I dati in movimento (log, container, eventi, flussi, IOT, ecc.) generati dagli hardware e dai software di un’Organizzazione, sono fondamentali per aiutare a capire cosa sta accadendo dal punto di vista della sicurezza informatica
Per esempio, i dati dei log possono raccontare se qualcuno sta attaccando un’azienda, se ha già ottenuto l’accesso non autorizzato ai suoi sistemi, se ha esteso abusivamente i propri privilegi o se si muove lateralmente attraverso la rete.
I log possono rivelare l’uso improprio delle credenziali, attività di scansione sospette e tutti gli altri tipi di comportamenti anomali o dannosi.
Sfortunatamente, l’enorme volume di dati generati dalle infrastrutture e dalle applicazioni rende estremamente difficile per gli analisti di Cybersecurity estrarre informazioni rapidamente intelligibili e riutilizzabili.
Per eseguire un’indagine sulla sicurezza, infatti, gli analisti devono raccogliere dati da tutte le fonti pertinenti. Sistemi, applicazioni, database, tool di sicurezza e infrastrutture di rete, producono un’incredibile quantità di dati strutturati o non strutturati, spesso non armonizzati, distribuiti ed eterogenei.
Qualsiasi indagine di questo tipo richiede sia un drill-down specifico nelle informazioni di sicurezza nascoste in questo mare magnum, sia di raccogliere e archiviare un’enorme quantità di dati, in genere a lungo termine, anche al fine di consentire successive operazioni di audit con un’ampia profondità temporale.
I dipartimenti di Cybersecurity e i SOC (Security Operations Center) dovrebbero essere in grado di identificare e comprendere i dati raccolti da fonti eterogenee (log, container, flussi, ecc.), possibilmente in tempo reale, traducendole facilmente in “Eventi di Sicurezza” strutturati e fruibili, accelerando così le investigazioni.
Le tecnologie contemporanee, se declinate attraverso i giusti paradigmi, possono soddisfare adeguatamente queste necessità, nel totale rispetto della normativa GDPR…