Fino a qualche anno fa, i termini "grandi dati" e "intelligenza artificiale" erano associati più a scenari teorici futuri che ad applicazioni pratiche. La raccolta, l'archiviazione e la fusione illimitata di grandi quantità di informazioni di ogni tipo e l'analisi di questi dati con nuovi metodi tecnici e algoritmi dovrebbe portare a scoperte e metodi di soluzione dei problemi esistenti. Questo hype sui "grandi dati" si è trasformato in applicazioni tangibili che possono essere utilizzate con successo in un'ampia varietà di campi. Tra queste figurano la diagnostica medica, la previsione delle epidemie, le statistiche sulla criminalità e la lotta al terrorismo, l'uso sostenibile delle risorse ecologiche e, non da ultimo, la pubblicità online.
Ma Big Data ha fatto il suo debutto anche nel campo della sicurezza informatica. Un panorama IT di un'azienda moderna è costituito da un gran numero di dispositivi finali, server, componenti di rete, database e applicazioni, per lo più anche applicazioni nel cloud. Negli impianti di produzione digitalizzati si aggiungono la tecnologia dei sensori e la robotica. Tutti questi sistemi generano una notevole quantità di dati tecnici durante il funzionamento, come i dati di log e le statistiche. Mentre in passato questi dati erano classificati come inutili, sotto l'influenza di Big Data, ora si sta tentando di utilizzare questi dati grezzi per ottenere preziose informazioni sullo stato dell'intero sistema utilizzando nuovi metodi di analisi, ad esempio per quanto riguarda la sicurezza o l'ottimizzazione delle risorse.
Questo approccio è utilizzato da diversi prodotti per la sicurezza informatica. Esamineremo più da vicino tre tipi di tali categorie di prodotti.
SIEM
L'abbreviazione SIEM sta per "Security Information and Event Management" e significa tanto l'amministrazione di informazioni ed eventi rilevanti per la sicurezza. Un SIEM è specializzato nella registrazione di tutti gli eventi rilevanti per la sicurezza dei sistemi della rete IT in tempo reale in una sede centrale. Una caratteristica di un SIEM è la sua capacità di interpretare e classificare in modo intelligente i vari eventi su più piattaforme. In questo modo si apre la possibilità di correlare i singoli eventi nell'intero panorama informatico e di ottenere da essi una visione completamente nuova. Ad esempio, gli accessi sporadici falliti su sistemi diversi sono fisiologici di per sé, ma se in essi viene riconosciuto un certo modello, questo può essere indice di un tentativo di attacco sofisticato. Senza l'intelligenza e le capacità di correlazione di un SIEM, tali schemi di attacco non possono essere rilevati.
Se il SIEM rileva una situazione eccezionale, viene attivato un allarme e vengono fornite immediatamente tutte le informazioni rilevanti sull'incidente. In situazioni di evidente pericolo, un SIEM può anche reagire automaticamente, innescando una serie di azioni tecniche predefinite.
I moderni SIEM sono autoapprendimento e dopo qualche tempo possono valutare autonomamente se la situazione è attualmente normale o se ci sono deviazioni significative dal valore normale. I corrispondenti valori di confronto sono calcolati dinamicamente su base giornaliera, settimanale e mensile.
UEBA
L'apprendimento basato su macchine è anche una specialità dei cosiddetti sistemi di "User and Entity Behavior Analytics" (UEBA). Il nome indica l'analisi e il monitoraggio continuo del comportamento dell'utente e del sistema. Se un SIEM si concentra sui singoli eventi di sicurezza, un sistema UEBA si concentra su parametri generali quali il numero di accessi alle banche dati, il numero di file letti o modificati, la quantità di dati trasferiti, gli accessi alla rete o gli orari di accensione e spegnimento. Tutti questi valori danno un'idea di come gli utenti utilizzano normalmente i sistemi IT. Questi parametri sono continuamente analizzati da un sistema UEBA e, dopo un'adeguata fase di apprendimento, è possibile rilevare sottili deviazioni dal comportamento normale.
Ad esempio, un numero maggiore di accessi ai file potrebbe indicare che un insider malintenzionato sta tentando di ricavare dati dall'azienda; e se ci sono accessi aggiuntivi in momenti insoliti, questo potrebbe essere un'indicazione di un account utente compromesso.
I sistemi UEBA contengono già una varietà di metodi di analisi per individuare le minacce comuni, ma offrono anche la possibilità di definire nuovi metodi e non ci sono limiti alla fantasia.
L'uso di un sistema UEBA è assolutamente necessario, se non obbligatorio, per le aree di alta sicurezza di un'impresa. Tuttavia, considerando la rapidità di avanzamento della digitalizzazione e il fatto che la maggiore minaccia alla sicurezza informatica è ancora dimostrata all'interno dell'azienda, è certamente opportuno utilizzare tali sistemi in tutta l'azienda per prevenire e rilevare le minacce.
NAC
Le soluzioni NAC (Network Access Control) sono adattate ad un'altra area specifica della sicurezza informatica, la rete. In ogni momento si deve garantire che solo i dispositivi autorizzati con impostazioni conformi e utenti autenticati possano accedere alle informazioni aziendali. Grazie all'enorme diffusione di smartphone e tablet, all'uso naturale delle WLAN e al collegamento in rete dei più svariati oggetti dell'Internet degli oggetti, questa è diventata una vera e propria sfida. Le soluzioni NAC, il cui compito principale è quello di verificare in anticipo i dispositivi che si collegano alla rete e di valutare la legalità della connessione, lo supportano.
Per la verifica di un tentativo di connessione, possono essere utilizzati criteri decisionali molto diversi e le innovative soluzioni NAC svolgono molti compiti con la propria intelligenza e capacità di autoapprendimento basate su Big Data. Se un dispositivo non soddisfa le condizioni di accesso, viene bloccato fuori dalla rete o spostato in un'area per la normalizzazione. Se, tuttavia, il collegamento alla rete è consentito, il comportamento dell'apparecchio viene continuamente monitorato e, in caso di violazione di una regola, il collegamento viene immediatamente scollegato di nuovo.
Un importante effetto collaterale dell'utilizzo di una soluzione NAC è la visibilità ottenuta sull'intera rete. In molti casi, questo è da solo il motivo decisivo per l'utilizzo di una soluzione NAC.
CONCLUSIONE
Le tre tecniche considerate, SIEM, UEBA e NAC, utilizzano tutte metodi di analisi innovativi provenienti dall'ambiente Big Data, sempre con l'obiettivo di identificare alcuni modelli di comportamento. Il focus delle singole tecnologie è diverso, ma tutte sono utilizzate con l'obiettivo di migliorare la sicurezza informatica in generale.