TRASFORMAZIONE DEL SIEM IN UN SISTEMA DI AVVERTENZA ... · Visualizzazione unificata: il...

TRASFORMAZIONE DEL SIEM IN UN SISTEMA DI AVVERTENZA ANTICIPATA PER MINACCE AVANZATEI Big Data spingono il SIEM nell'era dell'analisi della sicurezzaSettembre 2012

RSA Security in breve

EXECUTIVE SUMMARYNegli ultimi anni, un numero incredibile di agenzie governative e di note aziende hanno subito attacchi informatici mirati e a sorpresa, progettati in modo da sfruttare le vulnerabilità, interrompere le operazioni e sottrarre importanti informazioni. È evidente che i sistemi di sicurezza attuali non sono adatti a sventare queste minacce avanzate, dal momento che gran parte delle vittime disponeva di sistemi di rilevamento e prevenzione all'avanguardia. Questi sistemi non sono riusciti ad arrestare o a rilevare un attacco in corso nelle reti delle vittime prima che il danno fosse arrecato.

Dato l'ambiente delle minacce attuali, i team della sicurezza si stanno rendendo conto che è necessario presumere che gli ambienti IT vadano soggetti a compromissioni periodiche. Le misure preventive di un tempo per proteggere il perimetro o i tentativi di individuare i problemi di malware mediante tecnologie di corrispondenza della firma non sono più sufficienti. Sono necessarie nuove procedure basate sulla conoscenza delle fasi di un attacco, sul monitoraggio continuo delle minacce e su rilevamento e risoluzione rapidi degli attacchi.

Per sviluppare la visibilità, la flessibilità e la velocità necessarie per gestire le minacce avanzate, i sistemi SIEM (Security Information and Event Management) devono diventare una sorta di sistema nervoso centrale per l'analisi della sicurezza su larga scala. In particolare, sono richieste quattro funzionalità fondamentali:

1. Visibilità pervasiva: per poter conoscere tutto quanto avviene negli ambienti IT, è necessario fondere più origini dati, tra cui l'acquisizione dei pacchetti di rete e la ricostruzione completa delle sessioni, i file di log provenienti dalla rete e dai dispositivi host e informazioni esterne quali gli indicatori delle minacce o un'altra intelligence sulla sicurezza. La raccolta centralizzata dei registri non è più sufficiente.

2. Analisi più approfondita: l'esame dei rischi nel contesto e il confronto di modelli di comportamento nel corso del tempo in dataset eterogenei migliora il rapporto segnale-rumore nel rilevamento delle minacce avanzate, accelerando in tal modo i tempi di risoluzione.

3. Livelli di scalabilità elevati: le piattaforme che raccolgono i dati sulla sicurezza devono ampliare l'ambito e la scalabilità per gestire la proliferazione delle informazioni sempre più necessarie per una consapevolezza situazionale completa.

4. Visualizzazione unificata: il consolidamento delle informazioni sulla sicurezza inun'unica posizione è indispensabile per studiare gli incident nel contesto e accelerare il processo decisionale sulle possibili minacce.

I centri operativi per la sicurezza (SOC) hanno bisogno di strumenti di analisi avanzati

in grado di raccogliere e vagliare rapidamente i dati sulla sicurezza per evidenziare le

problematiche più urgenti nel contesto. È in corso lo sviluppo di nuove piattaforme di

analisi della sicurezza che consentono di gestire tutte le funzioni dei tradizionali sistemi

SIEM e molto altro, tra cui l'accelerazione del rilevamento di minacce avanzate in modo

che le organizzazioni abbiano una possibilità di arrestare gli attacchi segreti.

Commento dell'autore

"Attualmente la capacità della maggior parte dei centri SOC di individuare eventi all'interno dell'organizzazione non è allo stesso livello dello stato della minaccia. In genere scopriamo le minacce non mentre stanno raggiungendo le organizzazioni o dopo che sono già entrate in rete, ma addirittura dopo che si è verifi cato l'exploit e i dati sono già usciti".

Dean Weber, Chief Technology Officer of Cybersecurity, CSC


RSA Security in breve, settembre 2012

Sommario

Executive Summary .........................................................................................................1

I sistemi di sicurezza di oggi si basano sui problemi di ieri ..............................................3

SIEM stabilisce una baseline per la gestione della sicurezza............................................4

Le minacce avanzate richiedono una sicurezza avanzata .................................................4

Trasformazione di SIEM in una piattaforma di analisi della sicurezza completa ................5

Visibilità pervasiva .......................................................................................................5

Analisi più approfondita e indagini più rapide ..............................................................6

Livelli di scalabilità elevati ...........................................................................................6

Visualizzazione unifi cata delle informazioni critiche sulla sicurezza ..............................7

Conclusioni .....................................................................................................................8

Informazioni sugli autori .................................................................................................9

Soluzioni per la sicurezza .............................................................................................11

Servizi di sicurezza gestiti di CSC ................................................................................11

Analisi di RSA® Security ..............................................................................................11

Servizi di sicurezza gestiti di Verizon ..........................................................................11

I documenti RSA Security in breve forniscono ai responsabili della sicurezza e al management aziendale una guida essenziale ai maggiori rischi odierni per la sicurezza e alle opportunità disponibili. Ogni compendio è creato da un team selezionato incaricato della risposta composto da esperti di sicurezza e tecnologia che condividono con le aziende conoscenze specifi che su un argomento critico emergente. Grazie alla visione d'insieme e ai pratici suggerimenti tecnici offerti, i documenti RSA Security in breve costituiscono una lettura indispensabile per gli odierni professionisti della sicurezza orientati al futuro.

Autori

Brian Girardi, Senior Director of Product Management, RSA, the Security Division of EMC

David Martin, Vice President, Chief Security Officer, EMC Corp.

