Cosa trovi in questo articolo
L’automatic remediation è un concetto molto importante per le aziende da mettere quanto prima in atto per avere a disposizione una pronta soluzione in caso di sfide significative e di attacchi di sicurezza informatica.
 Molte imprese oggi parlano solamente di questa tematica, ma non hanno ancora effettuato azioni per implementare l’automatic remediation all’interno dei loro processi.
 Quando le aziende valutano le soluzioni CSPM (Cloud Security Posture Management), nella maggior parte dei casi l’automatic remediation è spesso l’obiettivo finale.
 Come con qualsiasi altro sistema aziendale, è fondamentale apprendere, pianificare e prototipare le capacità di automazione fino a quando non si comprendono appieno le sue potenzialità. Una scarsa implementazione iniziale della correzione introduce, infatti, il rischio di un’opposizione organizzativa all’automazione in futuro.
 L’automatic remediation può variare dalla sola notifica e registrazione di base fino alla riparazione completamente automatizzata (il tipo più avanzato di automazione).
 Non è necessario iniziare con la riparazione automatizzata al 100% a partire dal primo giorno d’implementazione. In effetti, la maggior parte delle organizzazioni trae grandi vantaggi dall’affrontare i vari livelli di automazione passo passo per esplorare a fondo quali approcci si adattano meglio al proprio ambiente.
 All’interno di questo articolo analizziamo meglio che cosa si intende per automatic remediation, quali sono i suoi vantaggi e i vari livelli della sua implementazione.
 Come con qualsiasi altro sistema aziendale, è fondamentale apprendere, pianificare e prototipare le capacità di automazione
 Cosa Significa Automatic Remediation?
L’automatic remediation è un approccio all’automazione che risponde agli eventi con azioni automatizzate in grado di correggere o rimediare alle condizioni sottostanti errate precedentemente individuate.
 Remediation significa molto più del semplice invio di un avviso. Ad esempio, può significare accertare la portata di un problema attraverso la convalida e l’indagine automatizzate, annotare la diagnosi della situazione rilevata in un sistema di ticketing e molto spesso in un sistema di chat oltre che in un sistema di logging, e quindi eseguire una serie di passaggi dove il loro completamento o il loro fallimento può rappresentare un prerequisito per l’esecuzione del passaggio successivo.
 I componenti necessari per un software di automatic remediation includono la capacità di ascoltare gli eventi, alcune nozioni di un motore di regole per rispondere in modo appropriato a questi eventi e un motore di flusso di lavoro per eseguire in modo trasparente automazioni spesso di lunga durata composte da più attività discrete legate insieme grazie all’impiego della logica condizionale.
 I Benefici dell’Automatic Remediation
Innanzitutto, partiamo dall’esame dei vantaggi che derivano dall’impiego dell’automatic remediation all’interno dei processi aziendali:
 - Risparmio di tempo: le persone non hanno più bisogno di reagire e effettuare operazioni manualmente. Le azioni vengono eseguite in modo automatico, consentendo ai professionisti di lavorare su attività che possiedono un più alto valore aggiunto. Soprattutto a livello aziendale, il risparmio di tempo può essere significativo.
- Sicurezza migliorata: vulnerabilità e problemi vengono risolti immediatamente dopo la loro pronta scoperta, impedendo ai malintenzionati di trarre vantaggio dalle falle di sicurezza che sono state individuate.
- Coerenza: ogni azione viene eseguita con lo stesso identico flusso di lavoro e le organizzazioni possono essere sicure che le procedure prescritte verranno sempre eseguite correttamente e secondo il processo stabilito.
- Registrazione continua della conformità: l’automatic remediation fornisce la prova dei risultati delle correzioni in tempo reale per mantenere gli ambienti aziendali conformi in modo continuo, anziché tramite l’esecuzione della verifica con audit periodici.
Perché è Importante per Garantire la Business Continuity?
L’impiego dell’automatic remediation all’interno dei processi aziendali è molto importante per garantire e assicurare la continuità del business (o business continuity) in quanto, come abbiamo visto sopra, permette di garantire una pronta risposta in caso di inconvenienti e anomalie.
 Ad esempio, nel caso di un attacco di sicurezza informatica, l’automatic remediation permette di individuare la minaccia nel momento stesso in cui viene eseguita una prima azione di attacco, intervenire prontamente (per esempio isolando la macchina che è stata attaccata) ed evitare che l’azione del malintenzionato possa scalare e causare danni gravi all’azienda.
