Security intelligence in tempo reale per un
Transcript
Security intelligence in tempo reale per un
Security intelligence in tempo reale per un maggiore livello di visibilità e protezione delle informazioni Eliminare i grattacapi della gestione dei log e ottenere le informazioni necessarie per migliorare lo stato della sicurezza dell’organizzazione Le organizzazioni lavorano secondo metodiche innovative, grazie alle nuove tecnologie per le infrastrutture IT come la virtualizzazione, il cloud computing e la mobilità, che stanno cambiando il modo in cui gli utenti interagiscono con le informazioni e tra di loro. Mano a mano che le aziende diventano più interconnesse e distribuite, l’agilità delle loro attività aumenta, ma gli specialisti della sicurezza delle informazioni devono affrontare nuove sfide per mantenere una sicurezza e un monitoraggio efficaci. Con l’obiettivo di soddisfare i requisiti di conformità, molte aziende hanno sicuramente implementato uno strumento per la raccolta e la gestione dei log, ma tale strumento è in grado di offrire informazioni in tempo reale (unitamente all’analisi) degli eventi di sicurezza? È possibile ridurre il notevole volume di dati sulla sicurezza che viene generato e acquisire la visibilità necessaria per applicare controlli continui delle policy e gestire minacce sempre più sofisticate? Può anche succedere che lo strumento di gestione dei log in uso non soddisfi più adeguatamente i requisiti di conformità: le disposizioni normative stanno cambiando e la raccolta dei log spesso non è sufficiente. Per ridurre il rischio di errori dei controlli, è necessario essere in grado di generare rapporti che consentano di analizzare le eventuali anomalie, offrendo nel contempo ai revisori sempre più esigenti una dimostrazione concreta delle misure che adottate in merito. WHITE PAPER Indice Monitoraggio dell’attività degli utenti........................................................................................................................ 1 Una soluzione flessibile, scalabile e facile da installare........................................................................................... 1 Reportistica per tutti i destinatari.............................................................................................................................. 1 Rilevamento efficiente delle anomalie...................................................................................................................... 2 Il contributo di NetIQ................................................................................................................................................. 3 Conclusioni............................................................................................................................................................... 3 Informazioni su NetIQ............................................................................................................................................... 4 WHITE PAPER: Security intelligence in tempo reale per un maggiore livello di visibilità e protezione delle informazioni Monitoraggio delle attività degli utenti Secondo il Rapporto sulle investigazioni delle violazioni di dati nel 2011 di Verizon, l’86 percento delle organizzazioni che ha subito una violazione l’ha scoperta grazie a terze parti (generalmente le forze dell’ordine). Di queste organizzazioni oggetto di violazione, il 70 percento ha trovato prove all’interno dei propri file di log che avrebbero potuto dare un’indicazione della violazione, ma non sono state riconosciute. Ovviamente, benché le organizzazioni raccolgano i giusti dati, hanno difficoltà a interpretarli correttamente e in tempo. Quando si tratta di reportistica di sicurezza e gestione degli eventi, le persone rappresentano spesso l’anello debole della catena, soprattutto se i processi di un’azienda sono prevalentemente manuali. L’analisi manuale dei log per identificare gli eventi di sicurezza è un processo lungo e spesso non produce la security intelligence necessaria per intraprendere azioni correttive. Maggiore è il tempo impiegato per rilevare una violazione, più tempo ha a disposizione un hacker per sfruttare una falla nel sistema. Anche quando si trova l’indicazione di un possibile problema, è possibile identificarne la provenienza o capire chi sta compromettendo la propria sicurezza? Ed è possibile farlo abbastanza rapidamente da identificare in tempo reale i problemi che si stanno verificando? In un ambiente caratterizzato da budget