Jonathan Nguyen-Duy, Director of Global Security Services, Verizon Business

Mario Santana, Vice President of Secure Information Services, Terremark, una società

di Verizon

Eddie Schwartz, Vice President e CISO, RSA, the Security Division of EMC

Dean Weber, Chief Technology Officer of Cybersecurity, CSC



I SISTEMI DI SICUREZZA DI OGGI SI BASANO SUI PROBLEMI DI IERI

Gli attacker odierni fanno affidamento sull'imprevedibilità. I difensori devono rispondere rapidamente.

In passato, la prevenzione delle minacce si è ridotta a una sorta di gioco tra i vendor di

soluzioni per la sicurezza e gli attacker. Una minaccia veniva sviluppata da un attacker e,

una volta identificata, i vendor rilasciavano le firme per i clienti in modo che il malware

venisse arrestato all'ingresso. Quando questo si verificava, gli attacker modificavano

leggermente la minaccia per eludere il rilevamento, ma questa soluzione non durava a

lungo: gli analisti delle minacce dei vendor esaminavano il traffico, individuavano le istanze

della nuova variante e la bloccavano. I team della sicurezza aziendali si assicuravano di

mantenere aggiornate le patch e le firme di sicurezza e fatta eccezione per l'occasionale

vulnerabilità zero-day, questo approccio basato sulla difesa del perimetro era ampiamente

considerato valido.

Oggi la situazione è cambiata, soprattutto a causa delle minacce APT e di simili minacce

avanzate. Il Security for Business Innovation Council definisce le minacce avanzate come

attacchi informatici appositamente progettati per violare le difese di un'organizzazione in

modo da sottrarre importanti informazioni quale la proprietà intellettuale, introdurre false

informazioni, interrompere servizi strategici, danneggiare sistemi o monitorare operazioni

o azioni. Queste minacce avanzate sono opera di hacktivist, stati-nazione, organizzazioni

criminali e altri gruppi con importanti finanziamenti ed esperienza specifica nell'ambito

della sicurezza.

Gli attacker odierni non si lasciano scoraggiare dal tradizionale perimetro e dalle difese

basate sulle firme descritte in precedenza. Eseguono una ricognizione tra i processi,

il personale e i sistemi di sicurezza di un'organizzazione e sviluppano le tecniche per

servirsene. Grazie al social engineering, all'escalation dei privilegi e ad altre forme di

indagine, gli attacker ottengono l'accesso alle risorse sensibili del sistema. Si spostano

lentamente attraverso la rete di un'organizzazione per evitare di essere rilevati, dedicando

giorni, settimane o mesi al raggiungimento dei propri obiettivi. Quindi, al momento

opportuno, mettono in atto le fasi finali dell'attacco.

Le violazioni della sicurezza che potrebbero indicare una crescita ininterrotta delle

minacce avanzate appaiono in crescita. Il report investigativo sulla violazione dei dati

condotto da Verizon nel 2012 ha registrato 855 incident di violazione nel 2011, ovvero

174 milioni di record compromessi. Questo valore è al secondo posto nelle perdite di

dati annuali da quando Verizon ha iniziato a tenere traccia delle violazioni nel 2004.

Inoltre, diverse organizzazioni continuano attualmente a cercare soluzioni di sicurezza

nei programmi di conformità. Tuttavia, a causa della natura lenta e strutturata e delle

prospettive codificate, le attività di conformità possono spesso fare poco per proteggere

gli ambienti IT dall'attacco. Le aziende devono rivedere le priorità di gestione dei rischi

considerando che al giorno d'oggi è molto più probabile che si verifichino furti informatici.

Devono inoltre rivedere le strategie di sicurezza in modo da gestire ciò che ancora non

conoscono o prevedere di subire le conseguenze di una violazione.

Il primo passo consiste nel riconoscere la probabilità che gli ambienti IT siano già stati

violati. Grazie a questo mutamento di opinione, per raggiungere l'obiettivo della sicurezza,

si passa dal tentativo di proteggere il perimetro al rilevamento tempestivo delle minacce

e alla riduzione del danno derivante da una possibile violazione.

Dopo essere passati dal piano del perimetro al cuore dell'organizzazione, i professionisti

della sicurezza possono concentrare gli sforzi sul raggiungimento della consapevolezza

situazionale in modo da monitorare e proteggere le risorse più importanti

dell'organizzazione.

pagina 3


"Se si pensa alle minacce odierne,

è evidente che non si tratta più

di buoni che combattono contro

l'attacco di massa di qualche

worm o virus informatico, ma

di buoni contro cattivi, esseri

umani che prendono di mira un

ambiente, ed è per questo che

tutti i metodi classici di difesa

automatizzata falliscono. In una

gara di creatività, gli uomini

vinceranno sulle macchine".Mario Santana, Vice President di Secure Information Services in Terremark, una società di Verizon

"Sono necessarie molte nuove

competenze nel campo della

sicurezza ed è importante

spingere le persone a pensare

in modo diverso. È necessario

smettere di pensare a bloccare

le minacce e capire invece come

individuare ciò che probabilmente

è già successo e che cosa fare".Dave Martin, Chief Security Officer, EMC



SIEM STABILISCE UNA BASELINE PER LA GESTIONE DELLA SICUREZZA I sistemi SIEM (Security Information and Event Management) sono stati progettati per offrire una posizione centrale in cui raccogliere e memorizzare i dati relativi alla sicurezza (in gran parte solo informazioni dei registri e degli eventi) in modo da semplificare l'Incident Management per la sicurezza e la generazione di report sulla conformità. Questi sistemi raccolgono i registri e gli alert sulla sicurezza generati da applicazioni e sistemi in rete, ad esempio dispositivi di rete, storage, database, firewall, sistemi di prevenzione delle intrusioni e software antivirus. I sistemi SIEM consentono agli analisti della sicurezza di ridurre il tempo necessario per recuperare le informazioni e di dedicare il tempo così risparmiato alla risoluzione degli incident. Attualmente, circa un terzo delle enterprise ha adottato sistemi di gestione delle informazioni sulla sicurezza. In base a un recente report di Forrester Research, alla base di questa decisione vi sono la conformità e l'indagine sugli incident.1

