Security intelligence in tempo reale per un

Security intelligence in tempo reale
per un maggiore livello di visibilità
e protezione delle informazioni
Eliminare i grattacapi della gestione dei log e ottenere le informazioni
necessarie per migliorare lo stato della sicurezza dell’organizzazione
Le organizzazioni lavorano secondo metodiche innovative, grazie alle nuove
tecnologie per le infrastrutture IT come la virtualizzazione, il cloud computing
e la mobilità, che stanno cambiando il modo in cui gli utenti interagiscono
con le informazioni e tra di loro. Mano a mano che le aziende diventano più
interconnesse e distribuite, l’agilità delle loro attività aumenta, ma gli specialisti
della sicurezza delle informazioni devono affrontare nuove sfide per mantenere
una sicurezza e un monitoraggio efficaci.
Con l’obiettivo di soddisfare i requisiti di conformità, molte aziende hanno
sicuramente implementato uno strumento per la raccolta e la gestione dei log,
ma tale strumento è in grado di offrire informazioni in tempo reale (unitamente
all’analisi) degli eventi di sicurezza? È possibile ridurre il notevole volume di dati
sulla sicurezza che viene generato e acquisire la visibilità necessaria per applicare
controlli continui delle policy e gestire minacce sempre più sofisticate?
Può anche succedere che lo strumento di gestione dei log in uso non soddisfi
più adeguatamente i requisiti di conformità: le disposizioni normative stanno
cambiando e la raccolta dei log spesso non è sufficiente. Per ridurre il rischio
di errori dei controlli, è necessario essere in grado di generare rapporti che
consentano di analizzare le eventuali anomalie, offrendo nel contempo ai revisori
sempre più esigenti una dimostrazione concreta delle misure che adottate
in merito.
WHITE PAPER
Indice
Monitoraggio dell’attività degli utenti........................................................................................................................ 1
Una soluzione flessibile, scalabile e facile da installare........................................................................................... 1
Reportistica per tutti i destinatari.............................................................................................................................. 1
Rilevamento efficiente delle anomalie...................................................................................................................... 2
Il contributo di NetIQ................................................................................................................................................. 3
Conclusioni............................................................................................................................................................... 3
Informazioni su NetIQ............................................................................................................................................... 4
WHITE PAPER: Security intelligence in tempo reale per un maggiore livello di visibilità e
protezione delle informazioni
Monitoraggio delle attività degli utenti
Secondo il Rapporto sulle investigazioni delle violazioni di dati nel 2011 di Verizon, l’86 percento delle organizzazioni che ha
subito una violazione l’ha scoperta grazie a terze parti (generalmente le forze dell’ordine). Di queste organizzazioni oggetto
di violazione, il 70 percento ha trovato prove all’interno dei propri file di log che avrebbero potuto dare un’indicazione della
violazione, ma non sono state riconosciute. Ovviamente, benché le organizzazioni raccolgano i giusti dati, hanno difficoltà a
interpretarli correttamente e in tempo.
Quando si tratta di reportistica di sicurezza e gestione degli eventi, le persone rappresentano spesso l’anello debole della
catena, soprattutto se i processi di un’azienda sono prevalentemente manuali. L’analisi manuale dei log per identificare gli
eventi di sicurezza è un processo lungo e spesso non produce la security intelligence necessaria per intraprendere azioni
correttive.
Maggiore è il tempo impiegato per rilevare una violazione, più tempo ha a disposizione un hacker per sfruttare una falla
nel sistema. Anche quando si trova l’indicazione di un possibile problema, è possibile identificarne la provenienza o capire
chi sta compromettendo la propria sicurezza? Ed è possibile farlo abbastanza rapidamente da identificare in tempo reale i
problemi che si stanno verificando?
In un ambiente caratterizzato da budget statici sempre più ristretti o bloccati e team oberati di lavoro, le organizzazioni
devono lavorare in modo più efficiente per massimizzare tutte le risorse. Più sono gli aspetti relativi alla reportistica
di sicurezza e alla gestione degli eventi possibili da automatizzare (ad esempio, monitoraggio, correlazione e persino
risoluzione), più velocemente si riuscirà a rilevare e risolvere le anomalie e più tempo e impegno potrà dedicare il team
all’analisi dei veri problemi.