statici sempre più ristretti o bloccati e team oberati di lavoro, le organizzazioni devono lavorare in modo più efficiente per massimizzare tutte le risorse. Più sono gli aspetti relativi alla reportistica di sicurezza e alla gestione degli eventi possibili da automatizzare (ad esempio, monitoraggio, correlazione e persino risoluzione), più velocemente si riuscirà a rilevare e risolvere le anomalie e più tempo e impegno potrà dedicare il team all’analisi dei veri problemi. Inoltre, se si riesce a collegare le informazioni sulla sicurezza e la gestione degli eventi con capacità di monitoraggio delle attività degli utenti, sarà possibile collegare quest’ultimi ad azioni specifiche all’interno dei sistemi. Ciò renderà più diretta la conformità alle normative. Inoltre, più visivamente si presentano le informazioni, più facile sarà per tutti, specialisti e non, comprenderle. Una soluzione flessibile, scalabile e facile da installare Il mercato propone tantissimi strumenti di gestione, compresi alcuni scaricabili gratuitamente. Se lo strumento utilizzato da un’azienda si limita a gestire i log ma l’azienda necessita di maggiore protezione, sarà necessario installare altri strumenti o software per aggiungere ulteriori funzionalità di sicurezza. Purtroppo, tali azioni possono avere ripercussioni sulle attività aziendali o causare problemi di implementazione o integrazione. Se il panorama tecnologico o il modello operativo di un’azienda sta cambiando, uno strumento statico o Figura 1. Il monitoraggio dell’attività degli utenti collega gli stessi inflessibile può non restare al passo con le esigenze in ad azioni specifiche all’interno dei vari sistemi. via di cambiamento. Analogamente, potrebbe non essere in grado di affrontare i nuovi tipi di minacce e violazioni potenziali, o le sfide poste dalla gestione e dall’accesso degli utenti privilegiati. L’ideale sarebbe implementare un’unica soluzione in grado di fornire sia capacità di gestione dei log e informazioni di sicurezza che gestione degli eventi (SIEM), che offrono intelligence in tempo reale e visibilità sui sistemi aziendali, facilitano la riduzione delle minacce alla sicurezza, migliorano le attività e consentono l’applicazione. Reportistica per tutti i destinatari Un’appropriata reportistica per diversi percorsi aziendali è essenziale per garantire una chiara comprensione dei rischi e delle minacce e per soddisfare i requisiti di controllo e conformità. Se un’azienda si affida a un semplice strumento di gestione dei log, l’attività di reportistica può essere molto complessa. La raccolta dei dati, l’esportazione in un’applicazione come Microsoft Excel per comprenderli e quindi la presentazione visiva delle informazioni utilizzando un’applicazione come Microsoft PowerPoint è un processo lungo e soggetto a errori. Con uno strumento più sofisticato è possibile produrre rapporti in modo facile e veloce, in alcuni casi nel giro di pochi secondi, utilizzando modelli predefiniti che offrono una ricca formattazione grafica. È possibile includere la gerarchia delle WHITE PAPER: Security intelligence in tempo reale per un maggiore livello di visibilità e | 1 protezione delle informazioni | 1 informazioni più adatta ai vari destinatari, come le informazioni di livello superiore per i Chief Risk Officer (CRO) e i Chief Security Officer (CSO), insieme alla possibilità di fornire informazioni e prove dettagliate sugli eventi segnalati, nonché dati comparativi o cronologici laddove pertinenti. In tal modo, non solo si risparmierà tempo e si ridurrà il rischio di errori, ma si potranno anche presentare le informazioni in modo più accessibile e comprensibile e soddisfare così tutti i destinatari. Inoltre, mostrando i risparmi di tempo e denaro ottenuti grazie a una ricerca e una reportistica potente e dinamica, è possibile dimostrare rapidamente il ritorno dell’investimento ottenuto evolvendosi dai sistemi di gestione manuale o tattica dei log. Rilevamento efficiente delle anomalie In genere non è facile identificare gli eventi che rappresentano problemi reali o potenziali per cui è necessaria un’ulteriore indagine. Dopo tutto, non tutte le anomalie indicano una potenziale minaccia o violazione alla sicurezza. Ad esempio, un picco nel numero di login in un dato pomeriggio diverso dal normale modello di accessi può essere facilmente spiegato sulla base dei cicli noti delle attività aziendali e dei sistemi correlati. Ad esempio, il picco potrebbe essere dovuto ai partner che accedono a un’applicazione di controllo delle