rilevamento e la risposta agli incident (vedere la Figura 3).4
La generale penuria di competenze di sicurezza, ad esempio, influisce sulla capacità delle organizzazioni di
rilevare e rispondere agli incident, perché molte aziende non dispongono di competenze e risorse di personale
adeguate. Il volume e il livello di sofisticazione raggiunto dai malware costringe gli analisti della sicurezza
a vagliare un'enorme quantità di alert falsi positivi con uguale ponderazione. Oltre ai problemi derivanti
dalla carenza di personale e competenze, gli analisti della sicurezza in genere utilizzano troppi processi
manuali per individuare, valutare e risolvere i problemi.
3
4
Fonte: Ibid.
Fonte: report di ricerca ESG, The Emerging Intersection Between Big Data and Security Analytics, novembre 2012.
© 2013, The Enterprise Strategy Group, Inc. Tutti i diritti riservati.
White paper: È iniziata l'era della Big Data Security Analytics
6
Figura 3. Problematiche relative al rilevamento di incident
Quali delle seguenti sfide deve affrontare la Sua organizzazione in caso di rilevamento di incident?
(Percentuale delle risposte N=257, risposte multiple accettate)
Fonte: Enterprise Strategy Group, 2013.
L'aspetto più allarmante è che le problematiche illustrate nella Figura 3 producono un impatto cumulativo.
I dipartimenti di sicurezza sono a corto di personale e i loro analisti non possiedono le competenze necessarie.
Nel contempo gli analisti della sicurezza trascorrono un'enorme quantità di tempo a vagliare falsi positivi
e impiegare processi manuali, sprecando in tal modo il poco tempo disponibile. Nel complesso la situazione
è inefficiente dal punto di vista operativo, risulta costosa e lascia molte società di livello enterprise con un
livello di rischio inaccettabile. CEO e CFO non saranno lieti di sapere che, nonostante la spesa più elevata,
le aziende sono esposte a maggiori rischi.
Anche gli strumenti legacy di analisi e monitoraggio della sicurezza frenano
il progresso
Oltre ai problemi legati alle competenze, ai falsi positivi e ai processi manuali, è interessante notare che
il 29% delle organizzazioni di livello enterprise intervistate da ESG dichiara di utilizzare troppi strumenti
indipendenti non integrati per il rilevamento degli incident.5 Questa problematica di sicurezza è certamente
comprensibile. Nel corso degli ultimi dieci anni la sicurezza IT di livello enterprise è diventata sempre più
difficile a causa di minacce e vulnerabilità nuove e impreviste. In passato, di fronte a questi cambiamenti,
le organizzazioni in genere eseguivano l'upgrade dei prodotti legati alla sicurezza, acquistavano nuovi strumenti
di gestione delle minacce basati su firma, creavano nuove regole per i gateway perimetrali e incrementavano
le attività di Security Analytics. In tal modo, nel tempo si è creata un'infrastruttura di sicurezza basata su
numerosi strumenti specifici privi di collegamento per il rilevamento e la risposta agli incident.
Anche se storicamente caratterizzato da inefficienze operative, l'approccio di tipo tattico adottato per la
sicurezza IT a livello enterprise garantiva una protezione ragionevolmente adeguata contro minacce quali
il malware generico, lo spam e gli hacker dilettanti. Purtroppo i sistemi di sicurezza esistenti, spesso basati
sul perimetro e sulla firma, non sono adatti al panorama delle insidiose minacce odierne, in particolare per
quanto riguarda gli strumenti di Security Analytics:
5
Fonte: Ibid.
© 2013, The Enterprise Strategy Group, Inc. Tutti i diritti riservati.
White paper: È iniziata l'era della Big Data Security Analytics

7
Gli strumenti di Security Analytics non sono all'altezza delle esigenze di data collection ed
elaborazione attuali. Secondo la ricerca condotta da ESG, il 47% delle organizzazioni di livello enterprise
raccoglie, elabora e analizza mensilmente oltre 6 terabyte di dati sulla sicurezza. La maggioranza delle
aziende, inoltre, raccoglie, elabora, archivia e analizza un volume di dati sulla sicurezza più elevato
rispetto a due anni fa (vedere la Figura 4),6 che rimane online per periodi di tempo più lunghi.
Queste tendenze sono destinate a continuare: le aziende attente alla sicurezza raccoglieranno,
elaboreranno e analizzeranno regolarmente petabyte di dati sulla sicurezza online a fini di analisi,
indagine e generazione di modelli. Le piattaforme SIEM (Legacy Security Information and Event
Management) sono spesso basate su database SQL o datastore proprietari pronti all'uso che non
offrono scalabilità per questo volume di dati. Le esigenze di Security Analytics sono pertanto ostacolate
dalle limitazioni tecnologiche di base e creano un compromesso faustiano in cui le carenze tecnologiche
in merito alla sicurezza paradossalmente rallentano il rilevamento e la risposta agli incident, limitano le
indagini e aumentano i rischi IT.
Figura 4. Aumento della quantità di dati raccolti per attività riguardanti la sicurezza delle informazioni
Quanto è cambiata la quantità di dati raccolti dalla Sua organizzazione a supporto delle attività
di sicurezza delle informazioni negli ultimi due anni? (Percentuale delle risposte, N=257)
A supporto delle
attività di sicurezza
delle informazioni,
raccogliamo
all'incirca la stessa
quantità di dati
rispetto a due anni
fa, 14%
A supporto delle
attività di sicurezza
delle informazioni,
raccogliamo una
quantità di dati
notevolmente
maggiore rispetto
a due anni fa, 43%
A supporto delle
attività di sicurezza
delle informazioni,
raccogliamo una
quantità di dati
leggermente
maggiore rispetto
a due anni fa, 43%
Fonte: Enterprise Strategy Group, 2013.

6
Le organizzazioni necessitano di un ambito di sicurezza di livello enterprise. Gli strumenti di Security
Analytics appositamente progettati tendono a fornire funzionalità di monitoraggio e indagine per
espliciti tipi di minacce (ad esempio, minacce di rete, malware, APL) o specifiche sedi dell'infrastruttura
IT (ad esempio, data center, rete campus, uffici remoti, host), e costringono i CISO a comporre una vista
aggregata della sicurezza a livello enterprise avvalendosi di numerosi strumenti, report e addetti alla
sicurezza. Questa metodologia è poco efficiente, implica un dispendio di risorse umane e non è in grado
di fornire un quadro accurato dei rischi o dei rilevamenti e delle risposte agli incident che si verificano
su reti, server, sistemi operativi, applicazioni, database, storage e dispositivi endpoint distribuiti
nell'intera azienda.
Fonte: Ibid.
© 2013, The Enterprise Strategy Group, Inc. Tutti i diritti riservati.
White paper: È iniziata l'era della Big Data Security Analytics
8

Gli strumenti di analisi della sicurezza esistenti fanno troppo affidamento sulla personalizzazione
e sulle conoscenze umane. L'analisi della sicurezza di livello enterprise è complessa e richiede
competenze specialistiche e grande esperienza. Come affermato in precedenza, queste competenze
sono tuttavia carenti e anche le aziende più attente alla sicurezza hanno difficoltà a fornire una
formazione continua al personale preposto o ad assumere nuovi tecnici di sicurezza. Molti sistemi
di Security Analytics sono stati purtroppo progettati per essere utilizzati esclusivamente da analisti
di sicurezza avanzata, che dispongono del tempo e delle competenze necessari per affinare e
personalizzare tali strumenti e che sanno esattamente cosa cercare. I professionisti della sicurezza
sono oberati di lavoro e hanno disperatamente bisogno di strumenti di sicurezza in grado di fornire
più intelligence e meno lavoro.

