TRASFORMAZIONE DEL SIEM IN UN SISTEMA DI AVVERTENZA ANTICIPATA PER MINACCE AVANZATEI Big Data spingono il SIEM nell'era dell'analisi della sicurezzaSettembre 2012
RSA Security in breve
EXECUTIVE SUMMARYNegli ultimi anni, un numero incredibile di agenzie governative e di note aziende hanno subito attacchi informatici mirati e a sorpresa, progettati in modo da sfruttare le vulnerabilità, interrompere le operazioni e sottrarre importanti informazioni. È evidente che i sistemi di sicurezza attuali non sono adatti a sventare queste minacce avanzate, dal momento che gran parte delle vittime disponeva di sistemi di rilevamento e prevenzione all'avanguardia. Questi sistemi non sono riusciti ad arrestare o a rilevare un attacco in corso nelle reti delle vittime prima che il danno fosse arrecato.
Dato l'ambiente delle minacce attuali, i team della sicurezza si stanno rendendo conto che è necessario presumere che gli ambienti IT vadano soggetti a compromissioni periodiche. Le misure preventive di un tempo per proteggere il perimetro o i tentativi di individuare i problemi di malware mediante tecnologie di corrispondenza della firma non sono più sufficienti. Sono necessarie nuove procedure basate sulla conoscenza delle fasi di un attacco, sul monitoraggio continuo delle minacce e su rilevamento e risoluzione rapidi degli attacchi.
Per sviluppare la visibilità, la flessibilità e la velocità necessarie per gestire le minacce avanzate, i sistemi SIEM (Security Information and Event Management) devono diventare una sorta di sistema nervoso centrale per l'analisi della sicurezza su larga scala. In particolare, sono richieste quattro funzionalità fondamentali:
1. Visibilità pervasiva: per poter conoscere tutto quanto avviene negli ambienti IT, è necessario fondere più origini dati, tra cui l'acquisizione dei pacchetti di rete e la ricostruzione completa delle sessioni, i file di log provenienti dalla rete e dai dispositivi host e informazioni esterne quali gli indicatori delle minacce o un'altra intelligence sulla sicurezza. La raccolta centralizzata dei registri non è più sufficiente.
2. Analisi più approfondita: l'esame dei rischi nel contesto e il confronto di modelli di comportamento nel corso del tempo in dataset eterogenei migliora il rapporto segnale-rumore nel rilevamento delle minacce avanzate, accelerando in tal modo i tempi di risoluzione.
3. Livelli di scalabilità elevati: le piattaforme che raccolgono i dati sulla sicurezza devono ampliare l'ambito e la scalabilità per gestire la proliferazione delle informazioni sempre più necessarie per una consapevolezza situazionale completa.
4. Visualizzazione unificata: il consolidamento delle informazioni sulla sicurezza inun'unica posizione è indispensabile per studiare gli incident nel contesto e accelerare il processo decisionale sulle possibili minacce.
I centri operativi per la sicurezza (SOC) hanno bisogno di strumenti di analisi avanzati
in grado di raccogliere e vagliare rapidamente i dati sulla sicurezza per evidenziare le
problematiche più urgenti nel contesto. È in corso lo sviluppo di nuove piattaforme di
analisi della sicurezza che consentono di gestire tutte le funzioni dei tradizionali sistemi
SIEM e molto altro, tra cui l'accelerazione del rilevamento di minacce avanzate in modo
che le organizzazioni abbiano una possibilità di arrestare gli attacchi segreti.
Commento dell'autore
"Attualmente la capacità della maggior parte dei centri SOC di individuare eventi all'interno dell'organizzazione non è allo stesso livello dello stato della minaccia. In genere scopriamo le minacce non mentre stanno raggiungendo le organizzazioni o dopo che sono già entrate in rete, ma addirittura dopo che si è verifi cato l'exploit e i dati sono già usciti".
Dean Weber, Chief Technology Officer of Cybersecurity, CSC
RSA Security in breve
RSA Security in breve, settembre 2012
Sommario
Executive Summary .........................................................................................................1
I sistemi di sicurezza di oggi si basano sui problemi di ieri ..............................................3
SIEM stabilisce una baseline per la gestione della sicurezza............................................4
Le minacce avanzate richiedono una sicurezza avanzata .................................................4
Trasformazione di SIEM in una piattaforma di analisi della sicurezza completa ................5
Visibilità pervasiva .......................................................................................................5
Analisi più approfondita e indagini più rapide ..............................................................6
Livelli di scalabilità elevati ...........................................................................................6
Visualizzazione unifi cata delle informazioni critiche sulla sicurezza ..............................7
Conclusioni .....................................................................................................................8
Informazioni sugli autori .................................................................................................9
Soluzioni per la sicurezza .............................................................................................11
Servizi di sicurezza gestiti di CSC ................................................................................11
Analisi di RSA® Security ..............................................................................................11
Servizi di sicurezza gestiti di Verizon ..........................................................................11
I documenti RSA Security in breve forniscono ai responsabili della sicurezza e al management aziendale una guida essenziale ai maggiori rischi odierni per la sicurezza e alle opportunità disponibili. Ogni compendio è creato da un team selezionato incaricato della risposta composto da esperti di sicurezza e tecnologia che condividono con le aziende conoscenze specifi che su un argomento critico emergente. Grazie alla visione d'insieme e ai pratici suggerimenti tecnici offerti, i documenti RSA Security in breve costituiscono una lettura indispensabile per gli odierni professionisti della sicurezza orientati al futuro.
Autori
Brian Girardi, Senior Director of Product Management, RSA, the Security Division of EMC
David Martin, Vice President, Chief Security Officer, EMC Corp.
Jonathan Nguyen-Duy, Director of Global Security Services, Verizon Business
Mario Santana, Vice President of Secure Information Services, Terremark, una società
di Verizon
Eddie Schwartz, Vice President e CISO, RSA, the Security Division of EMC
Dean Weber, Chief Technology Officer of Cybersecurity, CSC
RSA Security in breve
RSA Security in breve, settembre 2012
I SISTEMI DI SICUREZZA DI OGGI SI BASANO SUI PROBLEMI DI IERI
Gli attacker odierni fanno affidamento sull'imprevedibilità. I difensori devono rispondere rapidamente.
In passato, la prevenzione delle minacce si è ridotta a una sorta di gioco tra i vendor di
soluzioni per la sicurezza e gli attacker. Una minaccia veniva sviluppata da un attacker e,
una volta identificata, i vendor rilasciavano le firme per i clienti in modo che il malware
venisse arrestato all'ingresso. Quando questo si verificava, gli attacker modificavano
leggermente la minaccia per eludere il rilevamento, ma questa soluzione non durava a
lungo: gli analisti delle minacce dei vendor esaminavano il traffico, individuavano le istanze
della nuova variante e la bloccavano. I team della sicurezza aziendali si assicuravano di
mantenere aggiornate le patch e le firme di sicurezza e fatta eccezione per l'occasionale
vulnerabilità zero-day, questo approccio basato sulla difesa del perimetro era ampiamente
considerato valido.
Oggi la situazione è cambiata, soprattutto a causa delle minacce APT e di simili minacce
avanzate. Il Security for Business Innovation Council definisce le minacce avanzate come
attacchi informatici appositamente progettati per violare le difese di un'organizzazione in
modo da sottrarre importanti informazioni quale la proprietà intellettuale, introdurre false
informazioni, interrompere servizi strategici, danneggiare sistemi o monitorare operazioni
o azioni. Queste minacce avanzate sono opera di hacktivist, stati-nazione, organizzazioni
criminali e altri gruppi con importanti finanziamenti ed esperienza specifica nell'ambito
della sicurezza.
Gli attacker odierni non si lasciano scoraggiare dal tradizionale perimetro e dalle difese
basate sulle firme descritte in precedenza. Eseguono una ricognizione tra i processi,
il personale e i sistemi di sicurezza di un'organizzazione e sviluppano le tecniche per
servirsene. Grazie al social engineering, all'escalation dei privilegi e ad altre forme di
indagine, gli attacker ottengono l'accesso alle risorse sensibili del sistema. Si spostano
lentamente attraverso la rete di un'organizzazione per evitare di essere rilevati, dedicando
giorni, settimane o mesi al raggiungimento dei propri obiettivi. Quindi, al momento
opportuno, mettono in atto le fasi finali dell'attacco.
Le violazioni della sicurezza che potrebbero indicare una crescita ininterrotta delle
minacce avanzate appaiono in crescita. Il report investigativo sulla violazione dei dati
condotto da Verizon nel 2012 ha registrato 855 incident di violazione nel 2011, ovvero
174 milioni di record compromessi. Questo valore è al secondo posto nelle perdite di
dati annuali da quando Verizon ha iniziato a tenere traccia delle violazioni nel 2004.
Inoltre, diverse organizzazioni continuano attualmente a cercare soluzioni di sicurezza
nei programmi di conformità. Tuttavia, a causa della natura lenta e strutturata e delle
prospettive codificate, le attività di conformità possono spesso fare poco per proteggere
gli ambienti IT dall'attacco. Le aziende devono rivedere le priorità di gestione dei rischi
considerando che al giorno d'oggi è molto più probabile che si verifichino furti informatici.
Devono inoltre rivedere le strategie di sicurezza in modo da gestire ciò che ancora non
conoscono o prevedere di subire le conseguenze di una violazione.
Il primo passo consiste nel riconoscere la probabilità che gli ambienti IT siano già stati
violati. Grazie a questo mutamento di opinione, per raggiungere l'obiettivo della sicurezza,
si passa dal tentativo di proteggere il perimetro al rilevamento tempestivo delle minacce
e alla riduzione del danno derivante da una possibile violazione.
Dopo essere passati dal piano del perimetro al cuore dell'organizzazione, i professionisti
della sicurezza possono concentrare gli sforzi sul raggiungimento della consapevolezza
situazionale in modo da monitorare e proteggere le risorse più importanti
dell'organizzazione.
