Si è conclusa anche per quest’anno la III l’edizione del Security Summit che si è tenuta a Treviso lo scorso 23 maggio.
Ormai da diversi anni anche noi vi partecipiamo e proprio perché riteniamo sia un appuntamento interessante e utile, ne siamo diventati sponsor.
Il programma di quest’anno è stato davvero ricco di interventi che hanno sviscerato delle tematiche molto vicine a tutti noi.
In primis il GDPR che ancora oggi è moto attuale, sebbene sia ormai passato un anno dalla sua entrata in vigore, sino ad arrivare ad argomenti di natura più tecnica e complessa.
Nella nostra ultima newsletter (se non sei ancora iscritto clicca qui) vi abbiamo posto alcune domande alle quali è stata poi data risposta proprio durante il Security Summit. Se non sei riuscito a partecipare all’evento vogliamo riportarti di seguito le risposte di Alberto Savoldelli, Technical Manager di SecureGate.
- Perché analizzare il comportamento di un utente?
“ Lo scopo dell’analisi del comportamento dell’utente (User Behavior Analysis) è di rilevare discrepanze tra quanto sta avvenendo in tempo reale e il dato storico, relativo ad un determinato utente. Mediante la UBA possiamo capire se, associato ad un utente, si presentano eventi ad alto rischio e se questi non siano “normali” per quell’utente. Un comportamento anomalo di un utente può rivelare il principio di un attacco, che sfrutta l’utente stesso.” - Analizzarne il comportamento non viola la sua privacy?
“Gli eventi di connessione, accesso a file, navigazione sono associati agli utenti e, se analizzati singolarmente, possono tracciare un profilo estremamente preciso dell’utente stesso. La UBA valuta ogni singolo evento alla ricerca di un’anomalia senza tracciare un profilo dell’utente ma ne pesa il comportamento nel tempo. Se è normale che un utente visiti siti di intrattenimento in orario lavorativo, la UBA li ignora perché normalmente l’utente si comporta in quel modo. Il rischio associato all’utente rimarrà comunque alto, vista la natura del comportamento, ma questo non sarà trattato come un’anomalia.” - Com’è calcolato il rischio legato all’utente?
“Tipicamente il rischio è associato al tipo di evento (un evento di autenticazione riuscita ha un basso rischio, uno di autenticazione fallita ha un rischio più elevato, la detection di un virus ha rischio ancora maggiore), alla frequenza con cui questo evento si verifica se associato ad un certo utente, e ad altri fattori quali la ciclicità dell’evento stesso e la storicità del rischio associato all’utente. Questo non toglie che se un evento associato ad un certo utente non è mai stato rilevato in precedenza, l’anomalia viene rilevata anche se l’evento è considerato a basso rischio (l’autenticazione riuscita di un utente ad un servizio mai utilizzato è anomalo anche se l’evento in se non è significativo).
Inoltre oltre a riportarvi le risposte a queste domande molto interessanti, vogliamo anche introdurre quello che è stato il nostro contributo al Security Summit, ovvero il nuovo servizio nuwatch network monitor.
Facente parte della famiglia dei servizi nueye, questo servizio permette di monitorare la tua struttura informatica e prevenire i rischi di attacco. Ma di questo ne parleremo la prossima volta.
Come sempre, però, noi rimaniamo a vostra disposizione per ogni dubbio o curiosità vi possa venire, perciò non esitate a contattarci!