Security Analytics: Big Data e Machine Learning al servizio della sicurezza

dalla Redazione

Nell’era dell’informazione, il dato rappresenta uno degli asset più importanti per qualsiasi organizzazione, dalla più piccola alla grande realtà Enterprise, perché da questo può essere estratta la “conoscenza”. E’ sulla base di questo principio che prodotti come i PSIM (Physical Security Information Management) si stanno via via facendo strada nel mondo della sicurezza fisica, soprattutto in ambito Enterprise e Corporate. In realtà, anche se in forma diversa, il concetto era già presente nei più tradizionali sistemi di supervisione e building automation: si trattava infatti sempre di raccogliere le informazioni dai sistemi periferici e di riportarli verso il centro. Questi sistemi svolgono (chi più, chi meno) egregiamente il loro compito, riportando verso il SOC (Security Operation Center) allarmi, anomalie, transiti, segnalazioni di stato e le più svariate tipologie di eventi. Il risultato finale è che, molto spesso, le sale operative e gli addetti alla Security sono inondati da informazioni, per lo più di scarso interesse e ridondanti, rischiando di perdere di vista allarmi realmente critici.

La progettazione di Security Analytics è particolarmente complessa: in quali passaggi si articola?

Risponde Roberto Maglie, responsabile Tecnico security analytics Crisma Security - www.crismasecurity.it

Ogni progetto di Security Analytics è strettamente legato alle singole realtà: le sorgenti delle informazioni possono infatti essere molteplici, eterogenee e variabili a seconda dei contesti. Ogni singola realtà organizzativa presenta poi aspetti della sicurezza peculiari, legati al core business, al contesto e alle procedure operative. Tanto premesso, è possibile individuare alcuni step fondamentali per la corretta implementazione di un sistema di Security Analytics. La prima fase è di Assessment, i cui scopi sono fondamentalmente due: individuare le esigenze specifiche della committenza e le sorgenti delle informazioni. Questa fase porterà alla progettazione del sistema di Security Analytics. La seconda fase è quella di Data Preparation: in questa fase vengono ingegnerizzati il repository centrale e le procedure di alimentazione e normalizzazione delle informazioni. A questo punto è possibile implementare gli algoritmi di Machine Learning utilizzando il repository precedentemente creato. L’ultima fase consiste nella realizzazione dell’output verso le varie tipologie di utenza.

È chiaro che, in realtà medio grandi caratterizzate da migliaia, o decine di migliaia, di sensori od apparati, questa informazione “grezza” non può essere presentata all’utente così com’è, ma necessita di uno stadio di elaborazione intermedio che consenta di “distillare” il contenuto informativo utile. Le moderne tecniche di Big Data e Machine Learning consentono di colmare il gap tra i dati provenienti dal campo e le necessità del dipartimento di Security. Inoltre, i dati a disposizione estendono i perimetri tecnologici, infatti, grazie alla correlazione e lo studio su base statistica degli eventi, anche i dati non caratterizzati come di “sicurezza” concorrono a produrre gli score di rischio in ambiti di security. Rapportando eventi ed anomalie è possibile infatti, abbattere i confini tra Safety, Security ed Operation.

BIG DATA

Le tecniche di Big Data consentono di implementare un primo livello di Security Analytics. Lo scopo è quello di classificare le informazioni, filtrarle ed aggregarle per estrarre dai dati grezzi delle informazioni più interessanti quali medie, trend, e di individuare le anomalie o le fonti di rischi potenziali. Il processo parte dall’individuazione delle sorgenti dell’informazione, passa poi alla normalizzazione dei dati ed alla creazione di un repository unico che raccolga tutte le informazioni utili. I contesti in cui questi strumenti costituiscono un valido supporto alla gestione della sicurezza aziendale sono molteplici, e spesso legati alle singole realtà organizzative: ne possiamo citare alcuni solo a scopo esemplificativo. Security Systems Performance Analysis, ad esempio, fornisce al Security Manager informazioni utili sullo stato di funzionamento e sulle performance dei sistemi di sicurezza, individuando, ad esempio, quegli apparati che generano un numero di allarmi (veri o falsi) diversi dal rate tipico per la loro categoria. User Access Compliance Analysis, invece, è in grado di fornire al Security Manager informazioni utili per valutare la congruenza fra i ruoli ed i diritti di accesso assegnati ad ogni utente o categoria di utenza. L’output finale può assumere diverse forme, anche in funzione della tipologia di utenza che dovrà utilizzarlo. Le più comuni sono i Cruscotti, che forniscono informazioni sintetiche di alto livello: lo scopo è quello di avere sempre sott’occhio “il polso della situazione” mediante strumenti chiari, intuitivi e di rapida consultazione. Poi ci sono i Report Analitici: una volta focalizzati gli aspetti cardine per la gestione operativa, un sistema di reportistica analitica consente di approfondire le varie situazioni, esplodendo i dati con livelli di dettaglio via via crescente. Infine gli Strumenti di query ed estrazione rappresentano lo strumento di analisi più potente e versatile: attraverso intuitivi tool grafici i Security Manager possono creare estrazioni, aggregazioni ed elaborazioni personalizzate.

MACHINE LEARNING

Se le tecniche di Big Data consentono di dare una forma sintetica e di estrarre informazioni utili dalla massa di dati provenienti dalla periferia, le tecniche di Machine Learning e Network Analytics consentono di compiere un ulteriore passo in avanti nella comprensione dei fenomeni associati ai tali dati. Ad esempio, analizzando i transiti provenienti dal sistema di controllo accessi, diviene possibile estrapolare comportamenti anomali o sospetti di singoli individui o di gruppi organizzati. Un altro campo di applicazione è l’individuazione di correlazioni non lineari di eventi provenienti da più sensori: questa tecnica può essere utile ad individuare e prevenire alcune strategie di attacco messe in atto, ad esempio, generando una serie di falsi allarmi per testare le reazioni, prima di procedere con l’intrusione. La creazione di modelli predittivi sui guasti, invece, consente di prevenire le situazioni di rischio legate al malfunzionamento di apparecchiature, e di indirizzare la manutenzione programmata degli impianti. Questo tipo di approccio, già largamente utilizzato nei sistemi di sicurezza logica e nella realizzazione di sistemi antifrode, si basa su algoritmi che possono essere supervisionati o che apprendono dai dati storici. Utilizzando il repository dei dati come base di partenza, gli algoritmi generano delle analisi comportamentali e predittive, dando, di fatto, la possibilità di anticipare possibili situazioni di rischio.

IMPOSTARE UN PROGETTO DI SECURITY ANALYTICS

Allo stato attuale, la creazione di un sistema di Security Analytics non è un processo del tutto standardizzato, ma è ancora fortemente legato alle singole realtà, quindi il focus delle analisi deve essere di volta in volta adattato alle specifiche esigenze per evitare di creare strumenti “generici” inutilmente articolati che non forniscono le risposte “giuste” per gli utenti. Le competenze necessarie sono molteplici e spaziano da quelle tipicamente applicative, a quelle matematico statistiche, a quelle sistemistiche. A tutto ciò occorre poi abbinare un consolidato backgroud di conoscenze nell’ambito della sicurezza fisica, che consenta di individuare le esigenze (non sempre esplicite) dell’utente finale. Dunque, per il successo dell’implementazione di un sistema di Security Analytics la scelta del partner adatto diviene un fattore di fondamentale importanza.