 Nel caso di un attacco di sicurezza informatica, l’automatic remediation permette di individuare la minaccia nel momento stesso in cui viene eseguita una prima azione di attacco
 I 5 Livelli di Tecniche di Automatic Remediation per Garantire la Continuità Operativa in Azienda
L’implementazione dell’automatic remediation prevede cinque livelli che mano a mano garantiscono una progressiva automatizzazione dell’intero processo di risposta ad eventi significativi.
 Analizziamo questi cinque livelli con un maggiore dettaglio.
 1 – Notifiche: il Primo Passo da Non Dimenticare
La notifica è l’elemento fondamentale della riparazione automatizzata e qualcosa che utilizzerai su base continuativa all’interno dei tuoi processi aziendali.
 Poiché configurerai le notifiche per inviare rapporti di eventi corretti, questo è un ottimo punto di partenza per testare se l’automatic remediation potrebbe essere la soluzione giusta per la tua azienda.
 Durante l’implementazione iniziale, utilizzare solo le notifiche per i primi test è fondamentale perché consente di controllare esattamente ciò che verrebbe corretto senza apportare modifiche vere e proprie. Questo è un ottimo modo, inoltre, per garantire che qualsiasi azione che verrebbe invocata farà esattamente quello per cui sarà stata implementata.
 Non uscire dalla fase di notifica finché non sei in grado di convalidare costantemente che stai ricevendo notifiche solo per le risorse definite da te o dal tuo team.
 Quando sei pronto:
 - Decidi quale tipo di risorsa vuoi correggere e quale controllo attiverà la riparazione automatizzata (rischi da SSH, particolari firme, ecc.)
- Esegui diversi cicli di prova solo con notifica e assicurati che i risultati riportati siano esattamente quelli che ti aspetti.
- Se le notifiche e le risorse contrassegnate come non conformi sono in linea con le aspettative, passa al livello 2.
Suggerimento: dopo il test iniziale e l’esecuzione della prima fase della riparazione, è importante mantenere attive le notifiche in modo che i risultati in corso della riparazione vengano registrati ai fini di audit.
 Questo è fondamentale per diversi motivi. Se succede qualcosa e si attiva la riparazione automatica, come fai a sapere quando sta succedendo qualcosa di anomalo? Inoltre, se c’è qualcuno che sta apportando modifiche non intenzionalmente errate o non sicure, non avrà alcun modo per essere avvisato che deve effettuare delle modifiche sull’azione che sta eseguendo.
 È importante che le notifiche non diventino “rumore” o “spam” per i destinatari. A tal fine, esse dovrebbero includere quante più informazioni contestuali possibili.
 Gli obiettivi di notifica, ticketing e registrazione principali da implementare includono:
 - Splunk/Sumo
- Accessi alla rete
- Accessi ai server
- API pubbliche
2 – Logging: Perché Serve per Incrementare la Sicurezza Informatica
Il passaggio successivo verso la riparazione automatizzata completa dovrebbe concentrarsi sul blocco dei dati fondamentali del tuo account tramite un sistema di logging. Esistono diverse configurazioni iniziali che ogni nuovo account cloud dovrebbe avere e la maggior parte di esse può essere controllata attraverso l’implementazione dell’automatic remediation.
 L’automazione di esempio per un sistema AWS può includere:
 - Cloudtrail: assicurati che esista un servizio globale di registrazione del percorso
- Cloudtrail: assicurati che tutte le regioni stiano registrando
- Cloudtrail: assicurati che tutti i log vengano aggregati in un bucket centrale
- IAM: applica una policy password complessa
- Bucket S3: abilita il controllo delle versioni
- Bucket S3: abilita la registrazione
- Bucket S3: abilita la crittografia lato server
- VPC: assicurati che tutti i VPC abbiano la registrazione del flusso VPC abilitata
- EC2: codifica automatica delle istanze che vengono avviate senza un tag proprietario per popolare il valore con il nome utente di chi lo ha creato
- EBS: assicurati che tutti i volumi associati a un’istanza siano contrassegnati
Questi elementi fondamentali faranno risparmiare tempo prezioso e aumenteranno la sicurezza del tuo ambiente. Ricorda, inoltre, che nessuna di queste configurazioni dovrebbe avere un impatto negativo sulle operazioni quotidiane della tua azienda o sugli utenti.