Le analisi non offrono una risposta agli incident automatizzata integrata. Gli attuali strumenti di
Security Analytics sono generalmente indipendenti dai sistemi di risoluzione dei problemi. Ciò significa
che spesso senza automazione i problemi non vengono risolti rapidamente o in modo affidabile.
Pertanto, al rilevamento di un problema, un'analista è costretto a coordinare manualmente il workflow
e le attività di risoluzione con altro personale addetto alle operazioni IT o alla sicurezza. Ancora una
volta ciò aggiunge un overhead operativo e dilata i tempi necessari per la risoluzione degli incident,
con il rischio di trasformare un evento legato alla sicurezza di lieve entità in una grave violazione.
La situazione si complica ulteriormente se la risposta a una violazione richiede il coinvolgimento del
titolare dell'azienda e di dipartimenti diversi dall'IT, quali il dipartimento legale o delle risorse umane.
Avvento dell'era della Big Data Security Analytics
All'inizio della prima guerra mondiale le truppe alleate impiegarono le tattiche utilizzate durante la guerra
di secessione americana e cercarono di sopraffare il nemico con la rapida avanzata di un esercito di grandi
dimensioni. Purtroppo queste tattiche si rivelarono un errore costoso perché, a causa dell'invenzione della
mitragliatrice, provocarono la perdita di moltissime vite umane, piuttosto che la vittoria sul campo di battaglia.
Il progresso tecnologico è come la mitragliatrice, che ha costretto le forze combattenti ad adottare nuove
strategie e tattiche belliche. Questa lezione vale anche per il campo di battaglia della sicurezza informatica.
Di fronte al progredire delle funzionalità di attacchi mirati, social engineering, malware nascosto e sfruttamento
di APL da parte di criminali informatici e avversari sponsorizzati dagli Stati, le aziende sono costrette ad adottare
nuove strategie e misure di difesa.
ESG ritiene che queste nuove esigenze provocheranno nel corso dei prossimi anni una transizione alla
tecnologia di sicurezza di livello enterprise. Le organizzazioni continueranno sicuramente a impiegare
tattiche di prevenzione come l'implementazione di server in configurazioni protette da firewall, la rimozione
di servizi non necessari e di account amministratore generici, la scansione del malware noto mediante le firme
e l'installazione di patch per le vulnerabilità software. Tuttavia, se utilizzate da sole, queste tecniche difensive
non sono sufficienti. Per integrare queste prassi di sicurezza, le organizzazioni adotteranno nuovi strumenti
per la Security Analytics che possano assicurare monitoraggio continuo, indagine, gestione dei rischi
e rilevamento/risposta agli incident. Tenuto conto del volume di attività di data collection, elaborazione,
storage e analisi relative alla sicurezza richieste, la Security Analytics si sta trasformando rapidamente
in un classico problema di "Big Data". La ricerca condotta da ESG segnala infatti che la data collection
e l'analisi dei dati sulla sicurezza sono già considerate Big Data dal 44% delle aziende, mentre un altro
44% ritiene che lo diventeranno nei prossimi 24 mesi (vedere la Figura 5). 7
7
Fonte: Ibid.
© 2013, The Enterprise Strategy Group, Inc. Tutti i diritti riservati.
White paper: È iniziata l'era della Big Data Security Analytics
9
Figura 5. Raccolta e analisi dei dati sulla sicurezza considerate "Big Data"
Ritiene che la raccolta e l'analisi dei dati sulla sicurezza siano considerate "big data"
nella Sua organizzazione? (Percentuale delle risposte, N=257)
No, la raccolta e
l'analisi dei dati sulla
sicurezza non sono
considerate "big data"
nella mia
organizzazione, 11%
Non lo so, 2%
No, ma in base alla
strategia di sicurezza
della mia
organizzazione,
entro i prossimi 2 anni
considereremo la
raccolta e l'analisi dei
dati sulla sicurezza
"big data", 14%
Sì, oggi la raccolta e
l'analisi dei dati sulla
sicurezza sono
considerate "big data"
nella mia
organizzazione, 44%
No, ma in base alla
strategia di sicurezza
della mia
organizzazione, entro
il prossimo anno
considereremo la
raccolta e l'analisi dei
dati sulla sicurezza
"big data", 30%
Fonte: Enterprise Strategy Group, 2013.
