Tipologia di progetto, obiettivi e descrizione della problematica o del bisogno del cliente

Oggi le aziende devono affrontare il complesso problema della cyber security, che oltre a formazione, processi e policy, richiede anche lo sviluppo di una filiera always on di identificazione delle minacce e mitigazione delle stesse con una specifica attività di remediation. Da una parte è sempre più viva la necessità di una capacità di detection molto ampia sul perimetro logico delle aziende che sia in grado di identificare anche le minacce più complesse che per loro natura dribblano i sistemi classici di sicurezza, per cui serve una tecnologia agnostica fortemente orientata alla comprensione delle specificità infrastrutturali, organizzative e procedurali dei singoli clienti e integrata ad un i-SOC declinato su più livelli che sia in grado di contestualizzare puntualmente le minacce e identificare le attività di risposta. Dall’altra parte però oggi più che mai serve che quella risposta altrettanto agnostica venga resa operativa attraverso le attività di remediation atte a mitigare il rischio di compromissione. Oggi, oltre all’automatic remediation, per poter agire con determinati SLA sui sistemi dei clienti su tutti i fronti coinvolti nella detection serve costruire delle catene del soccorso complesse basate sul sistema MITRE e composte da più partner che tipicamente gestiscono porzioni dell’infrastruttura del cliente. Per un processo di attuazione della remediation con il minor numero di punti di caduta servirebbe che tutti i partner che gestiscono l’infrastruttura del cliente coinvolti abbiamo le seguenti caratteristiche: un NOC real h24, totalmente autonomo con profonde competenze cyber e in costante aggiornamento sulle tattiche, tecniche e procedure degli attaccanti. E non sempre questo accade con il rischio che l’identificazione delle minacce risulti poi inefficace a causa di una remediation non ben organizzata.

Descrizione della soluzione tecnologica (tecnologie, architettura, ecc.)

Per questo motivo nasce l’integrazione tra CYBEROO e NPO SISTEMI, in grado di erogare servizi 24/7/365 e che gli permettono di seguire il cliente in modalità proattiva e continuativa contribuendo ad aumentarne il livello di sicurezza, di reattività agli attacchi e quindi di cyber resilienza. Tale integrazione è avvenuta tramite la certificazione SNIPER di CYBEROO, ottenuta da NPO Sistemi attraverso un processo di qualificazione che rispetta rigorosi requisiti e rappresentando la massima capacità di collaborazione tra CYBEROO e il partner stesso.
Per fare ciò è stato necessario approfondire temi quali Playbook strutturati, comunicazioni Cyberoo/Partner e Partner/cliente, l’organizzazione e le competenze del partner.

Dettaglio del progetto implementato (complessità, tempi, aspetti organizzativi, costi, ecc.)

È stato definito quindi un processo ben organizzato di attivazione della catena del soccorso a seguito delle segnalazioni di eventuali anomalie o incidenti informatici da parte dell’iSOC di CYBEROO, in modo che da una parte l’attività dell’operatore di NPO Sistemi sia principalmente focalizzata sulla gestione di segnalazioni reali, quanto più avulse dalla presenza di falsi positivi, dall’altra per poter indirizzare verso il cliente il miglior servizio possibile in termini di efficacia ed efficienza proprio nel momento in cui si sia evidenziata una anomalia comportamentale tipica di un attacco in corso. In particolare poi la Cyber Security Suite di Cyberoo si integra anche con l’Utente Sniper di NPO Sistemi. Oltre ai servizi h24 di gestione già esistenti di NPO SISTEMI attivi sui suoi clienti, viene quindi messa a disposizione degli specialisti di NPO Sistemi una piattaforma che può attivare manualmente operazioni definite in appositi Playbook che permettono di intervenire sulle diverse soluzioni presenti nell’infrastruttura del cliente. Questa architettura genera un ecosistema che permette ai singoli specialisti sia di non dover avere accesso amministrativo diretto ai singoli apparati del cliente, sia di aumentare la loro capacità di intervento. NPO SISTEMI, in questo modo, risulta essere il primo anello della catena del soccorso del cliente indipendentemente dalla possibile gestione frammentata dell’infrastruttura.

Principali benefici ottenuti dal cliente

Il cliente scegliendo il binomio CYBEROO – NPO SISTEMI ha la garanzia che venga gestita tutta la filiera di identificazione delle minacce fino alla loro mitigazione senza doversi preoccupare di dover gestire direttamente qualsiasi attività o preoccuparsi che tutti i partner che ne gestiscono l’infrastruttura abbiano i requisiti adatti per poter rispondere H24 con SLA estremamente stringenti di intervento. Il cliente è messo nella condizione di percepire senza ombra di dubbi, un processo chiaro e ben oliato al fine di comprendere come Cyberoo e il partner certificato possano insieme garantire un valore aggiunto nei processi di mitigazione delle minacce cyber.

Elementi distintivi di reale innovatività/originalità e replicabilità della soluzione

Questo approccio così ben strutturato della filiera da detection a remediation tra vendor e partner in grado poi di recepire informazioni e agire su qualsiasi sistema presente nell’infrastruttura del cliente permette un approccio realmente olistico e quindi fattivo per la risoluzione delle minacce anche in contesti complessi.