Dalla competenza di SecureGate nella security è nata SGBox, realtà di cui Massimo Turchetto è fondatore e Ceo, che offre una soluzione Siem per la correlazione di eventi e analisi dei log per ottenere un controllo capillare della rete aziendale.
La piattaforma SGBox è quella che viene chiamata una soluzione Siem (Security Information and Event Management), è modulare e serve per la gestione dei log, il vulnerability management, il rilevamento di attacchi informatici, la conformità e l’auditing.
Grazie alla sua architettura scalabile si adatta alle imprese di tutte le dimensioni. Per chiarire come si inserisce una soluzione Siem nel contesto di cybersecurity attuale lo abbiamo chiesto a Turchetto.
Gestire la sicurezza della rete è sempre più complesso, quali sono le maggiori criticità odierne?
Le minacce al network si sono evolute raggiungendo un altro livello di sofisticazione e pervasività. In particolare su APT, ransomware e malware si sono concentrati gli sforzi dei produttori di sistemi di sicurezza informatica, che hanno ridefinito l’approccio a questo tipo di prodotti. Tuttavia, è oramai consolidato un sistema di e-commerce nel “darkweb” nel quale esistono gruppi hacker che offrono accessi a sistemi informatici per pochi dollari.
Ad esempio, è recente la notizia dell’acquisto delle credenziali di accesso ai sistemi informativi di un aeroporto internazionale e, per rilevare questi attacchi, è necessario un grado sempre maggiore di intelligenza da parte dei sistemi di protezione.
Sulla base della vostra esperienza, chi lo sta facendo bene e come lo sta facendo?
Non è sufficiente l’utilizzo di prodotti di sicurezza, se non sono state implementate delle policy accurate che impediscano comportamenti potenzialmente rischiosi da parte degli utenti. È in aumento, da parte delle aziende, l’utilizzo di programmi di security awareness per i propri utenti.
Troppi strumenti di sicurezza rischiano di rendere inefficace l’azione, come si mette ordine?
Oggi, nei network aziendali, sono presenti numerosi componenti di sicurezza che normalmente operano in modo disgiunto e a fronte di un incidente, è necessario accedere direttamente ai singoli prodotti per ottenere le informazioni. Inoltre la mancanza di interoperabilità tra le soluzioni di sicurezza impedisce una visione d’insieme sulla postura di sicurezza della rete.
Solamente aggregando le informazioni provenienti da questi device e da altre fonti dati significative è possibile effettuare delle analisi approfondite in tempo reale, per ottenere una visibilità completa sullo scenario di sicurezza e rispondere efficacemente e tempestivamente a minacce e comportamenti anomali.
Prevenire gli attacchi o saper rimediare quando avvengono, cosa conta saper fare meglio, e come si fa?
Sono necessarie e imprescindibili entrambe le tecniche. Prevenire un attacco è possibile grazie a strumenti estremamente avanzati, come anche rispondere allo stesso mediante l’adozione di piani di incident response. È fondamentale, però, utilizzare un concentratore che non sia solo di eventi di sicurezza, ma che analizzi anche un flusso di informazioni così aggregate e diminuisca il rischio di falsi positivi, concentrando le attività degli staff di sicurezza su minacce concrete.
Quali devono essere i criteri di scelta di una soluzione Siem?
Un prodotto Siem (Security Information and Event Management) deve essere semplice da configurare, soprattutto per quanto concerne le regole di correlazione, flessibile scalabile principalmente nel licensing (non legato ai volumi di dati raccolti o analizzati), non legato a un particolare tipo di informazione o sistema operativo, ma deve permettere di riconoscere agevolmente qualsiasi tipo di fonte dati. Deve inoltre permettere di creare dashboard, report e viste sui dati personalizzate. Non ultima, la possibilità di essere utilizzato in cloud.
Quali sono i differenziali della proposta di SGBox?
Quello di SGBox è un Siem modulare di nuova generazione, estremamente semplice nella gestione ma molto potente e performante anche in presenza di elevate quantità di informazioni. SGBox aggrega funzionalità normalmente non presenti in un’unica soluzione, consolidando in un’unica interfaccia di management il vulnerability assessment, monitoraggio dei sistemi e la gap analysis per il GDPR. Anche il supporto è un fattore distintivo, infatti SGBox, tramite i propri partner, offre ai propri utenti un’assistenza alla manutenzione evolutiva della piattaforma