A scanso di equivoci, la Big Data Security Analytics non è una semplice fusione di eventi, log e traffico di rete
in tecnologie di Big Data quali Cassandra e Hadoop, sebbene queste tecnologie sottostanti possano contribuire
all'infrastruttura di una soluzione tecnologica. Per ESG la sicurezza dei Big Data riguarda la raccolta e
l'elaborazione di numerosi dati sulla sicurezza di origine interna ed esterna e l'analisi immediata degli stessi
per ottenere una consapevolezza situazionale in tempo reale di livello enterprise. Completata l'analisi dei dati
sulla sicurezza, il passaggio successivo consiste nell'utilizzare le nuove conoscenze come baseline per regolare
le strategie, le tattiche e i sistemi correlati alla sicurezza molto più velocemente rispetto al passato.
Trasformazione della tecnologia per la Big Data Security Analytics
In definitiva, la Big Data Security Analytics mira a fornire una visione completa e aggiornata delle attività IT, per
consentire ad analisti e dirigenti di prendere decisioni tempestive basate sui dati. Dal punto di vista tecnologico,
saranno necessari nuovi sistemi di sicurezza in grado di assicurare:

Larga scala. Gli engine di indagine e di Security Analytics dovranno raccogliere, elaborare, effettuare
query e applicare in modo efficiente regole analitiche a terabyte o petabyte di dati comprendenti log,
pacchetti di rete, intelligence sulle minacce, informazioni sugli asset, tracciamento dei dati sensibili,
vulnerabilità note, attività applicative e comportamento utente. Ecco perché una tecnologia core
di Big Data come Hadoop, progetto software open source che consente l'elaborazione distribuita di
dataset di dimensioni molto elevate su commodity server, è particolarmente adatta per le crescenti
esigenze di Security Analytics. La Big Data Security Analytics, inoltre, sarà probabilmente implementata
in un'architettura distribuita, per cui la tecnologia sottostante deve essere in grado di centralizzare
l'analisi di ingenti volumi di dati distribuiti conservando l'integrità dei dati e affrontando al contempo
le esigenze di prestazioni elevate.
© 2013, The Enterprise Strategy Group, Inc. Tutti i diritti riservati.
White paper: È iniziata l'era della Big Data Security Analytics
10

Intelligence potenziata. I migliori strumenti di Big Data Security Analytics fungeranno da advisor
intelligenti, mediante l'utilizzo di modelli di comportamento normale, l'adattamento all'intelligence
di nuove minacce/vulnerabilità e l'individuazione delle anomalie a qualsiasi livello dello stack
tecnologico che richiede un'indagine immediata. A tale scopo, la Big Data Security Analytics offrirà
una combinazione di template, euristica, modelli statistici e di comportamento, regole di correlazione,
feed di intelligence sulle minacce e così via.

Perfetta integrazione. Per tenere il passo con il panorama delle minacce in costante evoluzione,
la Big Data Security Analytics deve interagire con gli asset IT e utilizzare al meglio l'intelligence sulla
sicurezza automatizzata. La Big Data Security Analytics, inoltre, deve essere perfettamente integrata
con i controlli delle policy di sicurezza per adeguamenti tattici e automazione. Quando la Security
Analytics segnala la presenza di un traffico di rete insolito proveniente da dispositivi mobili, gli analisti
della sicurezza devono disporre di istruzioni specifiche per mettere in quarantena i flussi di traffico
e ridurre al minimo i rischi. Idealmente, i sistemi di Security Analytics possono essere utilizzati per
l'automazione di attività correttive, una forma di difesa attiva, modifiche di routine o in situazioni
di emergenza.