vendite, operazione effettuata solo l’ultimo giorno di ogni trimestre aziendale. Una visualizzazione monodimensionale della deviazione da una linea di base non fornisce una security intelligence che consenta di identificare i veri problemi. Serve uno strumento in grado di aggregare gli eventi e di identificare automaticamente le incongruenze nel proprio ambiente aziendale, senza necessità di creare regole di correlazione basate sull’esatta conoscenza degli elementi ricercati. Lo strumento scelto deve consentire di analizzare le anomalie da un numero praticamente illimitato di punti di vista e di studiarle sulla base di qualsiasi combinazione di attributi e finestre temporali. Tale strumento offre la flessibilità e il controllo necessari per ricercare i modelli degli eventi e i rapporti causali che potrebbero indicare una deviazione e permette di determinare con esattezza la natura di una minaccia. Ad esempio, potrebbe essere identificata questa sequenza: un amministratore crea un account utente privilegiato che viene utilizzato immediatamente per accedere a un dato server e copiare le informazioni su un dispositivo di storage esterno. Al logoff, l’account viene rapidamente eliminato e i log relativi vengono cancellati dal file server. Con una security intelligence del genere si è meglio informati: è possibile vedere il modello che indica un’anomalia più rapidamente e facilmente, senza necessità di correlare manualmente la serie di eventi, potendo così investigare in maniera puntuale il problema. Idealmente, tale strumento dovrebbe fornire metodi di analisi delle anomalie sia visivi che automatizzati. Un metodo visivo, come un dashboard, consente di analizzare le linee di base e le tendenze cercando i picchi di attività verso l’alto e verso il basso e confrontandoli con il modello di comportamento normale. Se si possono visualizzare dati sia cronologici che in tempo reale, si potrà creare una maggiore security intelligence, allo scopo sia di ricreare lo stato cronologico del sistema nel momento in cui si è verificata una singola anomalia che di capire in che modo lo stato della sicurezza e della conformità cambia nel tempo. Figura 2. Un dashboard di sicurezza rende immediatamente disponibile un’intelligence in tempo reale e utilizzabile. Per quanto possa essere efficace l’analisi visiva, tuttavia, la sua potenza viene rafforzata quando è abbinata a una capacità di rilevamento delle anomalie completamente automatizzata che fornisca una maggiore profondità, ampiezza e flessibilità nel rilevamento delle deviazioni. Quando lo strumento rileva un evento che devia dalle normali attività, genera istantaneamente un avviso in tempo reale, spingendo uno specialista della sicurezza ad analizzarlo immediatamente. Potrebbe persino essere possibile configurare tale strumento in modo da avviare automaticamente un processo di risoluzione in linea con i processi interni, come la disabilitazione di un account utente. WHITE PAPER: Security intelligence in tempo reale per un maggiore livello di visibilità e | 2 protezione delle informazioni | 2 Il contributo di NetIQ NetIQ comprende l’importanza e le sfide insite nella creazione di una security intelligence in tempo reale, che consente alle organizzazioni di migliorare lo stato della sicurezza generale e prendere decisioni più informate. Le soluzioni SIEM tradizionali che offrono funzionalità avanzate sono spesso molto complesse. Per ottenere un maggiore valore dallo strumento SIEM impiegato, i clienti necessitano di soluzioni semplici da utilizzare e installare, in grado di adattarsi rapidamente ai loro ambienti in continua evoluzione e di offrire un’intelligence reale e utilizzabile (le informazioni giuste al momento giusto ai giusti stakeholder), per meglio identificare e ridurre i rischi di sicurezza. NetIQ® Sentinel™ 7 offre una funzionalità SIEM completa che elimina la complessità di altri kit di strumenti SIEM e introduce e massimizza la capacità del team di sicurezza IT di allineare la soluzione SIEM alle esigenze organizzative. NetIQ Sentinel 7 combina la gestione dei log con la funzionalità SIEM in un’unica soluzione unificata. Garantisce alle organizzazioni una visibilità in tempo reale sull’ampia gamma di attività IT per ridurre le minacce alla sicurezza, migliorare gli interventi per la sicurezza e applicare automaticamente controlli delle policy in ambienti fisici, virtuali e cloud. Offre inoltre una soluzione SIEM efficiente combinando avanzate funzionalità di intelligence, rilevamento delle anomalie e