Inoltre, se si riesce a collegare le informazioni sulla sicurezza e la gestione degli eventi con capacità di monitoraggio delle
attività degli utenti, sarà possibile collegare quest’ultimi ad azioni specifiche all’interno dei sistemi. Ciò renderà più diretta
la conformità alle normative. Inoltre, più visivamente si presentano le informazioni, più facile sarà per tutti, specialisti e non,
comprenderle.
Una soluzione flessibile, scalabile
e facile da installare
Il mercato propone tantissimi strumenti di gestione, compresi
alcuni scaricabili gratuitamente. Se lo strumento utilizzato
da un’azienda si limita a gestire i log ma l’azienda
necessita di maggiore protezione, sarà necessario
installare altri strumenti o software per aggiungere ulteriori
funzionalità di sicurezza. Purtroppo, tali azioni possono
avere ripercussioni sulle attività aziendali o causare
problemi di implementazione o integrazione.
Se il panorama tecnologico o il modello operativo di
un’azienda sta cambiando, uno strumento statico o
Figura 1. Il monitoraggio dell’attività degli utenti collega gli stessi
inflessibile può non restare al passo con le esigenze in
ad azioni specifiche all’interno dei vari sistemi.
via di cambiamento. Analogamente, potrebbe non essere
in grado di affrontare i nuovi tipi di minacce e violazioni
potenziali, o le sfide poste dalla gestione e dall’accesso degli utenti privilegiati.
L’ideale sarebbe implementare un’unica soluzione in grado di fornire sia capacità di gestione dei log e informazioni di
sicurezza che gestione degli eventi (SIEM), che offrono intelligence in tempo reale e visibilità sui sistemi aziendali, facilitano
la riduzione delle minacce alla sicurezza, migliorano le attività e consentono l’applicazione.
Reportistica per tutti i destinatari
Un’appropriata reportistica per diversi percorsi aziendali è essenziale per garantire una chiara comprensione dei rischi
e delle minacce e per soddisfare i requisiti di controllo e conformità. Se un’azienda si affida a un semplice strumento di
gestione dei log, l’attività di reportistica può essere molto complessa. La raccolta dei dati, l’esportazione in un’applicazione
come Microsoft Excel per comprenderli e quindi la presentazione visiva delle informazioni utilizzando un’applicazione come
Microsoft PowerPoint è un processo lungo e soggetto a errori.
Con uno strumento più sofisticato è possibile produrre rapporti in modo facile e veloce, in alcuni casi nel giro di pochi
secondi, utilizzando modelli predefiniti che offrono una ricca formattazione grafica. È possibile includere la gerarchia delle
WHITE PAPER: Security intelligence in tempo reale per un maggiore livello di visibilità e | 1
protezione delle informazioni | 1
informazioni più adatta ai vari destinatari, come le informazioni di livello superiore per i Chief Risk Officer (CRO) e i Chief
Security Officer (CSO), insieme alla possibilità di fornire informazioni e prove dettagliate sugli eventi segnalati, nonché dati
comparativi o cronologici laddove pertinenti.
In tal modo, non solo si risparmierà tempo e si ridurrà il rischio di errori, ma si potranno anche presentare le informazioni
in modo più accessibile e comprensibile e soddisfare così tutti i destinatari. Inoltre, mostrando i risparmi di tempo e
denaro ottenuti grazie a una ricerca e una reportistica potente e dinamica, è possibile dimostrare rapidamente il ritorno
dell’investimento ottenuto evolvendosi dai sistemi di gestione manuale o tattica dei log.
Rilevamento efficiente delle anomalie
In genere non è facile identificare gli eventi che rappresentano problemi reali o potenziali per cui è necessaria un’ulteriore
indagine. Dopo tutto, non tutte le anomalie indicano una potenziale minaccia o violazione alla sicurezza. Ad esempio, un
picco nel numero di login in un dato pomeriggio diverso dal normale modello di accessi può essere facilmente spiegato sulla
base dei cicli noti delle attività aziendali e dei sistemi correlati. Ad esempio, il picco potrebbe essere dovuto ai partner che
accedono a un’applicazione di controllo delle vendite, operazione effettuata solo l’ultimo giorno di ogni trimestre aziendale.
Una visualizzazione monodimensionale della deviazione da una linea di base non fornisce una security intelligence
che consenta di identificare i veri problemi. Serve uno strumento in grado di aggregare gli eventi e di identificare
automaticamente le incongruenze nel proprio ambiente aziendale, senza necessità di creare regole di correlazione basate
sull’esatta conoscenza degli elementi ricercati.