I sistemi SIEM consentono oggi di eseguire in modo efficiente diverse funzioni chiave di sicurezza e conformità:

• Generazione di report sull'attività dei dispositivi in modo da offrire informazioni dettagliate su chi, che cosa, dove e quando si sono verificate le attività cruciali;

• Determinazione di "normali" livelli di base per l'intera gamma di attività IT, facilitando il rilevamento di livelli e tipi di attività insoliti;

• Correlazione delle informazioni degli eventi, in modo che gli esperti della sicurezza non debbano analizzare ognuno degli innumerevoli alert sulla sicurezza generati quotidianamente dai molti dispositivi e applicazioni presenti nella rete di un'organizzazione;

• Applicazione di regole predefinite dagli esperti della sicurezza per selezionare le potenziali minacce. Le regole possono anche essere utilizzate per eliminare gli alert non pertinenti, migliorando il rapporto segnale-rumore e riducendo considerevolmente il numero di eventi su cui è necessario indagare;

• Raccolta dei dati dei registri in una posizione centrale dove è possibile rivederli, generare report su di essi e memorizzarli a scopo di conformità e di indagine a lungo termine;

• Assicurazione della conformità per gli auditor interni ed esterni tramite la generazione automatizzata di report periodici.

Queste sono le funzioni fondamentali per qualsiasi programma di sicurezza e conformità. Alcuni esperti affermano infatti che, se un'organizzazione può intraprendere solo un'iniziativa di sicurezza orientata al rilevamento, deve utilizzare i sistemi SIEM per raccogliere e mettere in correlazione i dati relativi alla sicurezza, in modo da individuare diversi problemi.

Purtroppo, per gestire i grandi rischi posti dalle minacce avanzate, i tradizionali approcci alla sicurezza basati sui sistemi SIEM non sono sufficienti. I sistemi SIEM tradizionali, pur essendo necessari, sono insufficienti.

LE MINACCE AVANZATE RICHIEDONO UNA SICUREZZA AVANZATA La nuova mentalità richiede nuove funzionalità di sicurezza per supplire alle mancanze dei tradizionali approcci alla sicurezza.

I tradizionali sistemi SIEM basati sui registri e sugli eventi offrono spesso un quadro incompleto dei rischi corsi da un'organizzazione, in quanto gli strumenti SIEM raccolgono le informazioni solo da alcune parti dell'infrastruttura IT, lasciando alcuni gravi punti deboli.

Il centro operativo di sicurezza (SOC) di un'organizzazione non può più fare affidamento esclusivamente sui registri dei dispositivi per avere un quadro affidabile di quanto sta accadendo. Per poter identificare le anomalie, un analista SOC può aver bisogno di eseguire controlli incrociati su altri tipi di dati, ad esempio la funzione lavorativa del proprietario di un laptop connesso a un server cruciale, e di disporre di queste informazioni in una posizione centrale dove possono essere associate ai tradizionali dati relativi alla sicurezza. I SOC che ritengono importante utilizzare diverse fonti di informazioni per individuare le

pagina 4


"Non c'è dubbio che i tradizionali

sistemi SIEM siano tuttora

necessari per avvisare che è stato

rilevato un modello problematico

e per ricavare il maggior

valore possibile dai dati per le

organizzazioni. Ma è necessario

aggiungere molto altro ai sistemi

SIEM per assicurare una maggiore

visibilità e un contesto più ampio

per valutare la minaccia". Eddie Schwartz, Chief Security Officer, RSA, the Security Division of EMC

1 Forrester Research, Inc., "Dissect Data to Gain Actionable Intel", agosto 2012



minacce avanzate devono ora affrontare un problema relativo ai Big Data: come raccogliere e analizzare questi dataset che le tradizionali soluzioni di sicurezza non prendono in considerazione?

Con i sistemi SIEM attuali, gli analisti SOC devono affrontare un dilemma, in quanto non hanno a disposizione tutti i dati necessari per ottenere un quadro completo dell'ambiente, ma non possono utilizzare tutti i dati di cui dispongono perché gli strumenti SIEM non sono in grado di gestirli dal punto di vista delle prestazioni. Gli strumenti possono indicare che è stata trovata una corrispondenza per la firma di un malware, ma che impatto ha sul business il malware? Quanto è cruciale il sistema infettato? Come è stato infettato? Quali altri elementi sono stati infettati dal malware? Sono stati spostati o interessati dati sensibili? Gli strumenti tradizionali non presentano le informazioni sulla sicurezza dando loro un significato e in modo tale da poter agire su di esse, né dispongono di interfacce semplici e di funzionalità di visualizzazione che operino come farebbe un analista della sicurezza. Pertanto, le organizzazioni che attualmente utilizzano i sistemi SIEM ottengono da questi strumenti solo una minima parte del valore desiderato.

Si tratta di un problema cruciale. Poiché il centro SOC è l'ultima linea di difesa di un'organizzazione contro gli attacchi, gli analisti della sicurezza devono disporre di informazioni il più possibile approfondite e diversificate in base alle quali poter agire. L'utilità dei sistemi SIEM deve aumentare per permettere agli analisti della sicurezza di svolgere il proprio compito in modo più efficiente ed efficace.

