Mentre il settore bancario pakistano ha continuato ad evolversi e svilupparsi, le autorità di regolamentazione governative hanno fatto la loro parte per sostenere lo slancio del settore emanando nuove linee guida in risposta ai crescenti rischi e minacce. La più recente, nota come Cyber Security Policy 2021, chiede alle banche di modernizzare i sistemi e le procedure che hanno in atto per rilevare, rispondere e infine sventare gli attacchi informatici in tutte le loro forme: dal malware al phishing, dallo spoofing allo "skimming" dei dati dalle carte bancomat.
Per il governo pakistano, l'intento di queste nuove regole di cybersecurity era quello di portare le banche del Paese, che fino a quel momento si erano concentrate principalmente sulla crescita e sulla redditività, ad aggiornarsi su un settore ampiamente trascurato. Tra le altre misure, la nuova policy prevedeva che le banche mantenessero le capacità di sicurezza di base, compresi i centri operativi di sicurezza (SOC) e gli strumenti di risposta automatizzata che funzionano 24 ore su 24, 7 giorni su 7.
All'inizio del 2019, quando la politica era ancora redatta, l'Askari Bank, come la stragrande maggioranza delle banche di Pakistan, aveva a disposizione solo le funzionalità di sicurezza più rudimentali, una governance della sicurezza limitata e nessun personale dedicato alla sicurezza. Colmare questa lacuna è stato il compito principale di Jawad Khalid Mirza, entrato in banca a marzo come Chief Information Security Officer (CISO). Fin dall'inizio, spiega, il forte sostegno del consiglio di amministrazione ha creato un clima favorevole alla trasformazione da lui immaginata. "Il nostro consiglio di amministrazione era a conoscenza di come le banche di tutto il mondo stavano investendo nella sicurezza", afferma. "Hanno riconosciuto che senza le giuste capacità di sicurezza informatica, così come i giusti professionisti, non possiamo andare avanti."
Ridurre il numero di incidenti di sicurezza da circa 700 al giorno a meno di 20 riducendo drasticamente il numero di falsi positivi
Ridotto il tempo necessario per la remediation da una media di 30 minuti a una media di 5 minuti attraverso l'implementazione di una risposta automatica
Forse la sfida principale che Jawad Khalid Mirza ha dovuto affrontare è stata la necessità di costruire e fornire personale a un SOC da zero. Per raggiungere questo obiettivo avrebbe dovuto scegliere la soluzione software di sicurezza in grado di soddisfare le esigenze tecniche nel modo più efficiente e vantaggioso in termini economici, inclusa l'integrazione della soluzione con i principali sistemi bancari di Askari Bank. Inoltre, doveva creare un team che stabilisse e gestisse le operazioni tecniche quotidiane del SOC, tra cui le fondamentali attività di rilevamento e gestione degli incidenti di sicurezza. Il compito richiedeva una lunga esperienza nel SOC e la trovò in Umair Shakil.
Pochi giorni dopo essere entrato a far parte di Askari Bank come capo del team SOC, Umair Shakil stava discutendo approfonditamente con Jawad Khalid Mirza sull'importantissima decisione sulla piattaforma. Nel suo ruolo precedente, gestendo le operazioni di sicurezza per uno dei maggiori fornitori di telecomunicazioni del Pakistan, Umair Shakil aveva implementato la soluzione IBM Security® QRadar® con grande efficacia. È stato come risultato diretto della sua esperienza positiva che IBM Security è rientrata tra le opzioni scelte, insieme alle soluzioni di sicurezza di Microsoft e Splunk.
Sulla base dei proof of concept presentati da ciascun fornitore, Umair Shakil e Jawad Khalid Mirza hanno eseguito rigorosi esercizi di benchmarking basati su tre dimensioni fondamentali: prestazioni del sistema, interoperabilità e facilità d'uso. Oltre a questi fattori, spiega Jawad Khalid Mirza, la scelta della piattaforma QRadar riflette la loro fiducia nella tabella di marcia che IBM ha stabilito al riguardo. "Ci consideriamo realmente allineati con la direzione che IBM sta prendendo con la piattaforma QRadar", afferma. "Per noi riflette l'impegno di IBM nel rendere ancora migliore una soluzione di sicurezza già eccezionale."
Analizzando gli attributi che hanno favorito la soluzione QRadar rispetto a quelle di Microsoft e Splunk, Umair Shakil individua nella facilità di integrazione uno dei suoi particolari punti di forza. "Uno degli aspetti migliori di QRadar è che offre diversi modi per integrarsi con i nostri sistemi bancari principali, anziché proporre un solo metodo", afferma. “Come speravamo, questo si è rivelato un enorme vantaggio durante l’implementazione.”