Lo strumento scelto deve consentire di analizzare le anomalie da un numero praticamente illimitato di punti di vista e di
studiarle sulla base di qualsiasi combinazione di attributi e finestre temporali. Tale strumento offre la flessibilità e il controllo
necessari per ricercare i modelli degli eventi e i rapporti causali che potrebbero indicare una deviazione e permette di
determinare con esattezza la natura di una minaccia.
Ad esempio, potrebbe essere identificata questa sequenza: un amministratore crea un account utente privilegiato che viene
utilizzato immediatamente per accedere a un dato server e copiare le informazioni su un dispositivo di storage esterno. Al
logoff, l’account viene rapidamente eliminato e i log relativi vengono cancellati dal file server. Con una security intelligence
del genere si è meglio informati: è possibile vedere il modello che indica un’anomalia più rapidamente e facilmente, senza
necessità di correlare manualmente la serie di eventi, potendo così investigare in maniera puntuale il problema.
Idealmente, tale strumento dovrebbe fornire metodi di
analisi delle anomalie sia visivi che automatizzati. Un
metodo visivo, come un dashboard, consente di analizzare
le linee di base e le tendenze cercando i picchi di attività
verso l’alto e verso il basso e confrontandoli con il modello
di comportamento normale. Se si possono visualizzare
dati sia cronologici che in tempo reale, si potrà creare una
maggiore security intelligence, allo scopo sia di ricreare
lo stato cronologico del sistema nel momento in cui si è
verificata una singola anomalia che di capire in che modo lo
stato della sicurezza e della conformità cambia nel tempo.
Figura 2. Un dashboard di sicurezza rende immediatamente
disponibile un’intelligence in tempo reale e utilizzabile.
Per quanto possa essere efficace l’analisi visiva, tuttavia,
la sua potenza viene rafforzata quando è abbinata a una
capacità di rilevamento delle anomalie completamente
automatizzata che fornisca una maggiore profondità,
ampiezza e flessibilità nel rilevamento delle deviazioni.
Quando lo strumento rileva un evento che devia dalle normali attività, genera istantaneamente un avviso in tempo reale,
spingendo uno specialista della sicurezza ad analizzarlo immediatamente. Potrebbe persino essere possibile configurare
tale strumento in modo da avviare automaticamente un processo di risoluzione in linea con i processi interni, come la
disabilitazione di un account utente.
WHITE PAPER: Security intelligence in tempo reale per un maggiore livello di visibilità e | 2
protezione delle informazioni | 2
Il contributo di NetIQ
NetIQ comprende l’importanza e le sfide insite nella creazione di una security intelligence in tempo reale, che consente alle
organizzazioni di migliorare lo stato della sicurezza generale e prendere decisioni più informate.
Le soluzioni SIEM tradizionali che offrono funzionalità avanzate sono spesso molto complesse. Per ottenere un maggiore
valore dallo strumento SIEM impiegato, i clienti necessitano di soluzioni semplici da utilizzare e installare, in grado di
adattarsi rapidamente ai loro ambienti in continua evoluzione e di offrire un’intelligence reale e utilizzabile (le informazioni
giuste al momento giusto ai giusti stakeholder), per meglio identificare e ridurre i rischi di sicurezza.
NetIQ® Sentinel™ 7 offre una funzionalità SIEM completa che elimina la complessità di altri kit di strumenti SIEM e introduce
e massimizza la capacità del team di sicurezza IT di allineare la soluzione SIEM alle esigenze organizzative.
NetIQ Sentinel 7 combina la gestione dei log con la funzionalità SIEM in un’unica soluzione unificata. Garantisce alle
organizzazioni una visibilità in tempo reale sull’ampia gamma di attività IT per ridurre le minacce alla sicurezza, migliorare
gli interventi per la sicurezza e applicare automaticamente controlli delle policy in ambienti fisici, virtuali e cloud.
Offre inoltre una soluzione SIEM efficiente combinando avanzate funzionalità di intelligence, rilevamento delle anomalie e
monitoraggio dell’attività utente in tempo reale, per fornire un meccanismo di segnalazione precoce e una valutazione più
accurata delle attività IT. E, poiché è meno complessa da installare e utilizzare rispetto a molti sistemi SIEM tradizionali,
rende la security intelligence accessibile a tutte le organizzazioni.