Con una posta in gioco così alta, le organizzazioni devono anche valutare obiettivamente la maturità della sicurezza e comprendere i rischi da affrontare in modo da determinare se la soluzione migliore consista nel gestire i centri SOC internamente, nell'appaltarli a provider MSSP (Managed Security Service Provider) o nell'adottare un approccio ibrido.

TRASFORMAZIONE DI SIEM IN UNA PIATTAFORMA DI ANALISI DELLA SICUREZZA COMPLETAGli attuali sistemi SIEM non possono tenere il passo con i volumi e la varietà delle informazioni relative alla sicurezza, soprattutto perché le organizzazioni aggiungono infrastrutture, applicazioni e anche servizi cloud agli ambienti IT. Per consentire alle organizzazioni di raggiungere l'obiettivo della completa consapevolezza situazionale, gli strumenti SIEM hanno bisogno dell'analisi basata sui "Big Data", ovvero di utilizzare dataset di dimensioni di gran lunga maggiori, più diversificati e dinamici delle informazioni sulla sicurezza raccolte attualmente dalla maggior parte delle organizzazioni. Gli strumenti di analisi dei dati devono anche integrare l'intelligence sulle minacce proveniente da fonti esterne, che può fornire un contesto più ampio grazie a cui accelerare il rilevamento degli attacchi.

Per sviluppare l'intelligence, la visibilità, la flessibilità e la velocità necessarie per gestire le minacce avanzate, i sistemi SIEM devono diventare una sorta di sistema nervoso centrale per l'analisi della sicurezza su larga scala. La fase successiva nell'evoluzione dei sistemi SIEM prevede lo sviluppo di funzionalità avanzate in quattro aree chiave.

Visibilità pervasiva

Perché le organizzazioni possano fermare gli attacchi informatici furtivi, devono prima poterli vedere. Le piattaforme di analisi della sicurezza devono consentire la ricostruzione completa dell'attività, in modo che gli analisti SOC dispongano di tutte le informazioni necessarie per stabilire quale sia la reazione più efficace ai potenziali problemi. L'acquisizione completa di pacchetti di rete, unitamente a registri, eventi, intelligence sulle minacce e altre origini dati, offre una visione più completa delle minacce alla sicurezza grazie a:

• Identificazione del malware: le minacce sono sempre più difficili da identificare a causa della maschera che le rende simili al traffico attendibile che attraversa le reti. L'acquisizione completa di pacchetti di rete raccoglie e ricostruisce i file e quindi automatizza gran parte dell'analisi richiesta per individuare i segnali di tentativi malevoli;

• Registrazione delle attività degli attacker all'interno dell'ambiente: una volta all'interno della rete di un'organizzazione, gli attacker si spostano spesso tra i sistemi per raccogliere

pagina 5


"Le violazioni non sono più

degli attacchi lampo. La maggior

parte dei casi di violazione e

compromissione dell'anno scorso

si è protratta per mesi. La nostra

esperienza indica che è più utile

ottenere un quadro completo di

quanto si è verifi cato nel lungo

periodo e adottare misure per

ridurre i danni che ottenere

un'analisi in tempo

reale degli eventi".Jonathan Nguyen-Duy, director of global security services, Verizon Business


"I sistemi SIEM oggi non

forniscono la visibilità, l'ampiezza

e la profondità delle informazioni

necessarie per identifi care con

certezza le minacce mentre sono

in corso. Abbiamo bisogno di

origini dati più complete e della

visibilità sui dati di rete. Per

questo il modo di conservare,

gestire, elaborare e modellare

i dati deve cambiare. Dobbiamo

renderli più utilizzabili: non solo

più dati, ma dati migliori". Brian Girardi, Senior Director of Product Management, RSA, the Security Division of EMC



le informazioni richieste per sferrare un attacco. Poiché gli endpoint spesso non sono monitorati, l'acquisizione completa di pacchetti di rete diventa indispensabile per individuare tutti i movimenti laterali degli attacker, che attraversano la rete dell'organizzazione;

• Presentazione di una prova di attività illecita: i sistemi abilitati per l'acquisizione completa di pacchetti di rete registrano sessioni intere che mostrano con esattezza le attività di un attacker, inclusi i trasferimenti di dati. Poiché diverse minacce avanzate non vengono rilevate per tempo, gli analisti della sicurezza devono trovare un modo per valutare il danno. La ricostruzione dell'attacco è spesso il modo più efficace per condurre analisi e indagini successivamente a un attacco.

Affinché gli analisti della sicurezza possano indagare sulle minacce e assegnare loro una priorità, è indispensabile che la nuova generazione di sistemi SIEM contenga funzionalità di acquisizione completa di pacchetti di rete e di ricostruzione delle sessioni. Gli attuali strumenti SIEM tradizionali, ad esempio, sono in grado di indicare che è avvenuta una comunicazione tra il PC in uso e un server malevolo, ma non quali informazioni sono state comunicate. L'acquisizione di pacchetti e la riproduzione delle sessioni, unitamente alle informazioni basate sui registri e di altro tipo, possono offrire un quadro più completo di quanto è accaduto, in modo che gli analisti della sicurezza possano valutare se l'attività sia stata significativa o meno. Tali funzionalità di indagine dettagliata consentono ai centri SOC di spostare il rilevamento delle minacce in prossimità della fase iniziale e di limitare il danno derivante dalle minacce avanzate.

Analisi più approfondita e indagini più rapide

I sistemi di analisi della sicurezza devono essere abbastanza sofisticati da combinare i diversi tipi di dati per rilevare gli indicatori di attacchi avanzati. Ad esempio, devono cercare modelli di comportamento e fattori di rischio e non solo regole statiche e firme note. Questi sistemi devono anche tenere in considerazione il valore relativo delle risorse aziendali a rischio, segnalando gli eventi associati alle risorse di valore elevato.