Per fornire la soluzione, Askari Bank ha collaborato con IBM Business Partner Software Productivity Strategists, Inc. (SPS), che ha lavorato a stretto contatto con Umair Shakil e il suo team SOC in crescita. Per il rilevamento delle minacce, il componente principale della soluzione è IBM Security QRadar SIEM, il suo prodotto per la gestione delle informazioni di sicurezza e degli eventi che consente alla banca di aggregare i registri provenienti da varie fonti all'interno di un unico repository. Ciò a sua volta consente al personale SOC di eseguire correlazioni e l'escalation di diversi log per identificare rapidamente e dare priorità agli incidenti di sicurezza.
Quando si tratta di rispondere agli incidenti di sicurezza, la regola pratica della banca era quella di automatizzare laddove possibile. Il suo approccio di base era quello di utilizzare le funzionalità del playbook con IBM Security QRadar SOAR, la sua orchestrazione di sicurezza, automazione e soluzione di risposta. Nella fase iniziale di implementazione, SPS ha proposto una serie di casi d'uso tratti dalla sua esperienza nell'implementazione di scenari di risposta automatizzati per altri clienti. Questi casi d'uso sono stati poi tradotti in specifici playbook che definivano la sequenza di come ogni incidente sarebbe stato sottoposto a un'escalation verso livelli di risposta superiori o, se necessario, avrebbe attivato l'intervento di un membro del team di risposta SOC.
Dopo aver lavorato con SPS per implementare 10 playbook, il team di Askari Bank - con il supporto di SPS - ne sta sviluppando altri, con l'obiettivo finale di avere circa 35 playbook automatizzati. Per Nayab Akbar, vicepresidente aggiunto di SPS per la sicurezza aziendale e protagonista dell'impegno, i progressi della banca sono un chiaro segno che il team SOC sta ottenendo buoni risultati. "Oggi il team di Askari discute i casi d'uso della sicurezza e sa come tradurli in playbook", spiega Akbar. "È proprio questo il punto in cui volete che i vostri clienti spendano il loro tempo e i loro sforzi per trovare i casi d'uso da automatizzare".
Se impedire alle minacce di trasformarsi in violazioni della sicurezza è la misura ultima del successo di un SOC, l'efficienza con cui lo fa è fondamentale anche a livello operativo. Ed è qui che gli sforzi di automazione di Askari Bank hanno dato davvero risultati. Grazie alla capacità di QRadar SIEM di eliminare i falsi positivi, il SOC della banca ha ridotto il numero di incidenti di sicurezza da circa 700 al giorno a meno di 20. Inoltre, i playbook QRadar SOAR implementati nel SOC consentono al personale di risolvere questi incidenti in media in cinque minuti, rispetto ai 30 minuti precedenti la trasformazione della sicurezza della banca.
Come sottolinea Umair Shakil, tutti questi miglioramenti dell'efficienza dovuti all'automazione significano che il personale del SOC può filtrare gli incidenti a bassa priorità e i falsi positivi che possono sommergere un SOC, concentrandosi invece sui veri rischi e sulla caccia alle vulnerabilità. "Affinché un SOC sia efficace, la capacità di dare priorità alla nostra risposta ai rischi per la sicurezza più urgenti è importante quasi quanto il rilevamento", afferma Umair Shakil. “A questo proposito, la soluzione QRadar che abbiamo implementato ha reso il nostro team molto più efficace nell’affrontare il panorama delle minacce”.
È importante sottolineare che ciò significa minacce provenienti sia dall'esterno che dall'interno della banca. E questo ci porta a uno dei problemi principali di sicurezza che devono affrontare non solo le banche, ma qualsiasi organizzazione: la gestione delle minacce alla sicurezza poste dagli "insider". In molti casi, i segni rivelatori di minacce interne sono sia tentativi di accesso falliti sia comportamenti atipici o anomali all’interno della rete, come quando un dipendente tenta di accedere a un’applicazione o a un database. Per rilevare questi rischi, Askari Bank utilizza l'app UBA (User Behavior Analytics). Combinando regole comportamentali e analisi con i dati di log e attività già memorizzati in QRadar, l'app UBA ha consentito al personale SOC della banca di semplificare il monitoraggio, il rilevamento e l'indagine, migliorando così l'efficienza della gestione delle minacce interne. Inoltre, poiché UBA utilizza algoritmi analitici per rilevare le deviazioni nelle attività degli utenti, piuttosto che regole rigide, Askari Bank è stata in grado di utilizzarlo per ridurre la frequenza degli incidenti falsi positivi.
Sebbene non esista un singolo indicatore di quanto Askari Bank abbia migliorato la sua posizione di sicurezza da quando ha iniziato a lavorare con SPS per implementare la sua nuova soluzione QRadar, ci sono molti punti di prova. Ad esempio, un SOC che non esisteva nemmeno tre anni fa è ora gestito da un team di oltre 20 specialisti. E c'è qualcos'altro che la banca non aveva prima: la visibilità sulle minacce. In virtù delle capacità di correlazione di QRadar SIEM e della sua capacità di fornire avvisi ad alta fedeltà, Askari Bank può ora ottenere una visibilità precisa su quanti attacchi sta subendo 24 ore su 24, 7 giorni su 7.
