IMPLEMENTAZIONE DI UN'ARCHITETTURA DI ANALISI DELLA SICUREZZA

Soluzione in breve

Le soluzioni RSA in breve

RIEPILOGOLe nuove minacce alla sicurezza richiedono un nuovo approccio nell'ambito della gestione della sicurezza. I team della sicurezza richiedono un'architettura di analisi della sicurezza in grado di gestire un volume decisamente maggiore e un ambito più ampio di dati rispetto al presente, oltre che strumenti in grado di condurli rapidamente alle problematiche maggiormente pressanti. Necessitano di un sistema di intelligence sulle minacce relativamente agli strumenti, alle tecniche e alle procedure più recenti utilizzate dalla community di attacker e devono poter tenere traccia delle risposte alle problematiche identificate e gestirle.

INADEGUATEZZA DELLA SICUREZZA TRADIZIONALEIn base al report investigativo sulla violazione dei dati condotto da Verizon nel 2012, il 99% delle violazioni ha compromesso i dati in pochi giorni, mentre l'85% delle violazioni è stato individuato solo dopo alcune settimane. Questa è una sfida importante per i team della sicurezza in quanto gli attacker possono rimanere all'interno dell'ambiente di una vittima per lunghi periodi. Più tempo a disposizione significa una maggiore quantità di dati rubati e un maggiore danno digitale.

La causa principale è dovuta al fatto che le misure di sicurezza odierne non tengono in considerazione le minacce attuali, più pericolose che in passato. Le misure di sicurezza tradizionali sono spesso:

– Basate sulla firma: cercano sequenze di dati "errate note" in base a identici attacchi precedenti

– Orientate al perimetro: si concentrano sulla prevenzione o sull'individuazione delle minacce in entrata nell'organizzazione

– Basate sulla conformità: sono progettate per soddisfare i requisiti degli auditor o specifiche normative governative, invece che per affrontare i rischi maggiori per l'organizzazione

Nello stesso tempo, le minacce sono sempre più avanzate. Le minacce odierne spesso sono:

– Agili: anticipano i mezzi adottati dall'organizzazione per proteggersi e utilizzano tecniche adattive per eludere molti sistemi comuni di individuazione e prevenzione

– Determinate: gli obiettivi delle minacce odierne sono spesso molto specifici, ad esempio mirano a una classe ristretta di organizzazioni o anche a una sola organizzazione

– Intelligenti: utilizzano un'ampia gamma di tecniche di social engineering e di exploit tecnici per affermarsi all'interno delle organizzazioni colpite ed evitare di essere individuate

Le organizzazioni devono pertanto iniziare a prendere in considerazione l'implementazione di diversi strumenti e tecniche per difendersi.

pagina 2

Il 99% delle violazioni ha

compromesso i dati in

pochi giorni, mentre l'85%

delle violazioni è stato

individuato solo dopo

alcune settimane.

Report investigativo sulla violazione dei dati condotto da Verizon nel 2012

Attore statale nazionale

Criminali minori

Terroristi

Crimine organizzatoPoco sofisticati Supply chain organizzate

e complesse (informazioni personali, servizi finanziari, vendita al dettaglio)

Informazioni personali, governo, complesso industriale del settore difesa, organizzazioni con proprietà intellettuale

Informazioni personali, governo, infrastruttura cruciale

Guardiani anti-sistema

"Hacktivist", obiettivi secondari

Attore non statale

Criminali

Rapida evoluzione delle minacce

Le soluzioni RSA in breve

LE TRADIZIONALI SOLUZIONI SIEM SONO STATE UN VALIDO INIZIORSA, che è stata a lungo un provider di soluzioni Security Information and Event Management leader del settore, ritiene che i tradizionali sistemi SIEM siano stati di grande utilità in quanto hanno fornito:

– Generazione di report sull'attività dei dispositivi, che offrono informazioni dettagliate su chi, che cosa, dove e quando si verificano le attività cruciali

– Generazione di alert di base sulle sequenze note tramite le regole di correlazione, in grado di attirare l'attenzione su usi abnormi o sospetti delle risorse di elaborazione

– Prova di conformità per gli auditor interni ed esterni tramite report periodici, creati automaticamente e non generati manualmente per ogni audit o assessment

– Visione centralizzata nelle diverse origini degli eventi raccolte in modo che i team della sicurezza possano decidere più rapidamente in base alle informazioni raccolte da più origini

Tuttavia, nel panorama odierno, è necessario tenere in considerazione nuovi requisiti. Gli attacchi vengono ora sferrati non solo da malintenzionati o da dilettanti, ma anche da sofisticate organizzazioni criminali e addirittura da stati-nazione. Questi attacker implementano tecniche avanzate, ad esempio coprendo le proprie tracce nei file di log e riducendo al minimo il numero di "eventi verificabili". I tradizionali sistemi SIEM si rivelano pertanto insufficienti. Le organizzazioni devono dunque adottare un approccio più avanzato per rispondere a queste minacce.