Applicando un approccio basato sui rischi che utilizzi al meglio i Big Data, le piattaforme di analisi della sicurezza possono eliminare le attività "adeguate note" e migliorare il rapporto segnale-rumore, riducendo la quantità di informazioni che gli analisti della sicurezza devono esaminare durante la ricerca di nuove minacce all'enterprise. Un'analisi più approfondita e automatizzata mette in evidenza gli elementi di interesse per gli analisti della sicurezza, segnalando gli eventi che si verificano spesso o quelli che si verificano di rado. In questo modo, i sistemi di analisi della sicurezza possono eseguire la valutazione per gli analisti della sicurezza, evidenziando gli eventi che richiedono un esame più approfondito.

Sebbene l'analisi automatizzata e intelligente sia un componente importante delle nuove piattaforme di analisi della sicurezza, non può tuttavia sostituire la capacità di giudizio umana. Mette però in evidenza le aree in cui il giudizio umano, grazie alla sua competenza unica a livello di organizzazione e di dominio, è necessario. In sostanza, i sistemi di analisi della sicurezza consentono ai centri SOC di scalare le funzionalità di rilevamento delle minacce in un modo finora impensabile, permettendo agli analisti di comprendere la natura degli incident prima che un attacco avanzato possa creare gravi danni.

Livelli di scalabilità elevati

Mentre si evolvono fino a diventare piattaforme di analisi della sicurezza, i sistemi SIEM devono ampliare l'ambito e la scalabilità per gestire la grande varietà e il grande volume di dati relativi alla sicurezza provenienti dall'interno e dall'esterno dell'organizzazione. L'esame più approfondito del traffico proveniente da diversi tipi di dispositivi e da tutta la rete moltiplica la quantità di dati che devono essere gestiti dalle piattaforme di analisi della sicurezza. E, sebbene la fusione dell'intelligence delle minacce sempre aggiornata dalle origini esterne trasformi una console di sicurezza in un centro di intelligence sulla sicurezza, tuttavia aumenta anche le problematiche di scalabilità dei dati.

Per gestire le minacce attuali, le piattaforme di analisi della sicurezza devono includere funzionalità quali un'architettura storage n-tier distribuita e un engine di analisi che normalizzi ed elabori dataset diversificati e di grandi dimensioni molto velocemente. Lo storage dei dati e l'analisi devono scalare simultaneamente in modo lineare.

pagina 6



Visualizzazione unificata delle informazioni critiche sulla sicurezza

Per essere completamente informati e visualizzare gli eventi nel contesto, gli analisti della

sicurezza hanno bisogno di tutte le informazioni sulla sicurezza disponibili in qualsiasi

momento. Oltre a raccogliere i dati dalla rete, le piattaforme di analisi della sicurezza

devono integrare rapidamente l'intelligence sulle minacce sempre aggiornata proveniente

da vendor, agenzie federali, associazioni di settore, intelligence open source e altre fonti.

Mettendo a disposizione degli analisti della sicurezza tutte le informazioni potenzialmente

pertinenti, la piattaforma consente agli analisti di risparmiare tempo evitando loro di

raccogliere manualmente queste informazioni. La centralizzazione di una quantità elevata

di intelligence applicabile in una piattaforma di analisi unificata è indispensabile per offrire

una vista tempestiva dell'ambiente IT, per inserire gli eventi nel contesto e per accelerare

i processi decisionali degli analisti.

pagina 7

PUNTI DI FORZA DEL

SIEM TRADIZIONALELIMITI DEL SIEM

L'ANALISI DELLA SICUREZZA ACCRESCE I PUNTI DI FORZA DEL SIEM E SUPERA I LIMITI

Automatizza la raccolta, l'archiviazione e la generazione di report dei dati dei registri e degli eventi da più origini diverse, da dispositivi di rete e server a firewall e software antivirus

L'architettura dati dei sistemi SIEM tradizionali non è stata sviluppata per gestire l'enorme varietà e i volumi di informazioni sulla sicurezza ora disponibili e neces-sarie per raggiungere una visibilità sufficiente dell'enterprise

Offre un'architettura dati distribuita per raccogliere i dati sulla sicurezza su scala "Big Data" (centinaia di terabyte e oltre). Tali piattaforme inoltre normalizzano e analizzano questi dataset eterogenei e di grandi dimensioni a una velocità molto elevata

Crea un repository unificato per i dati relativi alla sicurezza, offrendo agli analisti SOC l'accesso centralizzato ai dati necessari per le indagini

Anche se i sistemi SIEM raccolgono registri ed eventi da svariati sistemi, la visibilità è limitata ai dati contenuti nei registri raccolti, che spesso coprono solo una piccola parte dell'attività potenzialmente rilevante

Acquisisce il traffico di rete, con alcune piattaforme avanzate di analisi della sicurezza, offrendo anche l'acquisizione completa dei pacchetti di rete e la ricostruzione delle sessioni per individuare e studiare il modo in cui gli attacker si sono infiltrati nell'ambiente IT e quali operazioni hanno eseguito una volta all'interno. Inoltre, le piattaforme avanzate di analisi della sicurezza acquisiscono automaticamente l'intelligence sulle minacce dalle origini esterne, offrendo importanti visualizzazioni dell'ambiente delle minacce all'esterno dell'enterprise

Unifica i dati dei registri contribuendo a creare un repository completo per i dati chiave orientati alla sicurezza

Sebbene i sistemi SIEM contengano una grande quantità di dati, la loro utilizzabilità è spesso di scarsa importanza. La maggior parte non è in grado di supportare gli analisti nelle indagini urgenti degli incident