Oltre a questa visibilità sulle minacce notevolmente migliorata, sottolinea Jawad Khalid Mirza, le risposte automatizzate consentite da QRadar SOAR significano che il personale SOC sta lavorando in modo più efficiente e proattivo per tenere a bada le minacce informatiche di oggi e quelle emergenti di domani. "Il fatto che ora siamo in grado di rispettare le normative pakistane sulla cybersecurity è fondamentale, ma è solo l'inizio", spiega. "Con QRadar, ora abbiamo l'efficienza e la flessibilità necessarie per adattarci a un panorama delle minacce informatiche in costante cambiamento, indipendentemente dalla velocità con cui cresciamo."
Con sede a Rawalpindi, in Pakistan, Askari Bank (link esterno a ibm.com) è una banca commerciale e al dettaglio con 560 filiali in tutto il Pakistan e una filiale bancaria all'ingrosso in Bahrain. Fondata nel 1991, Askari Bank è un'unità del Fauji Group, con un fatturato per il 2021 di 4,2 miliardi di dollari e circa 7.500 dipendenti.
Con sede a Rockville, MD, e uffici a Islamabad in Pakistan, IBM Business Partner SPS (link esterno a ibm.com) crea soluzioni di settore che sfruttano l'intelligenza artificiale e il cloud. In qualità di innovatore di livello enterprise e creatore di soluzioni con esperienza in tutte le fasi di progettazione, sviluppo, implementazione, sicurezza, operazioni, monitoraggio e supporto dei prodotti, SPS aiuta i suoi clienti a creare, implementare e proteggere le applicazioni. I suoi team di sviluppo, qualità, cybersecurity, formazione, operazioni, monitoraggio e supporto lavorano insieme per creare sistemi ad alte prestazioni, sicuri, affidabili, scalabili e gestibili.
© Copyright IBM Corporation 2023. IBM Corporation, New Orchard Road, Armonk, NY 10504
Prodotto negli Stati Uniti d'America. Marzo 2023.
IBM e il logo IBM, IBM Security e QRadar sono marchi o marchi registrati di International Business Machines Corporation negli Stati Uniti e/o in altri Paesi. Altri nomi di prodotti e servizi potrebbero essere marchi di IBM o di altre società. Un elenco aggiornato dei marchi IBM è disponibile su ibm.com/trademark.
Microsoft, Windows, Windows NT e il logo Windows sono marchi di Microsoft Corporation negli Stati Uniti, in altri Paesi, o entrambi.
Le informazioni contenute nel presente documento sono aggiornate alla data della prima pubblicazione e possono essere modificate da IBM senza preavviso. Non tutte le offerte sono disponibili in ogni Paese in cui opera IBM.
Tutti gli esempi citati relativi a clienti sono presentati per illustrare il modo in cui alcuni clienti hanno utilizzato i prodotti IBM e i risultati da essi eventualmente conseguiti. I costi effettivi relativi agli ambienti e le caratteristiche inerenti alle performance possono variare a seconda delle specifiche configurazioni e condizioni del cliente. In generale non è possibile fornire risultati attesi, poiché i risultati di ciascun cliente dipendono interamente dai sistemi e dai servizi ordinati. LE INFORMAZIONI FORNITE NEL PRESENTE DOCUMENTO SONO DA CONSIDERARSI “NELLO STATO IN CUI SI TROVANO”, SENZA GARANZIE, ESPLICITE O IMPLICITE, IVI INCLUSE GARANZIE DI COMMERCIABILITÀ, DI IDONEITÀ PER UN PARTICOLARE SCOPO E GARANZIE O CONDIZIONI DI NON VIOLAZIONE. I prodotti IBM sono coperti da garanzia in accordo con termini e condizioni dei contratti sulla base dei quali vengono forniti.
Dichiarazione di conformità alle procedure di sicurezza: nessun sistema o prodotto informatico può essere considerato completamente sicuro e nessun singolo prodotto, servizio o misura di sicurezza può essere completamente efficace nel prevenire l'uso o l'accesso improprio. IBM non garantisce che i sistemi, i prodotti o i servizi siano immuni da, o rendano l'azienda utilizzatrice immune da, comportamenti dolosi o illegali di qualsiasi parte.
Il cliente è responsabile della conformità a tutte le leggi e le normative vigenti. IBM non fornisce consulenza legale, né dichiara o garantisce che i suoi servizi o prodotti assicurino al cliente la conformità a qualsivoglia legge o regolamento.