NECESSITÀ DI SOLUZIONI DI GESTIONE DELLA SICUREZZA PIÙ EFFICACI PER LE ORGANIZZAZIONIData la gravità delle minacce, è necessario che i team della sicurezza determinino rapidamente come si è verificato un attacco, riducano il "tempo a disposizione degli attacker", ovvero il tempo che intercorre tra l'ingresso dell'attacker nell'ambiente e la sua individuazione nell'infrastruttura, e mettano in atto misure preventive contro analoghi attacchi futuri. RSA ritiene pertanto che le organizzazioni abbiano bisogno di una piattaforma più valida per la risoluzione di un maggior numero di problemi di gestione della sicurezza per i seguenti motivi:

– Le minacce avanzate devono essere visibili a livello di azienda nei dati del traffico di rete e degli eventi del registro: i dati del traffico di rete e quelli degli eventi del registro presi singolarmente non offrono informazioni sufficienti per individuare e studiare questi tipi di minacce

– La sicurezza è ora un problema di Big Data per gli analisti SOC: gli analisti SOC devono ora fare ricerche in un set di dati più grande, dinamico e diversificato per identificare le minacce avanzate, il che richiede la fusione di intelligence interna ed esterna

– Il compromesso è inevitabile: un obiettivo realistico non prevede di resistere a tutti gli attacchi, ma di reagire rapidamente in modo da limitare i danni e in tal modo ridurre al minimo l'impatto sul business

A questo proposito, i professionisti della sicurezza stanno chiedendo aiuto a RSA per:

pagina 3

È necessario che i team della sicurezza determinino rapidamente come si è verifi cato un attacco, riducano il "tempo a disposizione degli attacker", ovvero il tempo che intercorre tra l'ingresso dell'attacker nell'ambiente e la sua individuazione nell'infrastruttura, e mettano in atto misure preventive contro analoghi attacchi futuri.

RSA Security Management

e conformità

Le soluzioni RSA in breve

– "Raccogliere informazioni su tutto quello che si sta verificando nell'infrastruttura". Con i precedenti approcci alla sicurezza, per decidere quali dati raccogliere su ciò che si verifica nell'ambiente, era necessario utilizzare le informazioni sulle minacce note. In presenza di minacce più agili e avanzate, facendo queste supposizioni in anticipo, è probabile che, quando si verifica la minaccia, i team della sicurezza non dispongano di tutte le informazioni necessarie per rispondere in modo appropriato. Nell'ambiente odierno, i team della sicurezza desiderano pertanto raccogliere tutte le informazioni su quanto si sta verificando.

– "Identificare gli obiettivi e le minacce chiave." In un'infrastruttura IT complessa e di grandi dimensioni, è difficile tenere traccia delle operazioni eseguite da ogni sistema e del modo in cui il sistema potrebbe subire un attacco. I team della sicurezza devono potersi interfacciare con il business per identificare le informazioni cruciali, i processi business e le risorse di supporto, per meglio valutare le minacce affrontate dall'organizzazione.

– "Indagare sugli incident e assegnare loro una priorità". Anche in un'infrastruttura IT complessa e di grandi dimensioni, le problematiche da gestire sono spesso così numerose che i team della sicurezza hanno bisogno di maggiori informazioni aggiuntive per identificare i problemi più urgenti e quelli che potrebbero avere l'impatto più grave sul business. Ciò significa ottenere più informazioni sul contesto business degli incident e sulla criticità dei sistemi e dei processi interessati.

– "Gestire gli incident". Rispondere agli incident può risultare difficile, in quanto la valutazione del danno, la comunicazione, la risoluzione e la pulitura richiedono la coordinazione delle risorse tra diversi team, sia all'interno dell'IT che in tutto il business. I team della sicurezza devono trovare un modo per avviare e coordinare queste attività in modo da ridurre al minimo l'impatto negativo sul business.

NECESSITÀ DELLA VISIBILITÀ DELLA RETE COMPLETAPuò risultare estremamente difficile individuare le minacce più avanzate. Il footprint più visibile è spesso in rete in quanto si introducono nell'ambiente IT, si propagano ovunque e trasferiscono i dati nella destinazione desiderata. L'acquisizione completa di pacchetti di rete è pertanto necessaria per:

– Identificare il malware che si introduce nell'ambiente e assegnare una priorità alle azioni relative a esso. L'attuale malware è molto simile a qualsiasi altro file transiti in rete, ma l'acquisizione completa di pacchetti consente alle organizzazioni di isolare e ricostruire i file eseguibili e di automatizzare gran parte dell'analisi necessaria per identificare i segnali di tentativi malevoli. In questo modo gli analisti del malware possono stabilire a quali problematiche è necessario rispondere per prime.

