Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Data mining

RSA: Architettura di analisi della sicurezza

IMPLEMENTAZIONE DI UN'ARCHITETTURA
DI ANALISI DELLA SICUREZZA
Soluzione in breve
RIEPILOGO
Le nuove minacce alla sicurezza richiedono un nuovo approccio nell'ambito della
gestione della sicurezza. I team della sicurezza richiedono un'architettura di analisi della
sicurezza in grado di gestire un volume decisamente maggiore e un ambito più ampio
di dati rispetto al presente, oltre che strumenti in grado di condurli rapidamente alle
problematiche maggiormente pressanti. Necessitano di un sistema di intelligence sulle
minacce relativamente agli strumenti, alle tecniche e alle procedure più recenti utilizzate
dalla community di attacker e devono poter tenere traccia delle risposte alle
problematiche identificate e gestirle.
Il 99% delle violazioni ha
compromesso i dati in
pochi giorni, mentre l'85%
delle violazioni è stato
individuato solo dopo
alcune settimane.
Report investigativo sulla violazione
dei dati condotto da Verizon nel 2012
INADEGUATEZZA DELLA SICUREZZA TRADIZIONALE
In base al report investigativo sulla violazione dei dati condotto da Verizon nel 2012,
il 99% delle violazioni ha compromesso i dati in pochi giorni, mentre l'85% delle
violazioni è stato individuato solo dopo alcune settimane. Questa è una sfida
importante per i team della sicurezza in quanto gli attacker possono rimanere all'interno
dell'ambiente di una vittima per lunghi periodi. Più tempo a disposizione significa una
maggiore quantità di dati rubati e un maggiore danno digitale.
La causa principale è dovuta al fatto che le misure di sicurezza odierne non tengono in
considerazione le minacce attuali, più pericolose che in passato. Le misure di sicurezza
tradizionali sono spesso:
– Basate sulla firma: cercano sequenze di dati "errate note" in base a identici
attacchi precedenti
– Orientate al perimetro: si concentrano sulla prevenzione o sull'individuazione delle
minacce in entrata nell'organizzazione
– Basate sulla conformità: sono progettate per soddisfare i requisiti degli auditor
o specifiche normative governative, invece che per affrontare i rischi maggiori
per l'organizzazione
Nello stesso tempo, le minacce sono sempre più avanzate.
Le minacce odierne spesso sono:
– Agili: anticipano i mezzi adottati dall'organizzazione per proteggersi e utilizzano
tecniche adattive per eludere molti sistemi comuni di individuazione e prevenzione
– Determinate: gli obiettivi delle minacce odierne sono spesso molto specifici,
ad esempio mirano a una classe ristretta di organizzazioni o anche a una
sola organizzazione
– Intelligenti: utilizzano un'ampia gamma di tecniche di social engineering
e di exploit tecnici per affermarsi all'interno delle organizzazioni colpite
ed evitare di essere individuate
Le organizzazioni devono pertanto iniziare a prendere in considerazione
l'implementazione di diversi strumenti e tecniche per difendersi.
Rapida evoluzione delle minacce
Criminali
Attore statale
nazionale
Attore non
statale
Le soluzioni RSA in breve
Criminali minori
Crimine organizzato
Poco sofisticati
Supply chain organizzate
e complesse (informazioni
personali, servizi finanziari,
vendita al dettaglio)
Informazioni personali, governo,
complesso industriale del settore difesa,
organizzazioni con proprietà intellettuale
Terroristi
Informazioni
personali, governo,
infrastruttura cruciale
Guardiani
anti-sistema
"Hacktivist",
obiettivi secondari
pagina 2
LE TRADIZIONALI SOLUZIONI SIEM SONO STATE UN VALIDO INIZIO
RSA, che è stata a lungo un provider di soluzioni Security Information and Event
Management leader del settore, ritiene che i tradizionali sistemi SIEM siano stati
di grande utilità in quanto hanno fornito:
– Generazione di report sull'attività dei dispositivi, che offrono informazioni dettagliate
su chi, che cosa, dove e quando si verificano le attività cruciali
– Generazione di alert di base sulle sequenze note tramite le regole di correlazione,
in grado di attirare l'attenzione su usi abnormi o sospetti delle risorse di elaborazione
– Prova di conformità per gli auditor interni ed esterni tramite report periodici,
creati automaticamente e non generati manualmente per ogni audit o assessment
– Visione centralizzata nelle diverse origini degli eventi raccolte in modo che i team
della sicurezza possano decidere più rapidamente in base alle informazioni raccolte
da più origini
È necessario che i team
della sicurezza determinino
rapidamente come si
è verificato un attacco,
riducano il "tempo
a disposizione degli
attacker", ovvero il tempo
che intercorre tra l'ingresso
dell'attacker nell'ambiente
e la sua individuazione
nell'infrastruttura,
e mettano in atto
misure preventive contro
analoghi attacchi futuri.