 Esistono diverse configurazioni iniziali che ogni nuovo account cloud dovrebbe avere e la maggior parte di esse può essere controllata attraverso l’implementazione dell’automatic remediation
 3 – Adozione di Best Practices: Perché Non Può Bastare Fare il Minimo
Le raccomandazioni sull’automazione di livello 1 e 2 sono strettamente legate al benchmark AWS CIS. Questi sono i principi fondamentali dell’account che qualsiasi organizzazione può utilizzare per migliorare la sicurezza e l’igiene generale dei propri account.
 La differenza tra il livello 1 e 2 è che nel livello 2 l’automazione per i fondamenti dell’account richiederà una pianificazione per garantire che non abbiano un impatto sui tuoi utenti. L’automazione di livello 2 sarà più facile da implementare rispetto all’automazione che fornisce la riparazione automatizzata vera e propria nei livelli 3 e 4.
 Esempi di riparazione automatizzata delle pulizie di AWS:
 - Rimozione di tutti i gruppi di sicurezza inutilizzati che iniziano con launch-wizard*.
- Eliminazione delle regole predefinite sui gruppi di sicurezza standard.
- Verifica che tutte le AMI personalizzate siano impostate su private.
4 – Governance e “Account Hygiene”: i Dettagli da Non Trascurare
Le azioni diventano un po’ più personalizzabili nel livello 4. L’obiettivo in questa fase è rendere questa automazione il più possibilmente conforme al tuo business e aggiungere azioni che portino il massimo valore alla tua azienda, influenzando il meno possibile le operazioni quotidiane.
 Esistono diversi casi d’uso che possono essere impiegati e dovrai esplorare quale di questi si adatta meglio alla tua azienda:
 - Applicazione dell’ambiente sandbox (pulizia ogni X ore o in linea con i cicli di rilascio del software)
- Notifica / interruzione delle istanze costose che vengono avviate (per costo, tipo di famiglia o specifiche dell’hardware)
- Controllo dei costi (ripulire database inutilizzati, vecchi snapshot, risorse orfane, ecc.)
- Pulizia dell’esposizione delle porte (blocco SSH, RDP, ecc.)
- Mantenimento inutilizzato delle regioni non principali (interruzione o avviso in caso di presenza di risorse al di fuori delle regioni primarie)
5 – Automatic Remediation Effettiva: le Azioni più Sofisticate ed Efficaci
Non è fino al livello 5 che inizierai a eseguire il tipo di riparazione automatizzata a cui la maggior parte delle persone pensa quando discute a riguardo dell’argomento.
 Questo perché mentre queste operazioni sono la forma più completa di automazione, sono anche azioni che ti danno il massimo controllo e possono causare il maggior danno se vengono implementate in modo non corretto.
 Inoltre, quando inizi a implementare questo tipo di interventi, devi assicurarti che l’organizzazione sia completamente preparata e consapevole dell’impiego dell’automatic remediation all’interno dei tuoi processi aziendali.
 Esempi di riparazioni automatizzate di livello 5 in AWS:
 - Disattivazione delle vecchie chiavi API.
- Eliminazione delle regole SG appena create che non hanno una descrizione.
- Interruzione di istanze che non sono contrassegnate correttamente o che non eseguono un’AMI adeguata.
- Blocca i bucket S3 pubblici (zero ACL e criteri di bucket).
- Aggiungi eccezioni (per tag, nome, ecc.).
Perché un Corso di Cybersecurity Può Cambiarti la Vita e Incrementare le Tue Difese
Ogni organizzazione avrà un percorso unico e personalizzato durante l’implementazione del proprio processo di automatic remediation.
 Per alcune realtà, non ci sarà bisogno della riparazione completamente automatizzata e sarà sufficiente utilizzare l’automazione per le notifiche. In altre organizzazioni, tutto sarà automatizzato e completamente bloccato in modo automatico.
 Qualunque sia il livello che la tua organizzazione si sforza di raggiungere, lavorando attraverso i 5 livelli sopra descritti, puoi avere sicuramente successo nell’implementazione graduale dell’automazione per ottenere una riparazione completamente automatizzata e trarre il massimo dalle azioni con il minimo impatto per l’organizzazione.
 Siccome l’automatic remediation è costituita da concetti abbastanza avanzati nell’ambito della cybersecurity, ti consigliamo di seguire un corso online specifico sulla sicurezza informatica che ti fornirà le basi a riguardo delle principali minacce presenti sul Web e sulle possibili azioni di rimedio da adottare.
 Alteredu offre diversi corsi completamente online legati alla cybersicurezza che ti aiuteranno sicuramente ad accrescere le tue competenze professionali. Inoltre, essendo composti da videolezioni potrai facilmente conciliare la tua formazione con il tuo attuale impiego lavorativo.