– Tenere traccia del movimento laterale di un attacker una volta che si trova all'interno dell'organizzazione. Dopo essersi introdotti in un'organizzazione, gli attacker si spostano spesso lateralmente da un endpoint all'altro, raccogliendo le informazioni necessarie per lanciare la fase successiva dell'attacco. Dal momento che raramente questi endpoint vengono monitorati centralmente, è necessaria l'acquisizione completa di pacchetti di rete per ottenere la visibilità su questo movimento laterale all'interno di un'organizzazione.

– Verificare con esattezza che cosa si è verificato e quali dati sono stati trasferiti. Molte minacce avanzate non verranno individuate finché l'attacco non sarà in corso o addirittura non sarà stato portato a termine. A questo punto, i team della sicurezza devono essere in grado di valutare il danno ricostruendo l'attacco e determinando quali dati sono eventualmente usciti dall'organizzazione e se erano crittografati o meno.

RSA OFFRE UN APPROCCIO END-TO-END ALLA GESTIONE DELLA SICUREZZA

L'approccio di RSA alla gestione della sicurezza si basa su quattro elementi chiave

(vedere la figura)

– Un approccio Big Data nell'ambito della gestione della sicurezza. L'architettura dati

distribuita di RSA consente ai clienti di raccogliere e analizzare i dati relativi alla

sicurezza con una scala e una frequenza delle modifiche senza precedenti.

pagina 4

Le soluzioni RSA in breve

– Un approccio unificato all'analisi della sicurezza. L'obiettivo di RSA è fornire un set comune di strumenti per l'analisi dei dati relativi alla sicurezza, in modo da supportare le principali attività analitiche, dalla generazione di alert e report all'analisi del malware.

– Un livello di governance che associa l'analisi della sicurezza al business. Il portafoglio esclusivo di RSA consente ai clienti di semplificare il processo di raccolta di informazioni dal business su sistemi e processi business-critical e i requisiti business per proteggerli.

– Intelligence sulle minacce che incrementa le potenzialità dei clienti con conoscenze aggiornate. RSA distribuisce ai prodotti intelligence aggiornata e attivabile sull'ambiente delle minacce, consentendo alle organizzazioni di correlare l'intelligence agli ambienti specifici.

I vantaggi offerti dall'approccio RSA sono:

Visibilità completa. Il portafoglio di RSA offre una visibilità ineguagliabile su quanto si sta verificando all'interno dell'infrastruttura.

– Infrastruttura per supportare la raccolta senza limitazioni: possibilità di raccogliere più tipi di dati relativi alla sicurezza, in scala e da più tipi di origini dati

– Visibilità unificata sulla rete e sui dati dei registri: posizione unica per visualizzare i dati sulle minacce avanzate e sull'attività degli utenti dai dati raccolti direttamente dalla rete o dai sistemi chiave

Funzioni di analisi flessibili. RSA offre gli strumenti che rendono le informazioni dettagliate disponibili agli ispettori con la massima semplicità.

– Piattaforma per eseguire indagini rapide: strumenti intuitivi per l'indagine presentata per l'analisi rapida, con drill-down dettagliato e integrazione del contesto business per preparare meglio il processo decisionale

– Riproduzione delle sessioni e analisi senza firma: strumenti per concentrarsi sugli utenti e sugli endpoint più sospetti connessi all'infrastruttura e sui segnali di attività malevole. Consente inoltre di ricreare e riprodurre esattamente quanto è successo

Intelligence attivabile. L'intelligence sulle minacce fornita da RSA consente agli analisti della sicurezza di trarre il massimo vantaggio dai prodotti RSA incorporando feed di informazioni sulle minacce attuali.

