Costruire un SOC per le infrastrutture critiche in 3 fasi

L’esperienza di Ukrenergo, operatore nazionale ucraino della distribuzione elettrica, che ha reso sicure le sue infrastrutture realizzando un SOC basato sulle soluzioni Micro Focus ArcSight

Ukrenergo è il gestore nazionale ucraino delle principali linee di distribuzione elettrica e di molte sottostazioni primarie. È interconnesso in modo sincronizzato con ENTSO-E, la rete europea degli operatori del sistema di trasmissione dell’elettricità, che rappresenta 43 operatori di 36 Paesi.

 

La sede dell'azienda nazionale di energia elettrica Ukrenergo NPC a Kiev

La sede dell’azienda nazionale di energia elettrica Ukrenergo NPC a Kiev

L’esigenza di predisporre una protezione efficace contro i sempre più frequenti attacchi alle infrastrutture critiche ha portato l’operatore ucraino a realizzare un Security Operation Center (SOC) dotato delle soluzioni Micro Focus ArcSight.

«Negli ultimi due anni – spiega Dmitry Ryzhkov, senior information security analyst di Ukrenergo – l’Ucraina è stata oggetto di diversi attacchi informatici. Il malware BlackEnergy ha interrotto l’attività di tre operatori regionali, Industroyer ha colpito una nostra sottostazione elettrica mentre GreyEnergy ha attaccato il settore energetico dell’Ucraina a Polonia. Inoltre, i ransomware WannaCry e Petya hanno colpito molte istituzioni governative e hanno interessato anche noi. Questi attacchi hanno determinato l’esigenza di predisporre una soluzione in grado di proteggerci per il futuro e abbiamo trovato questa soluzione nella realizzazione di un SOC dotato delle soluzioni Micro Focus».

Ukrenergo ha affrontato la realizzazione del SOC con una roadmap organizzata in tre fasi successive: l’implementazione di una soluzione SIEM (Security Information and Event Management), la realizzazione di un pre-SOC per arrivare, infine, alla predisposizione del New Gen SOC vero e proprio.

«I più recenti dati sugli attacchi informatici – osserva Pierpaolo Alì, Director Southern Europe Security, Risk & Governance di Micro Focus – evidenziano come il settore delle infrastrutture critiche sia un target sempre più centrale per i cyber criminali, che richiede un approccio strutturato alla sicurezza. L’esempio di Ukrenergo dimostra come la gamma di soluzioni ArcSight, unita all’esperienza di Micro Focus nella gestione dei SOC, rappresenti un’opportunità per tutte le aziende che hanno l’esigenza di mantenere i propri sistemi critici disponibili e protetti».

 

Pierpaolo Alì, Director Southern Europe Security, Risk & Governance di Micro Focus

Pierpaolo Alì, Director Southern Europe Security, Risk & Governance di Micro Focus

 

Fase 1: SIEM

Il primo passo verso la realizzazione del SOC è stata l’implementazione della soluzione SIEM ArcSight Enterprise Security Manager (ESM), che ha previsto un periodo di formazione e apprendimento delle funzionalità del software.

L’utilizzo di ArcSight ESM ha permesso di avviare una fase di identificazione delle possibili vulnerabilità, di monitoraggio dell’infrastruttura e di analytics sugli eventi di sicurezza in modo da identificare i potenziali problemi; nel contempo, si è proceduto ad ampliare progressivamente il numero di sistemi connessi al SIEM conseguendo un livello di visibilità sempre più dettagliato.

Questo tipo di analisi ha consentito a Ukrenergo di costruire uno “use case” personalizzato per la propria infrastruttura.

«La prima cosa da fare – osserva Ryzhkov – è studiare la tua infrastruttura, comprendere come lavorano i tuoi sistemi IT, identificare le criticità e capire anche che tipologia di utenti hai. È anche molto importante stabilire un livello di comunicazione con le persone dell’IT e gli amministratori di rete, le cui esigenze in termini di visibilità, disponibilità e integrità potrebbero essere differenti da quelle di chi si occupa di sicurezza. È anche essenziale coinvolgere nel progetto tutte le figure aziendali, dall’help desk al management, perché diventi un obiettivo strategico condiviso da tutti. Infine, non va sottovalutata l’utilità delle community per condividere problemi e risolverli».

Fase 3: pre-SOC

Il secondo stadio della roadmap è servito a estendere e consolidare le modalità d’uso della soluzione SIEM.

Il primo passaggio di questa seconda fase è stato di realizzare un audit interno per analizzare l’ambiente nella sua interezza, non solo a livello tecnologico, ma anche in relazione agli utenti.

Attraverso ArcSight FlexConnectors sono stati creati connettori personalizzati in grado di leggere e analizzare informazioni da dispositivi di terze parti e mappare tali informazioni su ArcSight. Questo ha consentito di acquisire eventi di sicurezza generati da endpoint, dispositivi di rete, server, piattaforme cloud, security tool, scanner di vulnerabilità, fonti aggiuntive di Threat Intelligence e così via.

Sfruttando l’ampliato livello di visibilità Ukrenergo ha potuto realizzare “use case” più sofisticati, rafforzare le capacità di risk assessment e di intelligence sulle minacce, definire modelli di risposta agli incidenti, effettuare azioni di test e backup.

La realizzazione del SOC

Le capacità di intelligence e risk assessment sono state definite in modo completo con l’ultima fase, che ha avuto tre obiettivi primari.

Il primo obiettivo è stato definire i livelli in cui organizzare i ruoli degli operatori all’interno del SOC, assegnando le corrispondenti responsabilità.

Il SOC di Ukrenergo ha previsto un’organizzazione in quattro livelli. Al livello “tier 1” appartengono persone dedicate prevalentemente alle attività di monitoraggio e analisi degli eventi; il secondo livello riguarda chi svolge attività di analytics ed è coinvolto nei processi di coordinamento e risposta agli incidenti. A questi due livelli si sommano un livello di amministrazione dei sistemi e uno degli operatori con funzionalità avanzate.

Il secondo obiettivo ha riguardato l’interazione con il framework MITRE ATT&CK, la “knowledge base” di livello globale, accessibile gratuitamente, che mette a disposizione tattiche e tecniche di difesa, per comprendere metodi di attacco e sviluppare specifici modelli e metodologie di risposta alle minacce. Il framework supporta la governance, la gestione dei rischi, l’analisi del comportamento degli attaccanti, la comprensione di come classificare e mitigare le minacce.

Ukrenergo ha implementato autonomamente tutti gli “use case” di MITRE ATT&CK, in aggiunta ai molti già nativamente messi a disposizione da ArcSight ESM.

Il terzo e ultimo essenziale compito è stata l’implementazione della componente di analisi dei comportamenti per l’individuazione di situazioni anomale.

«Un SOC non è fatto solo da strumenti – conclude Ryzhkov -. È un obiettivo che richiede molto tempo e che comprende anche Operation, manutenzione dei sistemi, formazione dei tecnici, relazioni sia all’interno del SOC sia con gli altri dipartimenti aziendali (soprattutto Management e IT). Collegare le sorgenti di eventi è un lavoro costante, che non ha fine perché il numero di compiti, processi e sistemi da connettere evolve costantemente. Per avere un SOC efficace in grado di evolvere rapidamente è anche essenziale predisporre un meccanismo per continuare a imparare e scoprire qualsiasi informazione rilevante (per esempio su attacchi e best practice) e condividerla rapidamente al proprio interno».

 

Autore: