IBM Security Systems offre nuove funzionalità di security intelligence

Uno degli argomenti più convincenti a favore della security intelligence è l'efficienza operativa: un migliore uso delle risorse umane, del tempo e dell'infrastruttura. È la capacità di incorporare diverse tecnologie di sicurezza e di rete in un sistema integrato, anziché in prodotti che operano in maniera indipendente.

Il focus sulla security intelligence è particolarmente rilevante nel momento in cui la responsabilità della sicurezza viene sempre più affidata ai team di gestione di rete. È quindi opportuno far corrispondere a questo consolidamento di responsabilità a livello operativo un consolidamento a livello di intelligence. Questo significa pensare in termini di supporto di più compiti in un'unica piattaforma e di sviluppo interfunzionale di competenze in tutta l'organizzazione per poi implementare l'accesso sulla base dei ruoli. La security intelligence inoltre apporta valore ad altre aree dell'IT, quali la localizzazione di problemi del sistema, problemi di rete, supporto utente e analisi dell'autorizzazione.

La security intelligence consente alle organizzazioni di usare tool integrati su un framework comune, e di sfruttare un insieme di dati unificati per affrontare i problemi sull'intero spettro della sicurezza. Ciò può essere illustrato in cinque dei più importanti "casi d'uso" nei quali la security intelligence si dimostra di particolare valore.

Senza una tecnologia automatizzata, la business intelligence analytics è difficile da eseguire. I dati che consentono di comprendere ad esempio i risultati di un inventario, catene di fornitura, ecc. sono disponibili ma organizzati in compartimenti stagni in applicazioni e database diversi. Tocca all'analista raccogliere i dati provenienti da tutte queste fonti e immetterli in fogli di calcolo o database per eseguire l'analisi manuale. L'analisi della sicurezza pone problemi simili e la security intelligence fornisce efficienze simili. Dal punto di vista della sicurezza, i dati possono trovarsi in tre tipi di silos:

1. Dati racchiusi in dispositivi, applicazioni e database di sicurezza disparati
2. Dati raccolti da prodotti, applicazioni, ecc. dedicati a un'unica funzione, che creano in effetti un altro silos. È un altro database in cui dati vengono archiviati, ma che non è in comunicazione o coordinamento, ad esempio, con il database di configurazione
3. Silos di dati dell'organizzazione, segregati per unità di business, gruppo operativo, reparto, ecc.

Nei primi due casi, la security intelligence smantella i silos integrando i feed di dati provenienti da prodotti disparati in un framework comune per l'analisi automatizzata tra diverse tecnologie di sicurezza e IT. Dal punto di vista della sicurezza, vengono cosî cosolidate tutte le funzionalità di altissimo livello di rilevazione e valutazione del rischio che la telemetria della security intelligence è in grado di fornire. Dal punto di vista del CIO, la riduzione di questi silos consente la razionalizzazione dei prodotti di sicurezza, altrimenti gestiti sulla base del singolo prodotto. Il terzo caso richiede una notevole collaborazione tra gruppi tipicamente separati, il che significa un riallineamento dei processi e delle responsabilità e probabilmente una certa pressione esercitata dal management.

Lo schiacciante volume cumulativo di tutti questi dati disparati amplifica il problema in modo esponenziale. Ciascuno di questi silos può creare enormi volumi di dati, in diversi formati, per diversi scopi e, in alcuni casi, diverse politiche aziendali e perfino requisiti di conformità.

Solo una security intelligence automatizzata può gestire con efficacia petabyte di dati correlati alla sicurezza e analizzarli attraverso i vari silos organizzativi e operativi.

In pochi anni, man mano che le imprese si sono aperte al commercio basato su Internet e agli utenti remoti, la sicurezza è passata da un modello basato sul perimetro con tutte le policy incentrate sul firewall, alla sicurezza distribuita. La sicurezza si concentra ora sugli host, sulle applicazioni e sul contenuto delle informazioni che si spostano al di fuori dell'organizzazione.

Le intrusioni mirate, sofisticate, sono in genere sfaccettate e articolate in più stadi, difficili da rilevare e molto difficili da eliminare; le Advanced Persistent Threat (APT) sono caratterizzate dalla tenacia degli hacker e dalle risorse a loro disposizione.

È necessario applicare un'intelligenza globale alle tecnologie di sicurezza eterogenee che sono state sviluppate in risposta all'evoluzione dello scenario delle minacce. Come osservato nella discussione sul contesto della sicurezza, un'attività che appare innocua a una parte di un'infrastruttura può rivelarsi una minaccia quando tali dati sono correlati con altre fonti.