Grazie alla visione completa e in tempo reale della consapevolezza situazionale in merito alla sicurezza, i sistemi
di Big Data Security Analytics diventeranno centrali sia per la gestione dei rischi che per il rilevamento e la
risposta agli incident, con attività di sicurezza specializzate quali conformità alle normative vigenti, indagini
sulla sicurezza, tracciamento/generazione di report di controllo e metriche delle prestazioni di sicurezza.
I CISO devono sostenere la sicurezza dei Big Data
La Big Data Security Analytics non è più un'idea visionaria: aziende leader di livello enterprise riconoscono
che i requisiti di sicurezza immediati richiedono questo tipo di soluzione. Per procedere con la pianificazione
e l'implementazione della Big Data Security Analytics, ESG suggerisce ai CISO di:

Affrontare le limitazioni dell'infrastruttura di sicurezza esistente. Confrontare i risultati della
Security Analytics con le funzionalità, i processi e i requisiti esistenti. Sono presenti "blind spot"
nell'organizzazione? L'organizzazione esegue un monitoraggio continuo o basa le proprie valutazioni
di sicurezza su scansioni periodiche (occasionali)? L'organizzazione è sotto organico o non dispone di
competenze di Security Analytics? Quanto tempo occorre per rilevare, indagare e rispondere a incident
legati alla sicurezza? Piuttosto che trattare le debolezze analitiche in modo frammentario, è necessario
sviluppare un piano di progetto per la Big Data Security Analytics che affronti i punti critici con un
approccio graduale. Ricordarsi di creare processi e tecnologie in grado di fungere da base per tutte
le fasi del progetto. Ciò dovrebbe contribuire a generare un valore incrementale complessivo.

Spostare gli investimenti dalla prevenzione al rilevamento/risoluzione. È sicuramente ancora
importante bloccare gli asset IT al fine di ridurre al minimo i rischi, tuttavia, i CISO devono rendersi
conto che, nonostante queste best practice, le reti vengono attaccate, penetrate e compromesse.
I CISO esperti acquisiscono le metriche di rilevamento e risposta agli incident (ad esempio, tempo di
elaborazione per la discovery di un incident di sicurezza, tempo necessario per l'indagine e la risoluzione
di un incident di sicurezza, numero di strumenti utilizzati, numero di ore del personale necessarie e così
via) prima e dopo l'implementazione della Big Data Security Analytics per misurare il ROI relativo alle
operazioni di sicurezza e agli obiettivi di gestione dei rischi.

Individuare le carenze di personale e le lacune della conoscenza. Come segnala la ricerca ESG,
la maggior parte delle organizzazioni è afflitta da problemi organizzativi di competenze e organico
in merito alla sicurezza. Nella gran parte dei casi i CISO non potranno risolvere il problema ricorrendo
all'assunzione e alla formazione, quindi hanno bisogno di strategie alternative. ESG consiglia di
individuare chiaramente le aree di debolezza all'avvio del processo di pianificazione della Big Data
Security Analytics, così da definire le esigenze di intelligence per la tecnologia di sicurezza, i data
feed esterni e i servizi di sicurezza gestiti e professionali in grado di colmare le lacune.
Come ultima considerazione, la Big Data Security Analytics è antitetica alla tipica infrastruttura di sicurezza
odierna, basata su strumenti specifici e scala limitata. Gli imminenti mutamenti della tecnologia di sicurezza di
livello enterprise saranno probabilmente paragonabili alla transizione delle applicazioni aziendali degli anni '90,
quando le applicazioni dipartimentali sono state sostituite con architetture software ERP di classe enterprise.
© 2013, The Enterprise Strategy Group, Inc. Tutti i diritti riservati.
White paper: È iniziata l'era della Big Data Security Analytics
Per evitare le possibili insidie associate a questo tipo di evoluzione, le aziende necessitano di vendor di
tecnologia con profonda esperienza nel settore della sicurezza, un portafoglio di prodotti leader nella Security
Analytics, una solida strategia per la Big Data Security Analytics, notevole esperienza aziendale, servizi
complementari di intelligence sulle minacce, rapporti con MSSP collaudati e servizi professionali incentrati
sulla sicurezza che aiutino i CISO nella pianificazione, nell'implementazione e nella gestione continua della
Big Data Security Analytics. Grazie soprattutto al recente lancio di RSA Security Analytics, RSA Security è uno
dei pochissimi vendor di soluzioni per la sicurezza che soddisfano questo profilo. I CISO delle aziende di livello
enterprise dovrebbero pertanto valutare in che modo adattare RSA Security Analytics, nonché le soluzioni
e i servizi correlati, alla visione, alla strategia, ai piani tattici e ai requisiti della Big Data Security Analytics.
© 2013, The Enterprise Strategy Group, Inc. Tutti i diritti riservati.
11
White paper: È iniziata l'era della Big Data Security Analytics
12
Una verità più ampia
Il miglioramento della Security Management Maturity non è un processo lineare e i CISO devono aspettarsi
alti e bassi lungo il cammino. In base a quanto emerge da alcune tendenze di mercato attuali e dai dati della
ricerca ESG, la gestione della sicurezza di molte organizzazioni sembra essere in stato di stallo.
Per la verità, la Security Management Maturity è giunta a un punto di svolta. Per apportare le innovazioni, i CISO
dovrebbero valutare in modo obiettivo l'infrastruttura della tecnologia di sicurezza in uso. Riesce ad assicurare
le attività di monitoraggio, indagine e analisi dei dati necessarie per supportare decisioni correlate alla sicurezza
in tempo reale? È in grado di raccogliere, elaborare e analizzare il volume di dati necessario per tenere traccia
delle attività di sicurezza a tutti i livelli dello stack tecnologico? Necessita di assistenza e manutenzione
eccessive? I CISO potrebbero purtroppo accorgersi di spendere molti soldi per risultati di rilevamento, indagine,
risposta e workflow di incident scadenti.
Dato il livello di sofisticazione raggiunto dalle minacce basate su malware e dai criminali informatici,
non esistono ricette miracolose o risposte facili al problema. È indispensabile realizzare una migliore
visibilità mediante un potenziamento dell'analisi dei dati: più dati, maggior intelligence di sicurezza,
raccolta e correlazione in tempo reale e così via. La consapevolezza situazionale in tempo reale consente
ai CISO e agli analisti della sicurezza di adeguare le tattiche, definire la priorità delle attività e accelerare
i processi. Ciò dovrebbe, in definitiva, contribuire a migliorare la sicurezza e ridurre i costi aziendali.
Quest'ultima ragione dovrebbe di per sé essere sufficiente a rendere estremamente attraente la Big Data
Security Analytics per i CISO di livello enterprise.
© 2013, The Enterprise Strategy Group, Inc. Tutti i diritti riservati.
20 Asylum Street | Milford, MA 01757 | Tel: 001 508 4820188 Fax: 001 508 4820218 | www.esg-global.com
Documenti correlati
brochure - BRIDGE Consulting
brochure - BRIDGE Consulting
Polimi_WS_Big Data-Emerging Trends
Polimi_WS_Big Data-Emerging Trends
KPMG - Unipd
KPMG - Unipd
Generali acquisisce MyDrive Solutions, società
Generali acquisisce MyDrive Solutions, società
Giorgio Medina
Giorgio Medina
La crescita delle aziende italiane passa per i big data
La crescita delle aziende italiane passa per i big data
Corso web marketing - Istituto Italiano Design
Corso web marketing - Istituto Italiano Design
scarica brochure
scarica brochure
Creare valore con architetture Big Data
Creare valore con architetture Big Data
Corso “Gestire la sicurezza della rete informatica
Corso “Gestire la sicurezza della rete informatica
Wave - Confcommercio Milano
Wave - Confcommercio Milano
Introduzione al web marketing Il sito web: Progettazione, sviluppo
Introduzione al web marketing Il sito web: Progettazione, sviluppo
Scarica