Tuttavia, nel panorama odierno, è necessario tenere in considerazione nuovi requisiti.
Gli attacchi vengono ora sferrati non solo da malintenzionati o da dilettanti, ma anche
da sofisticate organizzazioni criminali e addirittura da stati-nazione. Questi attacker
implementano tecniche avanzate, ad esempio coprendo le proprie tracce nei file di log
e riducendo al minimo il numero di "eventi verificabili". I tradizionali sistemi SIEM si
rivelano pertanto insufficienti. Le organizzazioni devono dunque adottare un approccio
più avanzato per rispondere a queste minacce.
NECESSITÀ DI SOLUZIONI DI GESTIONE DELLA SICUREZZA PIÙ
EFFICACI PER LE ORGANIZZAZIONI
Data la gravità delle minacce, è necessario che i team della sicurezza determinino
rapidamente come si è verificato un attacco, riducano il "tempo a disposizione degli
attacker", ovvero il tempo che intercorre tra l'ingresso dell'attacker nell'ambiente e
la sua individuazione nell'infrastruttura, e mettano in atto misure preventive contro
analoghi attacchi futuri. RSA ritiene pertanto che le organizzazioni abbiano bisogno
di una piattaforma più valida per la risoluzione di un maggior numero di problemi di
gestione della sicurezza per i seguenti motivi:
– Le minacce avanzate devono essere visibili a livello di azienda nei dati del traffico di
rete e degli eventi del registro: i dati del traffico di rete e quelli degli eventi del registro
presi singolarmente non offrono informazioni sufficienti per individuare e studiare
questi tipi di minacce
– La sicurezza è ora un problema di Big Data per gli analisti SOC: gli analisti SOC devono
ora fare ricerche in un set di dati più grande, dinamico e diversificato per identificare le
minacce avanzate, il che richiede la fusione di intelligence interna ed esterna
– Il compromesso è inevitabile: un obiettivo realistico non prevede di resistere a tutti gli
attacchi, ma di reagire rapidamente in modo da limitare i danni e in tal modo ridurre al
minimo l'impatto sul business
A questo proposito, i professionisti della sicurezza stanno chiedendo aiuto a RSA per:
RSA Security Management
e conformità
Le soluzioni RSA in breve
pagina 3
– "Raccogliere informazioni su tutto quello che si sta verificando nell'infrastruttura". Con i
precedenti approcci alla sicurezza, per decidere quali dati raccogliere su ciò che si verifica
nell'ambiente, era necessario utilizzare le informazioni sulle minacce note. In presenza
di minacce più agili e avanzate, facendo queste supposizioni in anticipo, è probabile che,
quando si verifica la minaccia, i team della sicurezza non dispongano di tutte le informazioni
necessarie per rispondere in modo appropriato. Nell'ambiente odierno, i team della
sicurezza desiderano pertanto raccogliere tutte le informazioni su quanto si sta verificando.
– "Identificare gli obiettivi e le minacce chiave." In un'infrastruttura IT complessa e di
grandi dimensioni, è difficile tenere traccia delle operazioni eseguite da ogni sistema
e del modo in cui il sistema potrebbe subire un attacco. I team della sicurezza devono
potersi interfacciare con il business per identificare le informazioni cruciali, i processi
business e le risorse di supporto, per meglio valutare le minacce affrontate
dall'organizzazione.
– "Indagare sugli incident e assegnare loro una priorità". Anche in un'infrastruttura IT
complessa e di grandi dimensioni, le problematiche da gestire sono spesso così
numerose che i team della sicurezza hanno bisogno di maggiori informazioni aggiuntive
per identificare i problemi più urgenti e quelli che potrebbero avere l'impatto più grave
sul business. Ciò significa ottenere più informazioni sul contesto business degli incident
e sulla criticità dei sistemi e dei processi interessati.
– "Gestire gli incident". Rispondere agli incident può risultare difficile, in quanto
la valutazione del danno, la comunicazione, la risoluzione e la pulitura richiedono
la coordinazione delle risorse tra diversi team, sia all'interno dell'IT che in tutto il
business. I team della sicurezza devono trovare un modo per avviare e coordinare
queste attività in modo da ridurre al minimo l'impatto negativo sul business.