pagina 3
Commento dell'autore
"Se si pensa alle minacce odierne,
è evidente che non si tratta più
di buoni che combattono contro
l'attacco di massa di qualche
worm o virus informatico, ma
di buoni contro cattivi, esseri
umani che prendono di mira un
ambiente, ed è per questo che
tutti i metodi classici di difesa
automatizzata falliscono. In una
gara di creatività, gli uomini
vinceranno sulle macchine".Mario Santana, Vice President di Secure Information Services in Terremark, una società di Verizon
"Sono necessarie molte nuove
competenze nel campo della
sicurezza ed è importante
spingere le persone a pensare
in modo diverso. È necessario
smettere di pensare a bloccare
le minacce e capire invece come
individuare ciò che probabilmente
è già successo e che cosa fare".Dave Martin, Chief Security Officer, EMC
RSA Security in breve
RSA Security in breve, settembre 2012
SIEM STABILISCE UNA BASELINE PER LA GESTIONE DELLA SICUREZZA I sistemi SIEM (Security Information and Event Management) sono stati progettati per offrire una posizione centrale in cui raccogliere e memorizzare i dati relativi alla sicurezza (in gran parte solo informazioni dei registri e degli eventi) in modo da semplificare l'Incident Management per la sicurezza e la generazione di report sulla conformità. Questi sistemi raccolgono i registri e gli alert sulla sicurezza generati da applicazioni e sistemi in rete, ad esempio dispositivi di rete, storage, database, firewall, sistemi di prevenzione delle intrusioni e software antivirus. I sistemi SIEM consentono agli analisti della sicurezza di ridurre il tempo necessario per recuperare le informazioni e di dedicare il tempo così risparmiato alla risoluzione degli incident. Attualmente, circa un terzo delle enterprise ha adottato sistemi di gestione delle informazioni sulla sicurezza. In base a un recente report di Forrester Research, alla base di questa decisione vi sono la conformità e l'indagine sugli incident.1
I sistemi SIEM consentono oggi di eseguire in modo efficiente diverse funzioni chiave di sicurezza e conformità:
• Generazione di report sull'attività dei dispositivi in modo da offrire informazioni dettagliate su chi, che cosa, dove e quando si sono verificate le attività cruciali;
• Determinazione di "normali" livelli di base per l'intera gamma di attività IT, facilitando il rilevamento di livelli e tipi di attività insoliti;
• Correlazione delle informazioni degli eventi, in modo che gli esperti della sicurezza non debbano analizzare ognuno degli innumerevoli alert sulla sicurezza generati quotidianamente dai molti dispositivi e applicazioni presenti nella rete di un'organizzazione;
• Applicazione di regole predefinite dagli esperti della sicurezza per selezionare le potenziali minacce. Le regole possono anche essere utilizzate per eliminare gli alert non pertinenti, migliorando il rapporto segnale-rumore e riducendo considerevolmente il numero di eventi su cui è necessario indagare;
• Raccolta dei dati dei registri in una posizione centrale dove è possibile rivederli, generare report su di essi e memorizzarli a scopo di conformità e di indagine a lungo termine;
• Assicurazione della conformità per gli auditor interni ed esterni tramite la generazione automatizzata di report periodici.
Queste sono le funzioni fondamentali per qualsiasi programma di sicurezza e conformità. Alcuni esperti affermano infatti che, se un'organizzazione può intraprendere solo un'iniziativa di sicurezza orientata al rilevamento, deve utilizzare i sistemi SIEM per raccogliere e mettere in correlazione i dati relativi alla sicurezza, in modo da individuare diversi problemi.
Purtroppo, per gestire i grandi rischi posti dalle minacce avanzate, i tradizionali approcci alla sicurezza basati sui sistemi SIEM non sono sufficienti. I sistemi SIEM tradizionali, pur essendo necessari, sono insufficienti.
LE MINACCE AVANZATE RICHIEDONO UNA SICUREZZA AVANZATA La nuova mentalità richiede nuove funzionalità di sicurezza per supplire alle mancanze dei tradizionali approcci alla sicurezza.
I tradizionali sistemi SIEM basati sui registri e sugli eventi offrono spesso un quadro incompleto dei rischi corsi da un'organizzazione, in quanto gli strumenti SIEM raccolgono le informazioni solo da alcune parti dell'infrastruttura IT, lasciando alcuni gravi punti deboli.
Il centro operativo di sicurezza (SOC) di un'organizzazione non può più fare affidamento esclusivamente sui registri dei dispositivi per avere un quadro affidabile di quanto sta accadendo. Per poter identificare le anomalie, un analista SOC può aver bisogno di eseguire controlli incrociati su altri tipi di dati, ad esempio la funzione lavorativa del proprietario di un laptop connesso a un server cruciale, e di disporre di queste informazioni in una posizione centrale dove possono essere associate ai tradizionali dati relativi alla sicurezza. I SOC che ritengono importante utilizzare diverse fonti di informazioni per individuare le
pagina 4
Commento dell'autore
"Non c'è dubbio che i tradizionali
sistemi SIEM siano tuttora
necessari per avvisare che è stato
rilevato un modello problematico
e per ricavare il maggior
valore possibile dai dati per le
organizzazioni. Ma è necessario
aggiungere molto altro ai sistemi
SIEM per assicurare una maggiore
visibilità e un contesto più ampio
per valutare la minaccia". Eddie Schwartz, Chief Security Officer, RSA, the Security Division of EMC
1 Forrester Research, Inc., "Dissect Data to Gain Actionable Intel", agosto 2012
RSA Security in breve
RSA Security in breve, settembre 2012
minacce avanzate devono ora affrontare un problema relativo ai Big Data: come raccogliere e analizzare questi dataset che le tradizionali soluzioni di sicurezza non prendono in considerazione?
Con i sistemi SIEM attuali, gli analisti SOC devono affrontare un dilemma, in quanto non hanno a disposizione tutti i dati necessari per ottenere un quadro completo dell'ambiente, ma non possono utilizzare tutti i dati di cui dispongono perché gli strumenti SIEM non sono in grado di gestirli dal punto di vista delle prestazioni. Gli strumenti possono indicare che è stata trovata una corrispondenza per la firma di un malware, ma che impatto ha sul business il malware? Quanto è cruciale il sistema infettato? Come è stato infettato? Quali altri elementi sono stati infettati dal malware? Sono stati spostati o interessati dati sensibili? Gli strumenti tradizionali non presentano le informazioni sulla sicurezza dando loro un significato e in modo tale da poter agire su di esse, né dispongono di interfacce semplici e di funzionalità di visualizzazione che operino come farebbe un analista della sicurezza. Pertanto, le organizzazioni che attualmente utilizzano i sistemi SIEM ottengono da questi strumenti solo una minima parte del valore desiderato.
Si tratta di un problema cruciale. Poiché il centro SOC è l'ultima linea di difesa di un'organizzazione contro gli attacchi, gli analisti della sicurezza devono disporre di informazioni il più possibile approfondite e diversificate in base alle quali poter agire. L'utilità dei sistemi SIEM deve aumentare per permettere agli analisti della sicurezza di svolgere il proprio compito in modo più efficiente ed efficace.
Con una posta in gioco così alta, le organizzazioni devono anche valutare obiettivamente la maturità della sicurezza e comprendere i rischi da affrontare in modo da determinare se la soluzione migliore consista nel gestire i centri SOC internamente, nell'appaltarli a provider MSSP (Managed Security Service Provider) o nell'adottare un approccio ibrido.
TRASFORMAZIONE DI SIEM IN UNA PIATTAFORMA DI ANALISI DELLA SICUREZZA COMPLETAGli attuali sistemi SIEM non possono tenere il passo con i volumi e la varietà delle informazioni relative alla sicurezza, soprattutto perché le organizzazioni aggiungono infrastrutture, applicazioni e anche servizi cloud agli ambienti IT. Per consentire alle organizzazioni di raggiungere l'obiettivo della completa consapevolezza situazionale, gli strumenti SIEM hanno bisogno dell'analisi basata sui "Big Data", ovvero di utilizzare dataset di dimensioni di gran lunga maggiori, più diversificati e dinamici delle informazioni sulla sicurezza raccolte attualmente dalla maggior parte delle organizzazioni. Gli strumenti di analisi dei dati devono anche integrare l'intelligence sulle minacce proveniente da fonti esterne, che può fornire un contesto più ampio grazie a cui accelerare il rilevamento degli attacchi.
Per sviluppare l'intelligence, la visibilità, la flessibilità e la velocità necessarie per gestire le minacce avanzate, i sistemi SIEM devono diventare una sorta di sistema nervoso centrale per l'analisi della sicurezza su larga scala. La fase successiva nell'evoluzione dei sistemi SIEM prevede lo sviluppo di funzionalità avanzate in quattro aree chiave.
Visibilità pervasiva
Perché le organizzazioni possano fermare gli attacchi informatici furtivi, devono prima poterli vedere. Le piattaforme di analisi della sicurezza devono consentire la ricostruzione completa dell'attività, in modo che gli analisti SOC dispongano di tutte le informazioni necessarie per stabilire quale sia la reazione più efficace ai potenziali problemi. L'acquisizione completa di pacchetti di rete, unitamente a registri, eventi, intelligence sulle minacce e altre origini dati, offre una visione più completa delle minacce alla sicurezza grazie a:
• Identificazione del malware: le minacce sono sempre più difficili da identificare a causa della maschera che le rende simili al traffico attendibile che attraversa le reti. L'acquisizione completa di pacchetti di rete raccoglie e ricostruisce i file e quindi automatizza gran parte dell'analisi richiesta per individuare i segnali di tentativi malevoli;
• Registrazione delle attività degli attacker all'interno dell'ambiente: una volta all'interno della rete di un'organizzazione, gli attacker si spostano spesso tra i sistemi per raccogliere
pagina 5
Commento dell'autore
"Le violazioni non sono più
degli attacchi lampo. La maggior
parte dei casi di violazione e
compromissione dell'anno scorso
si è protratta per mesi. La nostra
esperienza indica che è più utile
ottenere un quadro completo di
quanto si è verifi cato nel lungo
periodo e adottare misure per
ridurre i danni che ottenere
un'analisi in tempo
reale degli eventi".Jonathan Nguyen-Duy, director of global security services, Verizon Business
Commento dell'autore
"I sistemi SIEM oggi non
forniscono la visibilità, l'ampiezza
e la profondità delle informazioni
necessarie per identifi care con
certezza le minacce mentre sono
in corso. Abbiamo bisogno di
origini dati più complete e della
visibilità sui dati di rete. Per
questo il modo di conservare,
gestire, elaborare e modellare
i dati deve cambiare. Dobbiamo
renderli più utilizzabili: non solo
più dati, ma dati migliori". Brian Girardi, Senior Director of Product Management, RSA, the Security Division of EMC
RSA Security in breve
RSA Security in breve, settembre 2012
le informazioni richieste per sferrare un attacco. Poiché gli endpoint spesso non sono monitorati, l'acquisizione completa di pacchetti di rete diventa indispensabile per individuare tutti i movimenti laterali degli attacker, che attraversano la rete dell'organizzazione;
• Presentazione di una prova di attività illecita: i sistemi abilitati per l'acquisizione completa di pacchetti di rete registrano sessioni intere che mostrano con esattezza le attività di un attacker, inclusi i trasferimenti di dati. Poiché diverse minacce avanzate non vengono rilevate per tempo, gli analisti della sicurezza devono trovare un modo per valutare il danno. La ricostruzione dell'attacco è spesso il modo più efficace per condurre analisi e indagini successivamente a un attacco.
Affinché gli analisti della sicurezza possano indagare sulle minacce e assegnare loro una priorità, è indispensabile che la nuova generazione di sistemi SIEM contenga funzionalità di acquisizione completa di pacchetti di rete e di ricostruzione delle sessioni. Gli attuali strumenti SIEM tradizionali, ad esempio, sono in grado di indicare che è avvenuta una comunicazione tra il PC in uso e un server malevolo, ma non quali informazioni sono state comunicate. L'acquisizione di pacchetti e la riproduzione delle sessioni, unitamente alle informazioni basate sui registri e di altro tipo, possono offrire un quadro più completo di quanto è accaduto, in modo che gli analisti della sicurezza possano valutare se l'attività sia stata significativa o meno. Tali funzionalità di indagine dettagliata consentono ai centri SOC di spostare il rilevamento delle minacce in prossimità della fase iniziale e di limitare il danno derivante dalle minacce avanzate.
Analisi più approfondita e indagini più rapide
I sistemi di analisi della sicurezza devono essere abbastanza sofisticati da combinare i diversi tipi di dati per rilevare gli indicatori di attacchi avanzati. Ad esempio, devono cercare modelli di comportamento e fattori di rischio e non solo regole statiche e firme note. Questi sistemi devono anche tenere in considerazione il valore relativo delle risorse aziendali a rischio, segnalando gli eventi associati alle risorse di valore elevato.
Applicando un approccio basato sui rischi che utilizzi al meglio i Big Data, le piattaforme di analisi della sicurezza possono eliminare le attività "adeguate note" e migliorare il rapporto segnale-rumore, riducendo la quantità di informazioni che gli analisti della sicurezza devono esaminare durante la ricerca di nuove minacce all'enterprise. Un'analisi più approfondita e automatizzata mette in evidenza gli elementi di interesse per gli analisti della sicurezza, segnalando gli eventi che si verificano spesso o quelli che si verificano di rado. In questo modo, i sistemi di analisi della sicurezza possono eseguire la valutazione per gli analisti della sicurezza, evidenziando gli eventi che richiedono un esame più approfondito.
Sebbene l'analisi automatizzata e intelligente sia un componente importante delle nuove piattaforme di analisi della sicurezza, non può tuttavia sostituire la capacità di giudizio umana. Mette però in evidenza le aree in cui il giudizio umano, grazie alla sua competenza unica a livello di organizzazione e di dominio, è necessario. In sostanza, i sistemi di analisi della sicurezza consentono ai centri SOC di scalare le funzionalità di rilevamento delle minacce in un modo finora impensabile, permettendo agli analisti di comprendere la natura degli incident prima che un attacco avanzato possa creare gravi danni.
Livelli di scalabilità elevati
Mentre si evolvono fino a diventare piattaforme di analisi della sicurezza, i sistemi SIEM devono ampliare l'ambito e la scalabilità per gestire la grande varietà e il grande volume di dati relativi alla sicurezza provenienti dall'interno e dall'esterno dell'organizzazione. L'esame più approfondito del traffico proveniente da diversi tipi di dispositivi e da tutta la rete moltiplica la quantità di dati che devono essere gestiti dalle piattaforme di analisi della sicurezza. E, sebbene la fusione dell'intelligence delle minacce sempre aggiornata dalle origini esterne trasformi una console di sicurezza in un centro di intelligence sulla sicurezza, tuttavia aumenta anche le problematiche di scalabilità dei dati.
Per gestire le minacce attuali, le piattaforme di analisi della sicurezza devono includere funzionalità quali un'architettura storage n-tier distribuita e un engine di analisi che normalizzi ed elabori dataset diversificati e di grandi dimensioni molto velocemente. Lo storage dei dati e l'analisi devono scalare simultaneamente in modo lineare.
pagina 6
RSA Security in breve
RSA Security in breve, settembre 2012
Visualizzazione unificata delle informazioni critiche sulla sicurezza
Per essere completamente informati e visualizzare gli eventi nel contesto, gli analisti della
sicurezza hanno bisogno di tutte le informazioni sulla sicurezza disponibili in qualsiasi
momento. Oltre a raccogliere i dati dalla rete, le piattaforme di analisi della sicurezza
devono integrare rapidamente l'intelligence sulle minacce sempre aggiornata proveniente
da vendor, agenzie federali, associazioni di settore, intelligence open source e altre fonti.
Mettendo a disposizione degli analisti della sicurezza tutte le informazioni potenzialmente
pertinenti, la piattaforma consente agli analisti di risparmiare tempo evitando loro di
raccogliere manualmente queste informazioni. La centralizzazione di una quantità elevata
di intelligence applicabile in una piattaforma di analisi unificata è indispensabile per offrire
una vista tempestiva dell'ambiente IT, per inserire gli eventi nel contesto e per accelerare
i processi decisionali degli analisti.
pagina 7
PUNTI DI FORZA DEL
SIEM TRADIZIONALELIMITI DEL SIEM
L'ANALISI DELLA SICUREZZA ACCRESCE I PUNTI DI FORZA DEL SIEM E SUPERA I LIMITI
Automatizza la raccolta, l'archiviazione e la generazione di report dei dati dei registri e degli eventi da più origini diverse, da dispositivi di rete e server a firewall e software antivirus
L'architettura dati dei sistemi SIEM tradizionali non è stata sviluppata per gestire l'enorme varietà e i volumi di informazioni sulla sicurezza ora disponibili e neces-sarie per raggiungere una visibilità sufficiente dell'enterprise
Offre un'architettura dati distribuita per raccogliere i dati sulla sicurezza su scala "Big Data" (centinaia di terabyte e oltre). Tali piattaforme inoltre normalizzano e analizzano questi dataset eterogenei e di grandi dimensioni a una velocità molto elevata
Crea un repository unificato per i dati relativi alla sicurezza, offrendo agli analisti SOC l'accesso centralizzato ai dati necessari per le indagini
Anche se i sistemi SIEM raccolgono registri ed eventi da svariati sistemi, la visibilità è limitata ai dati contenuti nei registri raccolti, che spesso coprono solo una piccola parte dell'attività potenzialmente rilevante
Acquisisce il traffico di rete, con alcune piattaforme avanzate di analisi della sicurezza, offrendo anche l'acquisizione completa dei pacchetti di rete e la ricostruzione delle sessioni per individuare e studiare il modo in cui gli attacker si sono infiltrati nell'ambiente IT e quali operazioni hanno eseguito una volta all'interno. Inoltre, le piattaforme avanzate di analisi della sicurezza acquisiscono automaticamente l'intelligence sulle minacce dalle origini esterne, offrendo importanti visualizzazioni dell'ambiente delle minacce all'esterno dell'enterprise
Unifica i dati dei registri contribuendo a creare un repository completo per i dati chiave orientati alla sicurezza
Sebbene i sistemi SIEM contengano una grande quantità di dati, la loro utilizzabilità è spesso di scarsa importanza. La maggior parte non è in grado di supportare gli analisti nelle indagini urgenti degli incident
Garantisce le performance elevate necessarie per le indagini ad hoc, oltre a offrire un'interfaccia utente a completamento del modo in cui gli analisti conducono le indagini
Fornisce report di controllo out-of-the-box, in grado di contribuire ampiamente a garantire la conformità con le normative governative e di settore
Pur garantendo la conformità necessaria, non controlla i rischi per la sicurezza né migliora la posizione dell'azienda relativa alla sicurezza
Garantisce la conformità come risultato di un programma basato sulla sicurezza
Offre una funzione di alert di base sulle sequenze note tramite le regole di correlazione
Il rilevamento si basa sul fatto di disporre delle firme degli attacchi o di conoscere in anticipo i metodi di attacco. Con le minacce avanzate spesso non esistono firme ed è difficile prevedere il comportamento esatto dell'attacker
Crea una piattaforma unificata per la raccolta dei dati relativi alla sicurezza da tutto l'ambiente. Il rilevamento non si basa su firme o regole di correlazione statiche, ma su confronti dinamici con normali comportamenti di base e con attività sospette che potrebbero indicare la presenza di attacker. In questo modo si velocizza l'identificazione di minacce attive per cui non esistono firme e si riduce il numero di incident che devono essere studiati dagli analisti
RSA Security in breve
RSA Security in breve, settembre 2012
CONCLUSIONI
I responsabili della sicurezza competenti sanno che è necessario presumere che gli
ambienti IT siano stati violati. La sfida consiste nel trovare dove si nascondono
i maggiori pericoli.
Gli strumenti di sicurezza tradizionali sono utili perché seguono le regole impostate dal
personale addetto alla sicurezza (ad esempio, cercare determinati elementi). Al contrario,
le piattaforme di analisi della sicurezza trovano le anomalie di cui gli analisti non erano
nemmeno a conoscenza. Gli interventi manuali saranno sempre richiesti, ma i sistemi di
analisi della sicurezza espandono l'area della visione restringendo al contempo l'area
delle minacce e rendendo il processo decisionale più rapido e accurato.
I sistemi di analisi della sicurezza assicurano alle organizzazioni la consapevolezza
situazionale e le funzionalità di supporto al processo decisionale richieste per impedire
alle minacce avanzate di arrecare danno e per offrire significativi vantaggi per il business
che vadano oltre la semplice protezione. Integrando queste funzionalità in una soluzione
per la sicurezza unificata, i costi complessivi di gestione scendono mentre aumenta
l'utilità della piattaforma. Investendo in soluzioni di analisi della sicurezza anziché in
soluzioni SIEM tradizionali, le organizzazioni rendono le piattaforme "a prova di futuro"
in vista delle minacce crescenti per l'ambiente, procurandosi al contempo un repository
di informazioni altamente scalabile che può essere adatto per molte funzioni e business
unit diverse. Automatizzando le attività e fornendo il contesto, le piattaforme di analisi
della sicurezza consentono agli analisti SOC di aumentare la produttività. E concentrando
gli sforzi sulla difesa delle risorse di maggior valore di un'organizzazione, la sicurezza
diventa più strategica per l'organizzazione.
pagina 8
RSA Security in breve
RSA Security in breve, settembre 2012
pagina 9
INFORMAZIONI SUGLI AUTORI
Brian Girardi sovrintende lo sviluppo di soluzioni di gestione e analisi della sicurezza avanzate in RSA, the Security Division of EMC. È entrato a far parte dell'azienda quando EMC ha acquisito NetWitness nel 2011.
Essendo presente in NetWitness fin dagli inizi, Girardi è stato responsabile di molti metodi e concetti di analisi che costituiscono attualmente la piattaforma tecnologica NetWitness. In NetWitness, è stato responsabile del posizionamento dei prodotti e del marketing strategici, della strategia tecnologica, della definizione della funzionalità dei prodotti e del lancio dei prodotti.
Girardi ha lavorato per più di 13 anni nel campo della sicurezza delle informazioni, fornendo soluzioni e servizi innovativi agli organismi di pubblica sicurezza federali, alla U.S. Intelligence Community e alle enterprise commerciali. Ha al suo attivo alcune pubblicazioni e brevetti nel campo della sicurezza delle informazioni. Girardi ha conseguito un Bachelor of Science in Ingegneria meccanica e un Master of Science in Elettrotecnica presso l'università Virginia Tech.
David Martin gestisce la Global Security Organization leader del settore di EMC, che ha il compito di proteggere le risorse e le entrate dell'azienda del valore di diversi miliardi di dollari. Essendo il maggior dirigente della sicurezza di EMC, ha la responsabilità di dimostrare ai clienti l'affidabilità di EMC e di rendere disponibili le operazioni di protezione business in tutto il mondo.
Martin è un Certified Information Systems Security Professional e porta in EMC la sua vasta esperienza nel campo della sicurezza e della gestione delle informazioni, sviluppata in più di un decennio di attività professionale nel settore della protezione business ricoprendo diversi ruoli nell'audit interno, nello sviluppo di sistemi di sicurezza e nella consulenza.
Prima di entrare in EMC, Martin ha creato e diretto alcune organizzazioni di consulenza sulla sicurezza, concentrandosi sui mercati verticali cruciali delle infrastrutture, tecnologico, bancario e sanitario, dove ha sviluppato e immesso sul mercato programmi di sicurezza enterprise, risposta agli incident, indagini, policy e procedure di valutazione.
Martin ha conseguito il Bachelor of Engineering in ingegneria gestionale e presta spesso testimonianza davanti al Congresso degli Stati Uniti e alle agenzie governative come esperto di problematiche di protezione aziendale.
Jonathan Nguyen-Duy è responsabile dell'amministrazione di prodotti e servizi di sicurezza gestiti in Verizon Business. È responsabile dello sviluppo di soluzioni di sicurezza che affrontano una vasta serie di minacce e di requisiti di conformità. Negli ultimi tre anni, il suo team ha sviluppato sistemi anti-DDoS, la correlazione dell'intelligence relativa alla reputazione e una nuova generazione di servizi di sicurezza basati su cloud. In questo periodo, Verizon è cresciuta fino a essere riconosciuta come leader del settore della sicurezza e il maggior provider del mondo di servizi di sicurezza gestiti.
Prima di ricoprire il ruolo attuale, Nguyen-Duy è stato responsabile dello sviluppo delle procedure di business continuity, delle soluzioni di sicurezza fisica, dello storage gestito e dei servizi di hosting di Verizon. Prima di entrare in Verizon, è stato il Regional Director of Operations per l'America centrale per lo U.S. Foreign Service. Nguyen-Duy ha più di 15 anni di esperienza nel campo della sicurezza delle informazioni e della gestione dei rischi. Ha collaborato con enterprise e agenzie governative nell'affrontare le problematiche relative a conflitti armati, disordini interni, scioperi, disastri naturali, attacchi terroristici, black out, epidemie, spionaggio industriale e una vasta serie di minacce informatiche alla sicurezza.
Noto esperto di sicurezza e continuity delle operazioni, interviene regolarmente agli eventi del settore e collabora con diverse task force di sicurezza. Nguyen-Duy ha conseguito un Master in Business Administration in Marketing IT e International Business, oltre a un Bachelor of Arts in Economia internazionale presso la George Washington University.
Brian Girardi
Senior Director of Product Management,
RSA, the Security Division of EMC
David Martin
Vice President,
Chief Security Officer,
EMC Corp.
Jonathan Nguyen-Duy
Director of Global Security Services,
Verizon Business
RSA Security in breve
RSA Security in breve, settembre 2012
pagina 10
Mario Santana è entrato nel gruppo SIS (Secure Information Services) di Terremark
Worldwide nel gennaio 2006. Qui è responsabile del team di analisi SIS e si consulta con
i clienti di Terremark su argomenti di sicurezza, tecnologia e gestione dei rischi. Dopo la
fusione di Terremark con Verizon nel 2011, Santana si è impegnato per creare e integrare
una nuova organizzazione di sicurezza dalle prestazioni elevate, riprogettando le strategie,
semplificando i processi operativi e mantenendo il personale altamente qualificato.
In precedenza, Santana ha fondato un'azienda di tecnologie di gestione delle identità,
è stato consulente per SteelCloud, Inc. e ha lavorato nel campo dell'IT per più di 25 anni.
Ha lavorato con numerose organizzazioni di tutto il mondo inserite nell'elenco Fortune
1000, tra cui organizzazioni finanziarie, sanitarie e accademiche, sicurezza aeroportuale
e linee aree, catene di negozi in franchasing, aziende tecnologiche e studi legali. Ha
diretto progetti e contratti legati ai vari aspetti della gestione della sicurezza e dei rischi,
ad esempio governance aziendale, indagini ed e-discovery, risposta agli incident, furto
di proprietà intellettuale, incident interni e la valutazione di reti, sistemi e applicazioni.
Le sue specializzazioni includono conoscenza delle minacce, valutazione e limitazione,
strumentazione di rete, amministrazione della sicurezza e conformità.
Eddie Schwartz è CISO (Chief Information Security Officer) per RSA e ha 25 anni di
esperienza nel campo della sicurezza delle informazioni.
In precedenza, è stato cofondatore e Chief Security Officer di NetWitness (acquisita da EMC),
CTO di ManTech, EVP e General Manager di Global Integrity (acquisita da INS), SVP di
Operations of Guardent (acquisita da VeriSign), CISO di Nationwide Insurance, Senior
Computer Scientist in CSC e Foreign Service Officer per il Dipartimento di Stato degli Stati
Uniti. Schwartz è stato consulente di diverse aziende di sicurezza nella fase iniziale ed è
stato membro del comitato esecutivo del Banking Information Technology Secretariat (BITS).
Schwartz ha conseguito un B.I.S. in Gestione della sicurezza delle informazioni e un Master
of Science in Gestione dell'IT presso la George Mason University School of Management.
Dean Weber è un dirigente e Chief Technology Officer per CyberSecurity in CSC, dove
fornisce idee e linee guida per lo sviluppo di soluzioni e supporto per le iniziative
strategiche di sicurezza informatica.
Con più di 30 anni di esperienza nel campo della sicurezza fisica e delle informazioni,
Weber è entrato in CSC dopo essere stato Chief Technology Officer in Applied Identity,
che è stata di recente venduta a Citrix. In precedenza, è stato Chief Security Architect
in Teros, un produttore leader del settore di gateway di sicurezza per applicazioni,
anch'esso acquisito da Citrix. È stato responsabile dello sviluppo e dell'implementazione
di distribuzioni di soluzioni, inclusa la raccolta di intelligence e valutazioni in TruSecure/
ICSA Labs (ora Verizon Business Security Solutions). Weber ha contribuito a fondare
un grande rivenditore-integratore del Midwest, specializzato nella progettazione e
nell'implementazione di architetture sicure per clienti del settore sia pubblico che
privato, di cui è stato vicepresidente tecnico per molti anni. Inoltre ha trascorso diversi
anni nella Marina degli Stati Uniti con mansioni di sicurezza fisica ed elettronica.
Weber interviene spesso agli eventi sulla sicurezza delle informazioni quali InfoWorld,
ITEC, InfoSec Europe, InfraGard, Secret Service Security Roundtable, ISSA e diversi
appuntamenti del settore.
Mario Santana
Vice President of Secure
Information Services,
Terremark, una società di Verizon
Eddie Schwartz
Vice President e CISO,
RSA, the Security Division of EMC
Dean Weber
Chief Technology Officer
of Cybersecurity, CSC
RSA Security in breve
RSA Security in breve, settembre 2012
pagina 11
SOLUZIONI PER LA SICUREZZAI prodotti e i servizi descritti di seguito osservano quanto illustrato nel presente documento. Non è un elenco completo di soluzioni applicabili, ma piuttosto un punto di partenza per i professionisti della gestione della protezione e dei rischi interessati a conoscere alcune opzioni di soluzioni e servizi disponibili.
Servizi di sicurezza gestiti di CSC
I servizi di sicurezza gestiti di CSC vengono distribuiti tramite i centri operativi di sicurezza integrati in tutto il mondo e offrono una valida alternativa alla gestione automatica delle funzioni di sicurezza. I servizi di sicurezza gestiti di CSC consentono alle organizzazioni di soddisfare in modo molto efficiente gli obblighi in materia di sicurezza in un ambiente con budget fissi, risorse competenti limitate, rigide regole normative e un panorama di crescenti minacce. Una gamma completa di offerte garantisce una protezione informatica personalizzata, dal monitoraggio e dalla gestione del core all'analisi più sofisticata e alla protezione della sicurezza informatica all'avanguardia tramite il rilevamento delle minacce avanzate, l'intelligence sulle minacce globali, la consapevolezza situazionale e le funzionalità relative a governance, rischi e conformità. CSC è attualmente uno dei pochi service provider di sicurezza gestita indipendente dai vendor per il mid-market e le enterprise di grandi dimensioni, che integra i migliori strumenti disponibili presso un'ampia serie di vendor leader del settore con la proprietà intellettuale di CSC.
Analisi di RSA® Security
La soluzione di analisi di RSA® Security è progettata per offrire alle organizzazioni la consapevolezza situazionale necessaria per gestire le problematiche di sicurezza più urgenti. Offrendo una visibilità a livello di enterprise sui dati del traffico di rete e degli eventi del registro, il sistema di analisi di RSA Security consente alle organizzazioni di avere una panoramica completa dell'ambiente IT, permettendo agli analisti della sicurezza di assegnare rapidamente una priorità alle minacce, indagare su di esse, prendere decisioni relative alla risoluzione e intraprendere un'azione. L'architettura dati distribuita della soluzione di analisi di RSA Security è stata progettata per raccogliere e analizzare grandi volumi di informazioni (centinaia di terabyte o più) a una velocità molto elevata utilizzando più modelli di analisi. La soluzione è inoltre in grado di integrare l'intelligence esterna sulle minacce relativa agli strumenti, alle tecniche e alle procedure più recenti utilizzati dalla community degli attacker e di aiutare le organizzazioni a tenere traccia delle risposte alle problematiche di sicurezza identificate tramite la soluzione e a gestirle. La versione commerciale della piattaforma di analisi di RSA Security sarà disponibile dalla fine del 2012.
Servizi di sicurezza gestiti di Verizon
Verizon è un partner per le comunicazioni, la sicurezza e l'IT globale per business e amministrazioni con una delle reti IP pubbliche con il maggior numero di connessioni al mondo. Verizon offre la serie più completa di servizi di sicurezza gestiti, con il supporto di più di 1.200 esperti in 30 paesi. Verizon utilizza la propria tecnologia di correlazione e classificazione proprietaria SEAM (State and Event Analysis Machine) per filtrare milioni di eventi di sicurezza innocui e gestisce solo gli incident che più probabilmente costituiscono una minaccia. Questa tecnologia, unitamente a una grande quantità di intelligence sulle minacce e la vulnerabilità generata dall'estesa rete globale di Verizon, consente alle aziende di affrontare un'ampia gamma di minacce informatiche e di soddisfare i requisiti di conformità. Per questo motivo Verizon è considerata un leader del settore della sicurezza da società di analisi quali Gartner, Forrester, Frost & Sullivan e altre. Per il medesimo motivo migliaia di enterprise e di agenzie governative si affidano a Verizon per proteggere i dati business e la relativa infrastruttura, oltre che per soddisfare gli standard e le normative di sicurezza.
EMC2, EMC, il logo EMC, RSA, enVision, Archer e il logo RSA sono marchi o marchi registrati di EMC Corporation negli
Stati Uniti e in altri paesi. Tutti gli altri marchi di prodotti o servizi citati nel presente documento appartengono ai
rispettivi proprietari. © Copyright 2012 EMC Corporation. Tutti i diritti riservati.
h11031-SIEM_BRF_0912
INFORMAZIONI SU RSA
RSA, The Security Division of EMC, è il principale fornitore di soluzioni di sicurezza
e protezione, gestione dei rischi e della conformità volte ad accelerare le attività
commerciali. RSA aiuta le maggiori organizzazioni di livello mondiale a risolvere le
sfide relative alla protezione più complesse e delicate. Tra queste esigenze compaiono
la gestione dei rischi organizzativi, la sicurezza dell'accesso da dispositivi mobili,
l'attestazione di conformità e la protezione degli ambienti virtuali e cloud.
Grazie all'associazione di controlli business-critical concernenti accertamento di
identità, crittografia e gestione di chiavi, SIEM, prevenzione della perdita di dati
e protezione contro le frodi con funzionalità eGRC e servizi di consulenza leader
del settore, RSA garantisce sicurezza e visibilità a milioni di identità utente, alle
transazioni da questi eseguite e ai dati che vengono generati. Per maggiori
informazioni: italy.rsa.com e italy.emc.com
italy.rsa.com
RSA Security in breve, ottobre 2011
Top Related