– Intelligence sulle minacce aggiornata messa in correlazione con i dati raccolti: intelligence proprietaria da una community di esperti di sicurezza, incorporata nei nostri strumenti e utilizzata al meglio tramite regole, report e watchlist per ottenere un quadro delle minacce dai dati raccolti dall'enterprise

Data collection

Data collection pacchetto completa

Indagini

Generazione di report e di alert sulla sicurezza

Analisi malware

Generazione di report sulla conformità e analisi forense

Data collection dei registri

Registri archiviazione

a lungo termine

Registri e pacchetti archiviazione

a breve termine

Archiviazione

Intelligence sulle minacce

Analisi e generazione di report

Analisi di RSA Security

pagina 5

EMC2, EMC, il logo EMC, RSA, NetWitness e il logo RSA sono marchi o marchi registrati di EMC Corporation negli Stati

Uniti e in altri paesi. Tutti gli altri marchi di prodotti o servizi citati nel presente documento appartengono ai rispettivi

proprietari. © Copyright 2012 EMC Corporation. Tutti i diritti riservati.

h9093 impsa sb 0412

INFORMAZIONI SU RSA

RSA, The Security Division of EMC,

è il principale fornitore di soluzioni

di sicurezza e protezione, gestione

dei rischi e della conformità volte ad

accelerare le attività commerciali.

RSA aiuta le maggiori organizzazioni

di livello mondiale a soddisfare le

esigenze di protezione più complesse

e delicate. Tra queste esigenze

compaiono la gestione dei rischi

organizzativi, la sicurezza dell'accesso

da dispositivi mobili, l'attestazione

di conformità e la protezione degli

ambienti virtuali e cloud.

Grazie all'associazione di controlli

business-critical riguardanti

l'accertamento di identità, la

crittografia ed il key management,

il SIEM, la prevenzione della perdita

di dati, il monitoraggio continuo della

rete e la protezione contro le frodi

con funzionalità eGRC e servizi di

consulenza leader del settore,

RSA garantisce sicurezza e protezione

a milioni di identità utente, alle

transazioni da questi eseguite

e ai dati che vengono generati.

Per maggiori informazioni:

italy.rsa.com e italy.emc.com

italy.rsa.com

– Azioni con priorità basate sul contesto business: integrazione delle informazioni dal business in modo da mostrare le relazioni tra i sistemi coinvolti e le funzioni business supportate

Process management ottimizzato. I prodotti RSA consentono ai team della sicurezza di semplificare la svariata gamma di attività correlate a predisposizione e risposta.

– Tecnologia e servizi per un ciclo di vita completo basato su sicurezza e conformità: un sistema di workflow per definire e attivare i processi di risposta, oltre agli strumenti per tenere traccia dei problemi attualmente aperti, delle tendenze e delle indicazioni acquisite. Fornisce inoltre i servizi leader del settore per prepararsi, individuare e rispondere agli incident

– Integrazione in un sistema di gestione della sicurezza e della conformità: integrazione con il portafoglio RSA e gli strumenti di terze parti per scambiare informazioni con l'ampia gamma di strumenti necessari per identificare e trattare gli incident e la gestione della conformità in diretta

PERCHÉ SCEGLIERE RSA PER LA GESTIONE DELLA SICUREZZA?RSA ha l'esclusiva capacità di aiutare i clienti a raggiungere gli obiettivi nei modi seguenti:

RSA offre un portafoglio unico di prodotti per risolvere i problemi più critici delle minacce avanzate

– Grazie al monitoraggio di rete RSA NetWitness®, RSA dispone della sola piattaforma che garantisce visibilità su una sessione di rete completa e sui dati dei registri in tutta l'enterprise

– Grazie al monitoraggio RSA NetWitness, RSA dispone della sola piattaforma unificata per indagini in tempo reale che includono l'analisi automatizzata delle minacce avanzate e del malware zero-day

– RSA ha una piattaforma comprovata e scalabile che fornisce una consapevolezza situazionale a livello di enterprise in sette enterprise tra quelle presenti nell'elenco Fortune 10 e nel 70% delle agenzie federali degli Stati Uniti

RSA integra nei nostri prodotti un'intelligence sulle minacce attivabile e proprietaria

– RSA è un provider leader nel settore della ricerca di minacce che monitora l'attività concreta e clandestina degli attacker

– Il team di ricerca RSA NetWitness Live tiene traccia di più di cinque milioni di IP e domini e di centinaia di origini di feed di minacce univoche

– Ogni ora RSA aggiorna e distribuisce in modo dinamico la libreria di contenuti sulle minacce tramite RSA NetWitness Live

RSA si rivolge alle persone, ai processi e alle sfide tecnologiche della sicurezza e della conformità

– RSA è un provider leader del settore di servizi per l'assistenza alla preparazione agli incident, oltre che alla risposta agli incident e alla pulitura

– RSA dispone dell'unica soluzione per il supporto degli aspetti dell'IT e del business relativi alla gestione della sicurezza tramite l'integrazione con la piattaforma RSA Archer eGRC

– RSA dispone della piattaforma unificata per supportare la gestione della conformità,

la gestione delle minacce alla sicurezza, l'Incident Management e la gestione della

business continuity