Garantisce le performance elevate necessarie per le indagini ad hoc, oltre a offrire un'interfaccia utente a completamento del modo in cui gli analisti conducono le indagini

Fornisce report di controllo out-of-the-box, in grado di contribuire ampiamente a garantire la conformità con le normative governative e di settore

Pur garantendo la conformità necessaria, non controlla i rischi per la sicurezza né migliora la posizione dell'azienda relativa alla sicurezza

Garantisce la conformità come risultato di un programma basato sulla sicurezza

Offre una funzione di alert di base sulle sequenze note tramite le regole di correlazione

Il rilevamento si basa sul fatto di disporre delle firme degli attacchi o di conoscere in anticipo i metodi di attacco. Con le minacce avanzate spesso non esistono firme ed è difficile prevedere il comportamento esatto dell'attacker

Crea una piattaforma unificata per la raccolta dei dati relativi alla sicurezza da tutto l'ambiente. Il rilevamento non si basa su firme o regole di correlazione statiche, ma su confronti dinamici con normali comportamenti di base e con attività sospette che potrebbero indicare la presenza di attacker. In questo modo si velocizza l'identificazione di minacce attive per cui non esistono firme e si riduce il numero di incident che devono essere studiati dagli analisti



CONCLUSIONI

I responsabili della sicurezza competenti sanno che è necessario presumere che gli

ambienti IT siano stati violati. La sfida consiste nel trovare dove si nascondono

i maggiori pericoli.

Gli strumenti di sicurezza tradizionali sono utili perché seguono le regole impostate dal

personale addetto alla sicurezza (ad esempio, cercare determinati elementi). Al contrario,

le piattaforme di analisi della sicurezza trovano le anomalie di cui gli analisti non erano

nemmeno a conoscenza. Gli interventi manuali saranno sempre richiesti, ma i sistemi di

analisi della sicurezza espandono l'area della visione restringendo al contempo l'area

delle minacce e rendendo il processo decisionale più rapido e accurato.

I sistemi di analisi della sicurezza assicurano alle organizzazioni la consapevolezza

situazionale e le funzionalità di supporto al processo decisionale richieste per impedire

alle minacce avanzate di arrecare danno e per offrire significativi vantaggi per il business

che vadano oltre la semplice protezione. Integrando queste funzionalità in una soluzione

per la sicurezza unificata, i costi complessivi di gestione scendono mentre aumenta

l'utilità della piattaforma. Investendo in soluzioni di analisi della sicurezza anziché in

soluzioni SIEM tradizionali, le organizzazioni rendono le piattaforme "a prova di futuro"

in vista delle minacce crescenti per l'ambiente, procurandosi al contempo un repository

di informazioni altamente scalabile che può essere adatto per molte funzioni e business

unit diverse. Automatizzando le attività e fornendo il contesto, le piattaforme di analisi

della sicurezza consentono agli analisti SOC di aumentare la produttività. E concentrando

gli sforzi sulla difesa delle risorse di maggior valore di un'organizzazione, la sicurezza

diventa più strategica per l'organizzazione.

pagina 8



pagina 9

INFORMAZIONI SUGLI AUTORI

Brian Girardi sovrintende lo sviluppo di soluzioni di gestione e analisi della sicurezza avanzate in RSA, the Security Division of EMC. È entrato a far parte dell'azienda quando EMC ha acquisito NetWitness nel 2011.

Essendo presente in NetWitness fin dagli inizi, Girardi è stato responsabile di molti metodi e concetti di analisi che costituiscono attualmente la piattaforma tecnologica NetWitness. In NetWitness, è stato responsabile del posizionamento dei prodotti e del marketing strategici, della strategia tecnologica, della definizione della funzionalità dei prodotti e del lancio dei prodotti.

Girardi ha lavorato per più di 13 anni nel campo della sicurezza delle informazioni, fornendo soluzioni e servizi innovativi agli organismi di pubblica sicurezza federali, alla U.S. Intelligence Community e alle enterprise commerciali. Ha al suo attivo alcune pubblicazioni e brevetti nel campo della sicurezza delle informazioni. Girardi ha conseguito un Bachelor of Science in Ingegneria meccanica e un Master of Science in Elettrotecnica presso l'università Virginia Tech.

David Martin gestisce la Global Security Organization leader del settore di EMC, che ha il compito di proteggere le risorse e le entrate dell'azienda del valore di diversi miliardi di dollari. Essendo il maggior dirigente della sicurezza di EMC, ha la responsabilità di dimostrare ai clienti l'affidabilità di EMC e di rendere disponibili le operazioni di protezione business in tutto il mondo.

Martin è un Certified Information Systems Security Professional e porta in EMC la sua vasta esperienza nel campo della sicurezza e della gestione delle informazioni, sviluppata in più di un decennio di attività professionale nel settore della protezione business ricoprendo diversi ruoli nell'audit interno, nello sviluppo di sistemi di sicurezza e nella consulenza.

Prima di entrare in EMC, Martin ha creato e diretto alcune organizzazioni di consulenza sulla sicurezza, concentrandosi sui mercati verticali cruciali delle infrastrutture, tecnologico, bancario e sanitario, dove ha sviluppato e immesso sul mercato programmi di sicurezza enterprise, risposta agli incident, indagini, policy e procedure di valutazione.

Martin ha conseguito il Bachelor of Engineering in ingegneria gestionale e presta spesso testimonianza davanti al Congresso degli Stati Uniti e alle agenzie governative come esperto di problematiche di protezione aziendale.