Cosî, ad esempio, un hacker potrebbe disabilitare il logging, ma non bloccare l'attività di rete. Le applicazioni proprietarie potrebbero non produrre i log, alcune parti della rete potrebbero restare senza firewall. In questi casi la security intelligence può comunque identificare le applicazioni e i servizi attivi tra l'host e la rete e segnalare una potenziale minaccia.

La security intelligence è assolutamente essenziale per un rilevamento delle frodi efficace. L'ingrediente chiave, oltre alla telemetria di rete, ai dati provenienti dall'infrastruttura di switching e routing e allo strato di protezione dei dispositivi di sicurezza, è la comprensione delle informazioni relative agli utenti ed alle applicazioni Il rilevamento delle frodi richiede il monitoraggio di tutto ciò che accade attraverso la rete: attività ed eventi di rete, attività degli host e delle applicazioni e attività del singolo utente. La security intelligence consente di legare l'utente a un particolare asset. Collegando tra loro rete, server DNS e attività dell'applicazione con le informazioni di directory, ad esempio, la security intelligence può collegare un utente specifico a uno specifico indirizzo IP per una specifica sessione VPN.

La security intelligence fornisce la struttura portante per la gestione del rischio attraverso l'analisi dell'impatto e la modellazione delle minacce: rappresenta la differenza tra reagire agli attacchi sulla rete e proteggere proattivamente i propri asset più importanti.

L'analisi dell'impatto si basa sul valore che un'impresa assegna a un particolare asset, e sulle conseguenze negative per il business nell'eventualità di una sua compromissione. La security intelligence affronta questo aspetto mediante il rilevamento e la classificazione degli asset e dei dati, per identificare gli asset critici. Inoltre risponde a domande quali: Qual è il livello di esposizione dell'asset? Ha accesso diretto a Internet? Ha vulnerabilità note per le quali vi sono exploit noti?

La modellazione delle minacce tiene conto di tutti questi fattori e di altri, identificando non solo le vulnerabilità sul sistema target, ma le possibili vie di attacco in base allo sfruttamento dei punti deboli tra il target e internet: inefficace progettazione delle regole del firewall, liste di controllo degli accessi (ACL) del router mal configurate, ecc.

Fonte: IBM

La conformità è un caso d'uso fondamentale per la security intelligence. Questa tematica indirizza svariati requisiti di compliance con particolare attenzione a tutti gli aspetti del monitoring della sicurezza. Cosî, ad esempio, la security intelligence potrebbe non soddisfare tutti i requisiti PCI, ma sicuramente aiuta a soddisfare tutti i requisiti di monitoring PCI in un modo in cui SIEM e gestione dei log da soli non potrebbero certamente fare.

La security intelligence offre i dati che servono come fondamento per fornire e dimostrare i requisiti di verifica e audit per tutte le normative. Attraverso un monitoraggio generale su tutta l'infrastruttura IT – eventi, modifiche di configurazione, attività di rete, applicazioni, attività degli utenti – la security intelligence consolida le funzioni di conformità in un'unica suite di prodotti, anziché affidarsi a più prodotti singoli, ciascuno dei quali fornisce la propria tessera del puzzle di verifica.

La security intelligence, come la business intelligence, consente alle organizzazioni di prendere decisioni più intelligenti. Consente alle organizzazioni di elaborare più informazioni, in modo più efficiente, nell'intera infrastruttura IT.

Applicare la tecnologia di business intelligence consente letteralmente alle organizzazioni di fare di più con meno: anziché costringere gli analisti a dedicare ore preziose a studiare una frazione dei dati disponibili, la business intelligence automatizza l'analisi su tutti i dati disponibili e fornisce informazioni basate sui ruoli, specifiche per ogni attività.

Cosi' come l'information technology deve fornire soluzioni per l'automazione dei processi di business – per gli acquisti, la logistica, l'ERP, ecc., allo stesso modo la security intelligence abilita l'automazione della sicurezza: comprendere il rischio, monitorare l'infrastruttura per rilevare minacce e vulnerabilità e prioritizzare i rimedi.

Centralizzando i tool di sicurezza e i dati dell'infrastruttura IT, la security intelligence consente una gestione consolidata e un uso più efficiente delle risorse dedicate alla sicurezza. Le organizzazioni migliorano la loro situazione di sicurezza senza costi gestionali e di personale supplementari e senza la spesa di acquisto, manutenzione e integrazione di diversi prodotti che soddisfano una singola esigenza.