NetIQ Sentinel è inoltre capace di integrarsi perfettamente con i sistemi di gestione delle identità per collegare gli utenti ad
attività specifiche in tutti gli ambienti. Diventa così più semplice identificare i rischi critici, accelerare notevolmente i tempi di
reazione e risolvere rapidamente le minacce e le violazioni di sicurezza prima che abbiano un impatto sulle attività aziendali.
Conclusioni
TEMPO REALE
Una soluzione SIEM e di gestione dei log semplice ma
potente come NetIQ Sentinel offre la security intelligence
necessaria per soddisfare i requisiti di conformità e
proteggere meglio l’azienda. Sarà possibile fare un
uso migliore del tempo e delle risorse grazie a processi
automatizzati che svincolano il personale della sicurezza
dalle attività manuali e consente di concentrarsi sui
compiti davvero importanti. Sarà anche possibile
soddisfare i destinatari interni con una reportistica grafica
che permette di conoscere lo stato della sicurezza
dell’organizzazione e di avere fiducia nelle attività
del team.
Dashboard
di security
intelligence
Test e creazione
ruoli per
correlazione
di sicurezza
Motore di
correlazione
Motore di
rilevamento
anomalie
RICERCA
CONTESTO
Dati di identità
Informazioni su risorse
Informazioni su vulnerabilità
Firewall
Applicazioni
Eventi
BUS DEI MESSAGGI
Sistemi
operativi
Sistemi per la
gestione delle
identità
IPS
ARCHIVIO
EVENTI
Rilevatori di
vulnerabilità
Figura 3. I componenti dell’architettura di NetIQ Sentinel attivano
intelligence e visibilità in tempo reale degli eventi IT di cui le
­organizzazioni hanno bisogno.
WHITE PAPER: Security intelligence in tempo reale per un maggiore livello di visibilità e | 3
protezione delle informazioni | 3
Informazioni su NetIQ
NetIQ è un produttore di software costantemente impegnato nella realizzazione di soluzioni che favoriscono il successo
dei clienti. I clienti e i partner scelgono NetIQ per proteggere le informazioni e gestire la complessità di ambienti applicativi
aziendali dinamici e altamente distribuiti a costi ridotti.
L’offerta di NetIQ comprende soluzioni scalabili e automatizzate per le identità, la sicurezza e la governance e per la
gestione delle attività IT, che consentono alle organizzazioni di offrire, misurare e gestire in modo sicuro i servizi di elabora­
zione in ambienti fisici, virtuali e di cloud computing. Queste soluzioni e l’approccio pratico e orientato ai clienti di NetIQ alla
risoluzione delle continue sfide IT consente alle organizzazioni di ridurre costi, complessità e rischi.
Per ulteriori informazioni sulle note soluzioni di software di NetIQ, visitare il sito www.netiq.com.
Questo documento può contenere inesattezze tecniche o errori tipografici. Le informazioni ivi contenute vengono modificate periodicamente. Le modifiche possono essere incorporate nelle nuove
versioni del documento. NetIQ Corporation si riserva il diritto di apportare in qualsiasi momento miglioramenti o modifiche al software descritto in questo documento.
Copyright © 2012 NetIQ Corporation e affiliate. Tutti i diritti riservati.
562-IT1009-001 DS 07/12
ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, the cube logo design, Directory and Resource Administrator, Directory Security
Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge
Scripts, NetConnect, NetIQ, the NetIQ logo, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server
Consolidator, VigilEnt e Vivinet sono marchi o marchi registrati di NetIQ Corporation o delle sue affiliate negli Stati Uniti. Tutti gli altri nomi di aziende e prodotti citati nel documento vengono utilizzati
esclusivamente a scopo identificativo e possono essere marchi o marchi registrati delle rispettive aziende.
Italy - Milan
Italy - Rome
Via Varese, 6/A
20037
Paderno Dugnano (MI)
Tel: +39 (0) 2 99 06 02 01
Fax: +39 (0) 2 9904 4784
[email protected]
www.NetIQ.com
http://community.netiq.com
Via Tirone 11
00146 Rome
Italy
Tel: +39 06 45 213 421
Fax: +39 06 45 213 301
Email : [email protected]
Per un elenco completo dei nostri
uffici in Nord America, Europa,
Medioriente, Africa, Asia-Pacifico
e America Latina, visitate
www.netiq.com/contacts.
Seguiteci:
WHITE PAPER: Security intelligence in tempo reale per un maggiore livello di visibilità e | 4
protezione delle informazioni | 4