Jonathan Nguyen-Duy è responsabile dell'amministrazione di prodotti e servizi di sicurezza gestiti in Verizon Business. È responsabile dello sviluppo di soluzioni di sicurezza che affrontano una vasta serie di minacce e di requisiti di conformità. Negli ultimi tre anni, il suo team ha sviluppato sistemi anti-DDoS, la correlazione dell'intelligence relativa alla reputazione e una nuova generazione di servizi di sicurezza basati su cloud. In questo periodo, Verizon è cresciuta fino a essere riconosciuta come leader del settore della sicurezza e il maggior provider del mondo di servizi di sicurezza gestiti.

Prima di ricoprire il ruolo attuale, Nguyen-Duy è stato responsabile dello sviluppo delle procedure di business continuity, delle soluzioni di sicurezza fisica, dello storage gestito e dei servizi di hosting di Verizon. Prima di entrare in Verizon, è stato il Regional Director of Operations per l'America centrale per lo U.S. Foreign Service. Nguyen-Duy ha più di 15 anni di esperienza nel campo della sicurezza delle informazioni e della gestione dei rischi. Ha collaborato con enterprise e agenzie governative nell'affrontare le problematiche relative a conflitti armati, disordini interni, scioperi, disastri naturali, attacchi terroristici, black out, epidemie, spionaggio industriale e una vasta serie di minacce informatiche alla sicurezza.

Noto esperto di sicurezza e continuity delle operazioni, interviene regolarmente agli eventi del settore e collabora con diverse task force di sicurezza. Nguyen-Duy ha conseguito un Master in Business Administration in Marketing IT e International Business, oltre a un Bachelor of Arts in Economia internazionale presso la George Washington University.

Brian Girardi

Senior Director of Product Management,

RSA, the Security Division of EMC

David Martin

Vice President,

Chief Security Officer,

EMC Corp.

Jonathan Nguyen-Duy

Director of Global Security Services,

Verizon Business



pagina 10

Mario Santana è entrato nel gruppo SIS (Secure Information Services) di Terremark

Worldwide nel gennaio 2006. Qui è responsabile del team di analisi SIS e si consulta con

i clienti di Terremark su argomenti di sicurezza, tecnologia e gestione dei rischi. Dopo la

fusione di Terremark con Verizon nel 2011, Santana si è impegnato per creare e integrare

una nuova organizzazione di sicurezza dalle prestazioni elevate, riprogettando le strategie,

semplificando i processi operativi e mantenendo il personale altamente qualificato.

In precedenza, Santana ha fondato un'azienda di tecnologie di gestione delle identità,

è stato consulente per SteelCloud, Inc. e ha lavorato nel campo dell'IT per più di 25 anni.

Ha lavorato con numerose organizzazioni di tutto il mondo inserite nell'elenco Fortune

1000, tra cui organizzazioni finanziarie, sanitarie e accademiche, sicurezza aeroportuale

e linee aree, catene di negozi in franchasing, aziende tecnologiche e studi legali. Ha

diretto progetti e contratti legati ai vari aspetti della gestione della sicurezza e dei rischi,

ad esempio governance aziendale, indagini ed e-discovery, risposta agli incident, furto

di proprietà intellettuale, incident interni e la valutazione di reti, sistemi e applicazioni.

Le sue specializzazioni includono conoscenza delle minacce, valutazione e limitazione,

strumentazione di rete, amministrazione della sicurezza e conformità.

Eddie Schwartz è CISO (Chief Information Security Officer) per RSA e ha 25 anni di

esperienza nel campo della sicurezza delle informazioni.

In precedenza, è stato cofondatore e Chief Security Officer di NetWitness (acquisita da EMC),

CTO di ManTech, EVP e General Manager di Global Integrity (acquisita da INS), SVP di

Operations of Guardent (acquisita da VeriSign), CISO di Nationwide Insurance, Senior

Computer Scientist in CSC e Foreign Service Officer per il Dipartimento di Stato degli Stati

Uniti. Schwartz è stato consulente di diverse aziende di sicurezza nella fase iniziale ed è

stato membro del comitato esecutivo del Banking Information Technology Secretariat (BITS).

Schwartz ha conseguito un B.I.S. in Gestione della sicurezza delle informazioni e un Master

of Science in Gestione dell'IT presso la George Mason University School of Management.

Dean Weber è un dirigente e Chief Technology Officer per CyberSecurity in CSC, dove

fornisce idee e linee guida per lo sviluppo di soluzioni e supporto per le iniziative

strategiche di sicurezza informatica.

Con più di 30 anni di esperienza nel campo della sicurezza fisica e delle informazioni,

Weber è entrato in CSC dopo essere stato Chief Technology Officer in Applied Identity,

che è stata di recente venduta a Citrix. In precedenza, è stato Chief Security Architect

in Teros, un produttore leader del settore di gateway di sicurezza per applicazioni,

anch'esso acquisito da Citrix. È stato responsabile dello sviluppo e dell'implementazione

di distribuzioni di soluzioni, inclusa la raccolta di intelligence e valutazioni in TruSecure/

ICSA Labs (ora Verizon Business Security Solutions). Weber ha contribuito a fondare

un grande rivenditore-integratore del Midwest, specializzato nella progettazione e

nell'implementazione di architetture sicure per clienti del settore sia pubblico che

privato, di cui è stato vicepresidente tecnico per molti anni. Inoltre ha trascorso diversi

anni nella Marina degli Stati Uniti con mansioni di sicurezza fisica ed elettronica.

Weber interviene spesso agli eventi sulla sicurezza delle informazioni quali InfoWorld,

ITEC, InfoSec Europe, InfraGard, Secret Service Security Roundtable, ISSA e diversi

appuntamenti del settore.