La security intelligence produce vantaggi chiave in termini di costo ed efficienza di business:

• Riduce il costo associato all'implementazione e al funzionamento. Anziché aggiungere manodopera, si liberano risorse umane che vengono dedicate a rendere la sicurezza rilevante per il business.
• Rende più semplice ed economica l'acquisizione dei prodotti. Le imprese acquistano un'unica piattaforma, anziché diversi prodotti.
• Facilita l'implementazione attraverso una piattaforma unificata, anziché diversi prodotti, che devono essere integrati per avvicinarsi ad una funzionalità di security intelligence accettabile.
• Offre un'ampia classe di funzionalità di sicurezza per le organizzazioni, in precedenza possibili solo per le imprese più sofisticate.
• Automatizza la raccolta, la normalizzazione e l'analisi di enormi quantità di dati di sicurezza, provenienti da silos tecnici e organizzativi. Questa funzionalità applica il "rich context" a ogni analisi.
• Potenzia il rilevamento delle minacce, basandosi sul contesto per scoprire possibili attacchi che potrebbero passare inosservati con una specifica tecnologia di sicurezza.
• Migliora la risposta agli incidenti grazie a un rilevamento rapido e accurato.
• Realizza il ROI del personale. Le organizzazioni possono implementare nuovi servizi di sicurezza, come il monitoraggio delle minacce a livello mondiale, senza manodopera supplementare.
• Consente alle imprese di eseguire programmi di sicurezza di estrema robustezza, elaborare miliardi di record al giorno e definire una serie di azioni ad alta priorità ogni 24 ore.

Q1 Labs QRadar Security Intelligence Platform fornisce una serie altamente integrata di soluzioni, studiate per aiutare le imprese a raggiungere una security intelligence totale, implementata su un sistema operativo unificato e gestita attraverso una singola console.

Supportato da un potente sistema di SIEM, QRadar presenta una funzionalità di security intelligence esclusiva, integrando una serie di applicazioni di sicurezza e monitoraggio della rete di alto valore in una soluzione unificata, che consente alle imprese di implementare risorse per la sicurezza e l'attività operativa di rete sulla base di un'analisi di un insieme completo di fonti di dati.

La soluzione QRadar è costruita sul Security Intelligence Operating System di Q1 Labs, che consente all'azienda di fornire una serie di servizi comuni, incentrati su integrazione dei dati, normalizzazione, warehousing e archiviazione e business analytics. Questa struttura unificata produce una funzionalità uniforme per il flusso di lavoro, reporting, alerting e dashboarding. Vengono cosî supportate politiche e processi a livello dell'intera organizzazione, identificando rapidamente le minacce e valutando il rischio, per soddisfare i requisiti di informazioni e risposta sulla sicurezza a livello di audit e revisione operativa manageriale e dirigenziale.

A completamento di un solido nucleo di funzionalità di SIEM e gestione dei log, la tecnologia QRadar QFlow fornisce un approfondito monitoraggio della rete, con capacità sofisticate di rilevamento delle anomalie di comportamento, che aggiungono il "rich context" ad analisi che potrebbero altrimenti fare affidamento unicamente ai dati di log.

Il monitoraggio della rete legato alle applicazioni di QRadar supporta informazioni basate sullo stato per tutti i flussi a livello applicativo.

Inoltre, QRadar Security Intelligence Platform estende le sue funzionalità di security intelligence agli ambienti di rete virtuali, grazie alla tecnologia QRadar VFlow, assicurando un elevato livello di rilevamento delle minacce e gestione del rischio a supporto del consolidamento del data center e delle iniziative di cloud pubblico e privato.

Il modulo di valutazione del rischio, QRadar Risk Manager, fornisce una revisione dettagliata della configurazione che aggiunge il contesto della situazione di rischio che SIEM da solo non è in grado di offrire. QRadar Risk Manager valuta il rischio e modella le potenziali minacce rivolte ad asset di alto valore, determinando le possibili vie di attacco sulla base del patrimonio di dati a cui attinge.

Fonte: IBM

Security Intelligence Operating System fornisce una piattaforma per continuare ad aggiungere nuovi moduli di sicurezza e accogliere nuovi casi d'uso incentrati sulla protezione intelligente e sulla valutazione intelligente del rischio dell'infrastruttura d'impresa. Questo elimina l'onere di nuovi livelli di integrazione dei dati, diversi requisiti di storage, nuovi motori di business analytics e una diversa infrastruttura di reporting per accogliere nuove applicazioni di sicurezza e potenziali fonti di dati.