venerdì, 29 marzo 2024

Articoli

Big Data e Machine Learning: trovare risposte nei dati

16/11/2017

della Redazione

Nell’era dell’informazione, il dato, ossia “la conoscenza”, rappresenta uno degli asset più importanti per qualsiasi organizzazione, dalla più piccola alla grande realtà Enterprise. La vera sfida è fornire al security manager il valore contenuto nell’enorme mole di informazioni che vengono costantemente prodotte. E’ qui che le innovative tecniche di big data ed intelligenza artificiale vengono in aiuto.

Se il processo di creazione di un sistema di Security Analytics non può essere standardizzato, ma deve focalizzarsi sulle singole realtà per dare risposte efficaci, quali tipo di competenze occorre che siano messe in campo?

Risponde Carmine Buono, Big Data Security Architect Crisma Security

Le competenze necessarie per l’implementazione di un sistema di questo tipo sono molteplici e vanno da quelle tipicamente architetturali e applicative informatiche, a quelle matematico statistiche, a quelle sistemistiche. A tutto ciò occorre poi abbinare un consolidato background di conoscenze nell’ambito della sicurezza fisica, che consenta di individuare le esigenze (non sempre esplicite) dell’utente finale. Dunque, per il successo dell’implementazione di un sistema di Security Analytics la scelta del partner adatto diviene un fattore di fondamentale importanza. www.crismasecurity.it

Attualmente, prodotti come gli PSIM (Physical Security Information Management) si stanno via via facendo strada nel mondo della sicurezza fisica, soprattutto in ambito Enterprise e Corporate. In realtà, anche se in forma diversa, il concetto era già presente nei più tradizionali sistemi di supervisione e building automation: raccogliere le informazioni dai sistemi periferici e riportarli verso il centro. Questo tipo di sistemi (chi più, chi meno) svolgono egregiamente il loro compito, riportando verso il SOC (Security Operation Center) allarmi, anomalie, transiti, segnalazioni di stato e le più svariate tipologie di eventi (forte varietà). Il risultato finale è che, molto spesso, le sale operative e gli uffici di Security sono letteralmente inondati (per gli alti volumi) da informazioni, per lo più di scarso interesse e ridondanti, mentre si rischia di perdere di vista allarmi realmente critici. E’ chiaro che in realtà medio grandi, caratterizzate da migliaia o decine di migliaia di sensori ed apparti, (alta velocità/frequenza di eventi) questa informazione “grezza” non può essere presentata all’utente così com’è, ma necessita di uno stadio di elaborazione intermedio che consenta di “distillare” il contenuto informativo utile. Le moderne tecniche di Big Data e Machine Learning consentono di colmare il gap tra i dati provenienti dal campo e le necessità del dipartimento di Security.

BIG DATA

“3V”: Velocità, Volume e Varietà. Per definizione, un sistema Big Data nasce per poter elaborare grandi masse di dati eterogenee e con alto traffico. Di fatto, è quanto descritto poco fa. Grazie all’implementazione di tali sistemi è possibile realizzare un primo livello di Security Analytics sfruttando tutti i vantaggi tecnologici di tali architetture. Lo scopo è quello di classificare le informazioni, filtrarle ed aggregarle per estrarre dai dati grezzi informazioni più interessanti quali medie, trend ed individuare le anomalie o le fonti di rischi potenziali. Il processo parte dall’individuazione delle sorgenti dell’informazione e dall’ingestion degli stessi per la costruzione di un repository (Data Lake) unico che raccolga tutte le informazioni utili. I contesti in cui questi strumenti costituiscono un valido supporto alla gestione della sicurezza aziendale sono molteplici e spesso legati alle singole realtà organizzative; ne possiamo citare alcuni solo a scopo esemplificativo: a) Security Systems Performance Analysis - fornisce al Security Manager informazioni utili sullo stato di funzionamento e sulle performance dei sistemi di sicurezza, individuando, ad esempio, quegli apparati che generano un numero di allarmi (veri o falsi) diverso dal rate tipico per la loro categoria; b) User Access Compliance Analysis - è in grado di fornire al Security Manager informazioni utili per valutare la congruenza fra i ruoli ed i diritti di accesso assegnati ad ogni utente o categoria di utenza. L’output finale può assumere diverse forme, anche in funzione della tipologia di utenza che dovrà utilizzarlo, le più comuni sono: • Cruscotti - forniscono informazioni sintetiche di alto livello, lo scopo è quello di avere sempre sott’occhio “il polso della situazione” mediante strumenti chiari, intuitivi e di rapida consultazione; • report analitici - una volta focalizzati gli aspetti cardine per la gestione operativa, un sistema di reportistica analitica consente di approfondire le varie situazioni, esplodendo i dati con livelli di dettaglio via via crescente; • strumenti di query ed estrazione - rappresentano lo strumento di analisi più potente e versatile; attraverso intuitivi tool grafici i Security Manager possono creare estrazioni, aggregazioni ed elaborazioni personalizzate.

MACHINE LEARNING

Se le tecniche di Big Data consentono di dare una forma sintetica ed estrarre informazioni utili dalla massa di dati provenienti dalla periferia, le tecniche di Machine Learning e Network Analytics consentono di compiere un ulteriore passo in avanti nella comprensione dei fenomeni associati ai tali dati. Ad esempio, analizzando i transiti provenienti dal sistema di controllo accessi, diviene possibile estrapolare comportamenti anomali o sospetti di singoli individui o di gruppi organizzati. Un altro campo di applicazione è l’individuazione di correlazioni non lineari di eventi provenienti da più sensori; questa tecnica può essere utile ad individuare e prevenire alcune strategie di attacco messe in atto, ad esempio, generando una serie di falsi allarmi per testare le reazioni, prima di procedere con l’intrusione. La creazione di modelli predittivi sui guasti, invece, consente di prevenire le situazioni di rischio legate al malfunzionamento di apparecchiature, ed indirizzare la manutenzione programmata degli impianti. Questo tipo di approccio, già largamente utilizzato nei sistemi di sicurezza logica e nella realizzazione di sistemi antifrode, si basa su algoritmi che possono essere supervisionati o che apprendono dai dati storici. Utilizzando il repository dei dati come base di partenza, gli algoritmi generano delle analisi comportamentali e predittive, dando, di fatto, la possibilità di anticipare possibili situazioni di rischio.

UN PROGETTO DI SECURITY ANALYTICS

Allo stato attuale, la creazione di un sistema di Security Analytics non è un processo del tutto standardizzato, ma è ancora fortemente legato alle singole realtà per diversi motivi, ad esempio le sorgenti delle informazioni possono essere molteplici, eterogenee e variabili a seconda dei contesti. Inoltre ogni singola realtà organizzativa presenta aspetti della sicurezza peculiari, legati al core business, al contesto ed alle procedure operative. Quindi il focus delle analisi deve essere di volta in volta adattato alle specifiche esigenze per evitare di creare strumenti “generici” inutilmente articolati che non danno le risposte “giuste” per gli utenti. Alla luce di ciò, è possibile individuare alcuni step fondamentali per la corretta implementazione di un sistema di Security Analytics: • una prima fase di Assessment - i cui scopi sono fondamentalmente due: individuare le esigenze specifiche della committenza e le sorgenti delle informazioni. Questa fase porterà alla progettazione del sistema di Security Analytics; • una fase di Data Preparation - in questa fase vengono ingegnerizzati il repository centrale e le procedure di alimentazione e normalizzazione delle informazioni; • a questo punto è possibile implementare gli algoritmi di Machine Learning utilizzando il repository precedentemente creato; • l’ultima fase consiste nella realizzazione dell’output verso le varie tipologie di utenza.



Tutti gli articoli