Mario Santana

Vice President of Secure

Information Services,

Terremark, una società di Verizon

Eddie Schwartz

Vice President e CISO,

RSA, the Security Division of EMC

Dean Weber

Chief Technology Officer

of Cybersecurity, CSC



pagina 11

SOLUZIONI PER LA SICUREZZAI prodotti e i servizi descritti di seguito osservano quanto illustrato nel presente documento. Non è un elenco completo di soluzioni applicabili, ma piuttosto un punto di partenza per i professionisti della gestione della protezione e dei rischi interessati a conoscere alcune opzioni di soluzioni e servizi disponibili.

Servizi di sicurezza gestiti di CSC

I servizi di sicurezza gestiti di CSC vengono distribuiti tramite i centri operativi di sicurezza integrati in tutto il mondo e offrono una valida alternativa alla gestione automatica delle funzioni di sicurezza. I servizi di sicurezza gestiti di CSC consentono alle organizzazioni di soddisfare in modo molto efficiente gli obblighi in materia di sicurezza in un ambiente con budget fissi, risorse competenti limitate, rigide regole normative e un panorama di crescenti minacce. Una gamma completa di offerte garantisce una protezione informatica personalizzata, dal monitoraggio e dalla gestione del core all'analisi più sofisticata e alla protezione della sicurezza informatica all'avanguardia tramite il rilevamento delle minacce avanzate, l'intelligence sulle minacce globali, la consapevolezza situazionale e le funzionalità relative a governance, rischi e conformità. CSC è attualmente uno dei pochi service provider di sicurezza gestita indipendente dai vendor per il mid-market e le enterprise di grandi dimensioni, che integra i migliori strumenti disponibili presso un'ampia serie di vendor leader del settore con la proprietà intellettuale di CSC.

Analisi di RSA® Security

La soluzione di analisi di RSA® Security è progettata per offrire alle organizzazioni la consapevolezza situazionale necessaria per gestire le problematiche di sicurezza più urgenti. Offrendo una visibilità a livello di enterprise sui dati del traffico di rete e degli eventi del registro, il sistema di analisi di RSA Security consente alle organizzazioni di avere una panoramica completa dell'ambiente IT, permettendo agli analisti della sicurezza di assegnare rapidamente una priorità alle minacce, indagare su di esse, prendere decisioni relative alla risoluzione e intraprendere un'azione. L'architettura dati distribuita della soluzione di analisi di RSA Security è stata progettata per raccogliere e analizzare grandi volumi di informazioni (centinaia di terabyte o più) a una velocità molto elevata utilizzando più modelli di analisi. La soluzione è inoltre in grado di integrare l'intelligence esterna sulle minacce relativa agli strumenti, alle tecniche e alle procedure più recenti utilizzati dalla community degli attacker e di aiutare le organizzazioni a tenere traccia delle risposte alle problematiche di sicurezza identificate tramite la soluzione e a gestirle. La versione commerciale della piattaforma di analisi di RSA Security sarà disponibile dalla fine del 2012.

Servizi di sicurezza gestiti di Verizon

Verizon è un partner per le comunicazioni, la sicurezza e l'IT globale per business e amministrazioni con una delle reti IP pubbliche con il maggior numero di connessioni al mondo. Verizon offre la serie più completa di servizi di sicurezza gestiti, con il supporto di più di 1.200 esperti in 30 paesi. Verizon utilizza la propria tecnologia di correlazione e classificazione proprietaria SEAM (State and Event Analysis Machine) per filtrare milioni di eventi di sicurezza innocui e gestisce solo gli incident che più probabilmente costituiscono una minaccia. Questa tecnologia, unitamente a una grande quantità di intelligence sulle minacce e la vulnerabilità generata dall'estesa rete globale di Verizon, consente alle aziende di affrontare un'ampia gamma di minacce informatiche e di soddisfare i requisiti di conformità. Per questo motivo Verizon è considerata un leader del settore della sicurezza da società di analisi quali Gartner, Forrester, Frost & Sullivan e altre. Per il medesimo motivo migliaia di enterprise e di agenzie governative si affidano a Verizon per proteggere i dati business e la relativa infrastruttura, oltre che per soddisfare gli standard e le normative di sicurezza.

EMC2, EMC, il logo EMC, RSA, enVision, Archer e il logo RSA sono marchi o marchi registrati di EMC Corporation negli

Stati Uniti e in altri paesi. Tutti gli altri marchi di prodotti o servizi citati nel presente documento appartengono ai

rispettivi proprietari. © Copyright 2012 EMC Corporation. Tutti i diritti riservati.

h11031-SIEM_BRF_0912

INFORMAZIONI SU RSA

RSA, The Security Division of EMC, è il principale fornitore di soluzioni di sicurezza

e protezione, gestione dei rischi e della conformità volte ad accelerare le attività

commerciali. RSA aiuta le maggiori organizzazioni di livello mondiale a risolvere le

sfide relative alla protezione più complesse e delicate. Tra queste esigenze compaiono

la gestione dei rischi organizzativi, la sicurezza dell'accesso da dispositivi mobili,

l'attestazione di conformità e la protezione degli ambienti virtuali e cloud.

Grazie all'associazione di controlli business-critical concernenti accertamento di

identità, crittografia e gestione di chiavi, SIEM, prevenzione della perdita di dati

e protezione contro le frodi con funzionalità eGRC e servizi di consulenza leader

del settore, RSA garantisce sicurezza e visibilità a milioni di identità utente, alle

transazioni da questi eseguite e ai dati che vengono generati. Per maggiori

informazioni: italy.rsa.com e italy.emc.com

italy.rsa.com

RSA Security in breve, ottobre 2011

italy.rsa.com

italy.rsa.com

italy.emc.com

TRASFORMAZIONE DEL SIEM IN UN SISTEMA DI AVVERTENZA ... · Visualizzazione unificata: il...

Documents

Transcript of TRASFORMAZIONE DEL SIEM IN UN SISTEMA DI AVVERTENZA ... · Visualizzazione unificata: il...