monitoraggio dell’attività utente in tempo reale, per fornire un meccanismo di segnalazione precoce e una valutazione più accurata delle attività IT. E, poiché è meno complessa da installare e utilizzare rispetto a molti sistemi SIEM tradizionali, rende la security intelligence accessibile a tutte le organizzazioni. NetIQ Sentinel è inoltre capace di integrarsi perfettamente con i sistemi di gestione delle identità per collegare gli utenti ad attività specifiche in tutti gli ambienti. Diventa così più semplice identificare i rischi critici, accelerare notevolmente i tempi di reazione e risolvere rapidamente le minacce e le violazioni di sicurezza prima che abbiano un impatto sulle attività aziendali. Conclusioni TEMPO REALE Una soluzione SIEM e di gestione dei log semplice ma potente come NetIQ Sentinel offre la security intelligence necessaria per soddisfare i requisiti di conformità e proteggere meglio l’azienda. Sarà possibile fare un uso migliore del tempo e delle risorse grazie a processi automatizzati che svincolano il personale della sicurezza dalle attività manuali e consente di concentrarsi sui compiti davvero importanti. Sarà anche possibile soddisfare i destinatari interni con una reportistica grafica che permette di conoscere lo stato della sicurezza dell’organizzazione e di avere fiducia nelle attività del team. Dashboard di security intelligence Test e creazione ruoli per correlazione di sicurezza Motore di correlazione Motore di rilevamento anomalie RICERCA CONTESTO Dati di identità Informazioni su risorse Informazioni su vulnerabilità Firewall Applicazioni Eventi BUS DEI MESSAGGI Sistemi operativi Sistemi per la gestione delle identità IPS ARCHIVIO EVENTI Rilevatori di vulnerabilità Figura 3. I componenti dell’architettura di NetIQ Sentinel attivano intelligence e visibilità in tempo reale degli eventi IT di cui le organizzazioni hanno bisogno. WHITE PAPER: Security intelligence in tempo reale per un maggiore livello di visibilità e | 3 protezione delle informazioni | 3 Informazioni su NetIQ NetIQ è un produttore di software costantemente impegnato nella realizzazione di soluzioni che favoriscono il successo dei clienti. I clienti e i partner scelgono NetIQ per proteggere le informazioni e gestire la complessità di ambienti applicativi aziendali dinamici e altamente distribuiti a costi ridotti. L’offerta di NetIQ comprende soluzioni scalabili e automatizzate per le identità, la sicurezza e la governance e per la gestione delle attività IT, che consentono alle organizzazioni di offrire, misurare e gestire in modo sicuro i servizi di elabora zione in ambienti fisici, virtuali e di cloud computing. Queste soluzioni e l’approccio pratico e orientato ai clienti di NetIQ alla risoluzione delle continue sfide IT consente alle organizzazioni di ridurre costi, complessità e rischi. Per ulteriori informazioni sulle note soluzioni di software di NetIQ, visitare il sito www.netiq.com. Questo documento può contenere inesattezze tecniche o errori tipografici. Le informazioni ivi contenute vengono modificate periodicamente. Le modifiche possono essere incorporate nelle nuove versioni del documento. NetIQ Corporation si riserva il diritto di apportare in qualsiasi momento miglioramenti o modifiche al software descritto in questo documento. Copyright © 2012 NetIQ Corporation e affiliate. Tutti i diritti riservati. 562-IT1009-001 DS 07/12 ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, the cube logo design, Directory and Resource Administrator, Directory Security Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, the NetIQ logo, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator, VigilEnt e Vivinet sono marchi o marchi registrati di NetIQ Corporation o delle sue affiliate negli Stati Uniti. Tutti gli altri nomi di aziende e prodotti citati nel documento vengono utilizzati esclusivamente a scopo identificativo e possono essere marchi o marchi registrati delle rispettive aziende. Italy - Milan Italy - Rome Via Varese, 6/A 20037 Paderno Dugnano (MI) Tel: +39 (0) 2 99 06 02 01 Fax: +39 (0) 2 9904 4784 [email protected] www.NetIQ.com http://community.netiq.com Via Tirone 11 00146 Rome Italy Tel: +39 06 45 213 421 Fax: +39 06 45 213 301 Email : [email protected] Per un elenco completo dei nostri uffici in Nord America, Europa, Medioriente, Africa, Asia-Pacifico e America Latina, visitate www.netiq.com/contacts. Seguiteci: WHITE PAPER: Security intelligence in tempo reale per un maggiore livello di visibilità e | 4 protezione delle informazioni | 4