Gestire infrastrutture IT e reti aziendali e garantire la loro sicurezza è sempre più complesso per la continua evoluzione delle tecnologie, ma anche della normativa, vedi il recente regolamento europeo GDPR. Per questo sempre più aziende anche grandi scelgono di farsi supportare almeno in parte da fornitori specialistici. E molte optano per servizi di infrastructure e security management forniti da remoto, in cloud.
In tale tendenza si inserisce la suite di servizi remoti Lion di Lantech//Longwave, system integrator del Gruppo Zucchetti nato nel 2017 dalla fusione appunto di Lantech e Longwave, che conta oggi oltre 40 milioni di euro di fatturato e 220 dipendenti distribuiti in 10 sedi in Italia e una in Svizzera.
«La suite Lion è cresciuta insieme all’azienda. – ci spiega Loris Rocca, Service Delivery Manager Lantech//Longwave – Siamo partiti dall’ambito networking, poi si è aggiunta la security, e dopo la fusione dell’anno scorso anche performance management e unified communication & collaboration».
Il componente più recente è Lion Cybersecurity, lanciato all’inizio del 2018: un servizio erogato dal SOC (Security Operations Center) di Lantech//Longwave, attivo 24 ore su 24 e 7 giorni su 7, che analizza i log provenienti dai sistemi dei clienti, evidenzia in tempo reale gli eventi critici, e ne valuta la gravità e gli eventuali interventi da mettere in atto.
Un servizio basato su tecnologia McAfee
«Lion Cybersecurity nasce da un’esigenza espressa dai clienti, che chiedevano di associare ai nostri servizi tradizionali di sicurezza (network security, gestione accessi, email, endpoint, eccetera) un software-as-a-service più proattivo con visibilità d’insieme dei log e gestione e analisi degli eventi».
Il servizio si basa su Enterprise Security Manager, la soluzione SIEM (Security Information Event Management) di McAfee, come piattaforma tecnologica: «Pur integrandosi bene con il resto della suite Lion, non è rivolto solo ai nostri clienti: può essere adottato anche come servizio “stand-alone” da aziende che magari hanno già un team interno di IT Infrastructure Management ma non vogliono investire in una soluzione SIEM o nella formazione di competenze di log analysis».
Un prerequisito è la connettività always-on («c’è una VPN tra il nostro data center e quello del cliente: dobbiamo poter interagire con la sua infrastruttura 24 ore su 24»), attraverso la quale il servizio raccoglie log provenienti da apparati di rete e/o di sicurezza, data center, ambienti cloud, end point, e flussi di traffico, e li analizza in automatico alla ricerca di correlazioni tra eventi o scostamenti che potenzialmente possono nascondere intrusioni o attacchi.
Canone proporzionale al numero di eventi analizzati
Lion Cybersecurity viene offerto come servizio a canone annuale, proporzionale al numero di eventi al secondo analizzati. «È un parametro indipendente dal numero e tipo di sorgenti. Spesso il cliente inizialmente non ha idee precise, per cui chiediamo un elenco dei sistemi di cui vuole raccogliere i log, e poi in base a tabelle basate su esperienza e indicazioni dei vendor, stimiamo questo parametro nella situazione specifica. Nel canone del servizio – continua Rocca – è compreso un periodo preliminare di tuning che solitamente dura 3-5 mesi, in cui facciamo attivare al cliente tutte le sorgenti di log, e iniziamo a raccogliere i dati, analizzandoli e scremandoli, dando infine indicazioni su quali siano quelli utili al servizio, sia come storico sia come real time, e quali no. Questo sulla base di best practice, esperienza aziendale e linee guida del partner McAfee».
A disposizione del cliente c’è un portale web con dashboard che forniscono informazioni statistiche personalizzate. Il servizio inoltre comprende report periodici, standard e personalizzati. «Prima di inviare il report al cliente c’è sempre una revisione umana in cui lo specialista può individuare elementi da segnalare in modo particolare al cliente». Inoltre c’è una parte di allarmistica, legata a regole di correlazione da definire durante il tuning, con segnalazioni verso Lantech/Longwave o verso il cliente.
Un’altra caratteristica importante è il supporto ai fini della conformità GDPR in chiave di “security visibility”, precisa Rocca. «Lion Cybersecurity fornisce un punto unico di archiviazione di tutte le informazioni utili per ricostruire un eventuale incidente, come accessi o modifiche sui sistemi: informazioni che sono archiviate nel formato originale e compresse in modo non modificabile, quindi utilizzabili a fini legali».
«Abbiamo cercato di creare un servizio molto flessibile e personalizzabile sulle esigenze del singolo cliente: lo definiamo “soluzione collaborativa” perché nel normale funzionamento quotidiano le persone IT del cliente e il nostro SOC diventano una squadra, senza però perdere l’identità individuale: al cliente comunque rimane la governance della propria infrastruttura».