I responsabili dell’It e della sicurezza nelle aziende vivono tempi complicati. Ai classici problemi legati alla disponibilità di budget, alla protezione contro attacchi o tentativi di sottrazione di dati e alla necessità di infondere cultura in materia nel personale interno ed esterno, si aggiungono la necessità di ottemperare ai continui aggiornamenti normativi e quella di gestire informazioni provenienti da diverse fonti, che vanno raccolte, analizzate e conservate per le evenienze di controllo e verifica in caso di incidenti o richieste specifiche.
Nel caso di una multinazionale come Electrolux (oltre 60 milioni di elettrodomestici prodotti all’anno, 58mila persone che operano in 60 paesi, 13,3 miliardi di euro di vendite nette lo scorso anno), la complessità non è esplicitata solo dai numeri, ma anche da un’organizzazione molto ramificata, alla quale fa capo un’It consolidata nel tempo a livello di gruppo, che oggi, con oltre 600 persone e una responsabilità centralizzata nella sede italiana di Pordenone, serve oltre 27mila utenti nel mondo, gestisce oltre 1.100 applicazioni e si interfaccia con 48 paesi, dove si parlano 22 lingue diverse.
Nel più ampio contesto delle problematiche legate all’Information Technology, si collocano quelle specifiche legate alla sicurezza: “I componenti dell’infrastruttura – racconta Fabrizio Di Narda, Team Leader, It Security Infrastructure Emea di Electrolux – generano una grande quantità di log eterogenei, spesso in formato proprietario. Tutte queste importanti informazioni devono essere raccolte, memorizzate e tradotte in un formato unico per essere gestite centralmente e rese rapidamente accessibili in caso di violazione o incidente”.
Come nel caso di diverse altre aziende, anche in Electrolux il livello di attenzione si sta alzando sul cosiddetto “dwell time”, ovvero il tempo nel quale un attaccante riesce a stare dentro i sistemi informativi dopo essere riuscito a entrare e prima di essere scoperto: “Per ridurre al minimo questo intervallo, le correlazioni fra i log sono fondamentali – illustra Di Narda -. Gli attacchi arrivano soprattutto via e-mail, magari da caselle condivise in cloud come ci è capitato di recente. Chi prende possesso di una risorsa può restare in ascolto anche per diverso tempo, per capire quali siano i dati preziosi e le relazioni fra aziende, soprattutto per intercettare flussi finanziari”.
Un altro obiettivo fondamentale per Electrolux era la mitigazione del rischio di violazioni, correlata alla riduzione delle perdite di dati, analizzando in tempo reale i dati raccolti: “Cercavamo una soluzione scalabile, aperta, modulare, ma anche poco costosa – specifica Di Narda -. Le tecnologie Dlp sono efficaci, ma possono rallentare i processi e questo per noi non era accettabile”.

Un log management già proiettato sul futuro IoT

La risposta a tutte queste esigenze è stata trovata nel modulo Sg-Log della piattaforma realizzata da SgBox, attraverso il quale si raccolgono log di ogni formato e provenienza, che poi vengono conservato in modo cifrato e processati per estrarre eventi associati, che possono essere analizzati in tempo reale o su base storica. A seguito dell’implementazione, Electrolux ha deciso di creare due gruppi dedicati al monitoraggio dell’infrastruttura tramite raccolta di dati, uno per quelli provenienti dai servizi Unix e l’altro dai load balancer.
SgBox, attività nata nel 2014 come spinoff del system integrator SecureGate, offre una piattaforma software che centralizza le informazioni prodotte da diversi sistemi, le analizza per estrarre quelle significative, effettua scansioni di vulnerabilità e valuta scenari user-defined per rilevare la presenza di anomalie: “In questo modo, è possibile riconoscere più rapidamente attacchi come cryptolocker – descrive Massimo Turchetto, Ceo e fondatore di SgBox – poiché si riesce a rilevare un numero sospetto di file modificati in breve tempo da un utente. Lo stesso può accadere con i furti di identità soprattutto in ambito bancario”.
La soluzione implementata ha consentito a Electrolux di aumentare la sicurezza interna e la capacità di prevenire eventi pericolosi, ottimizzando i costi di intervento e risoluzione. In futuro, è probabile che l’azienda intenda utilizzare anche il modulo di monitoraggio dei dispositivi di rete, anche in previsione degli sviluppi connessi all’Internet of Things: “Stiamo ovviamente sperimentando molte novità in quest’ambito – conclude Di Narda –. Attualmente, il nostro dipartimento di ricerca interagisce molto più di prima con l’It per ragioni di sicurezza. Gli oggetti connessi richiedono molte simulazioni che passano per accessi Adsl, che è necessario controllare. Abbiamo centralizzato anche i log generati in questo modo e possiamo così prevenire rischi ed effettuare analisi e monitoraggi a costo contenuto”.