Crescono i rischi per la sicurezza delle infrastrutture critiche. Il caso di Ukrenergo, che ha realizzato un SOC basato sulle soluzioni ArcSight di Micro Focus
Gli episodi di compromissione dei dati sono aumentati del 50% nel 2019 rispetto all’anno precedente. Lo sostiene il report 2019 State of Security Operations Update realizzato dagli specialisti di Security Intelligence and Operations Consulting di Micro Focus che, dal 2008, hanno valutato la capacità e la maturità di oltre 150 Security Operation Center (SOC) in 33 Paesi.
Nonostante il 67% dei professionisti della sicurezza IT ritenga che il loro SOC sia essenziale o molto importante per la strategia globale di cyber security della loro organizzazione (fonte: Improving the Effectiveness of the Security Operations Center, Ponemon Institute, giugno 2019 ), le ultime ricerche evidenziano come, a livello globale, esista una carenza nei SOC nella capacità di protezione dalle tattiche di attacco più sofisticate che mirano ad accedere a sistemi e informazioni.
Sono dati che trovano conferma anche in Italia nel rapporto Clusit 2020 sugli attacchi informatici, che ha evidenziato nel 2019 il più alto numero di attacchi ascrivibili al Cybercrime degli ultimi 9 anni. Il rapporto sottolinea la crescita soprattutto degli attacchi capaci di creare gravi conseguenze (+12,3% nel 2019); quelli inseriti dal Clusit con gravità alta o critica rappresentano il 54% del totale e, limitandosi alle sole infrastrutture critiche, questa percentuale sale al 66%.
“I dati sugli attacchi informatici – osserva Pierpaolo Alì, Director Southern Europe Security, Risk & Governance di Micro Focus – evidenziano come il settore delle infrastrutture critiche sia un target sempre più centrale per i cyber criminali, che richiede un approccio strutturato alla sicurezza. L’esempio di Ukrenergo dimostra come la gamma di soluzioni ArcSight, unita all’esperienza di Micro Focus nella gestione dei SOC, rappresenti un’opportunità per tutte le aziende che hanno l’esigenza di mantenere i propri sistemi critici disponibili e protetti”.
La scelta di Ukrenergo per la sicurezza delle infrastrutture critiche
NPC Ukrenergo è l’azienda responsabile del controllo operativo e tecnologico del sistema energetico dell’Ucraina e della trasmissione di energia elettrica, che dà lavoro a oltre 8mila persone. È interconnessa in modo sincronizzato con ENTSO-E, la rete europea degli operatori del sistema di trasmissione dell’elettricità, che rappresenta 43 operatori di 36 Paesi.
L’esigenza di predisporre una protezione efficace contro i sempre più frequenti attacchi alle infrastrutture critiche ha portato Ukrenergo alla realizzazione di un SOC dotato delle soluzioni Micro Focus ArcSight.
“Negli ultimi due anni – spiega Dmitry Ryzhkov, senior information security analyst di Ukrenergo – il settore energetico in Ucraina è stato oggetto di diversi attacchi informatici: dai malware BlackEnergy, Industroyer e GreyEnergy ai ransomware WannaCry e Petya. L’influenza di questi attacchi ha determinato l’esigenza di predisporre una soluzione in grado di assicurare un elevato livello di sicurezza per il futuro. Abbiamo trovato questa soluzione nella realizzazione di un SOC dotato delle soluzioni Micro Focus ArcSight”.
Per la realizzazione del suo SOC Ukrenergo ha previsto una roadmap organizzata in tre fasi successive.
Un approccio in tre fasi
Il primo livello ha previsto l’implementazione di una soluzione di Security Information and Event Management (SIEM). La scelta è ricaduta su ArcSight ESM (Enterprise Security Manager) la soluzione Micro Focus per il rilevamento delle minacce in tempo reale e la conseguente risposta.
Gli obiettivi di questa fase sono stati di apprendere l’uso degli strumenti messi a disposizione da ArcSight ESM, monitorare i sistemi e analizzare gli eventi per comprendere meglio l’infrastruttura nel suo complesso e individuare possibili vulnerabilità, arrivando a costruire uno “use case” personalizzato.
A questa fase iniziale ha fatto seguito una fase che si potrebbe definire di pre-SOC che ha previsto, come primo passaggio, la realizzazione di un audit interno che ha interessato sia la componente tecnologica sia gli utenti.
La creazione di connettori personalizzati (tramite ArcSight FlexConnectors) ha, quindi, permesso a Ukrenergo di raccogliere eventi di sicurezza da tutti i sistemi presenti (dai dispositivi di rete, agli endpoint alle piattaforme cloud) per rafforzare le capacità di risk assessment e di intelligence sulle minacce.
La fase conclusiva, che ha portato alla realizzazione del SOC vero e proprio, ha avuto tre obiettivi primari.
Il primo è stato la definizione dei ruoli degli operatori all’interno del SOC, assegnando le corrispondenti responsabilità.
Il secondo fondamentale passaggio è stata l’implementazione degli “use case” di MITRE ATT&CK, la “knowledge base” globale che fornisce tattiche e tecniche di difesa per supportare la governance, la gestione dei rischi, l’analisi del comportamento degli attaccanti, classificare le minacce e sviluppare metodologie di risposta.
L’ultimo step è stata l’implementazione della componente software UEBA (User and Entity Behaviour Analytics) per l’analisi delle anomalie di comportamento.
“Niente di tutto ciò che abbiamo fatto sarebbe stato possibile senza l’uso di Micro Focus ArcSight – conclude Ryzhkov -. Ma si deve ricordare che realizzare un SOC è un processo lungo e laborioso, che non è fatto solo di strumenti. Comprende anche “operation”, manutenzione dei sistemi, formazione dei tecnici, aggiornamento costante delle informazioni e capacità di relazioni sia all’interno del SOC sia con gli altri dipartimenti aziendali, a partire da Management e IT”.