NECESSITÀ DELLA VISIBILITÀ DELLA RETE COMPLETA
Può risultare estremamente difficile individuare le minacce più avanzate. Il footprint più
visibile è spesso in rete in quanto si introducono nell'ambiente IT, si propagano ovunque
e trasferiscono i dati nella destinazione desiderata. L'acquisizione completa di pacchetti
di rete è pertanto necessaria per:
– Identificare il malware che si introduce nell'ambiente e assegnare una priorità alle
azioni relative a esso. L'attuale malware è molto simile a qualsiasi altro file transiti in
rete, ma l'acquisizione completa di pacchetti consente alle organizzazioni di isolare
e ricostruire i file eseguibili e di automatizzare gran parte dell'analisi necessaria per
identificare i segnali di tentativi malevoli. In questo modo gli analisti del malware
possono stabilire a quali problematiche è necessario rispondere per prime.
– Tenere traccia del movimento laterale di un attacker una volta che si trova all'interno
dell'organizzazione. Dopo essersi introdotti in un'organizzazione, gli attacker si
spostano spesso lateralmente da un endpoint all'altro, raccogliendo le informazioni
necessarie per lanciare la fase successiva dell'attacco. Dal momento che raramente
questi endpoint vengono monitorati centralmente, è necessaria l'acquisizione completa
di pacchetti di rete per ottenere la visibilità su questo movimento laterale all'interno
di un'organizzazione.
– Verificare con esattezza che cosa si è verificato e quali dati sono stati trasferiti.
Molte minacce avanzate non verranno individuate finché l'attacco non sarà in corso
o addirittura non sarà stato portato a termine. A questo punto, i team della sicurezza
devono essere in grado di valutare il danno ricostruendo l'attacco e determinando
quali dati sono eventualmente usciti dall'organizzazione e se erano crittografati o meno.
RSA OFFRE UN APPROCCIO END-TO-END ALLA GESTIONE
DELLA SICUREZZA
L'approccio di RSA alla gestione della sicurezza si basa su quattro elementi chiave
(vedere la figura)
– Un approccio Big Data nell'ambito della gestione della sicurezza. L'architettura dati
distribuita di RSA consente ai clienti di raccogliere e analizzare i dati relativi alla
sicurezza con una scala e una frequenza delle modifiche senza precedenti.
Le soluzioni RSA in breve
pagina 4
– Un approccio unificato all'analisi della sicurezza. L'obiettivo di RSA è fornire un set
comune di strumenti per l'analisi dei dati relativi alla sicurezza, in modo da supportare
le principali attività analitiche, dalla generazione di alert e report all'analisi del malware.
– Un livello di governance che associa l'analisi della sicurezza al business. Il portafoglio
esclusivo di RSA consente ai clienti di semplificare il processo di raccolta di informazioni
dal business su sistemi e processi business-critical e i requisiti business per proteggerli.
– Intelligence sulle minacce che incrementa le potenzialità dei clienti con conoscenze
aggiornate. RSA distribuisce ai prodotti intelligence aggiornata e attivabile
sull'ambiente delle minacce, consentendo alle organizzazioni di correlare
l'intelligence agli ambienti specifici.
Analisi e generazione
di report
Indagini
Analisi di RSA Security
Data collection
Archiviazione
Data collection
pacchetto completa
Registri e pacchetti
archiviazione
a breve termine
Generazione di
report e di alert
sulla sicurezza
Analisi
malware
Data collection
dei registri
Registri
archiviazione
a lungo termine
Generazione di report
sulla conformità
e analisi forense
Intelligence sulle minacce
I vantaggi offerti dall'approccio RSA sono:
Visibilità completa. Il portafoglio di RSA offre una visibilità ineguagliabile su quanto si sta
verificando all'interno dell'infrastruttura.
– Infrastruttura per supportare la raccolta senza limitazioni: possibilità di raccogliere più
tipi di dati relativi alla sicurezza, in scala e da più tipi di origini dati
– Visibilità unificata sulla rete e sui dati dei registri: posizione unica per visualizzare i dati
sulle minacce avanzate e sull'attività degli utenti dai dati raccolti direttamente dalla rete
o dai sistemi chiave
Funzioni di analisi flessibili. RSA offre gli strumenti che rendono le informazioni
dettagliate disponibili agli ispettori con la massima semplicità.
– Piattaforma per eseguire indagini rapide: strumenti intuitivi per l'indagine presentata
per l'analisi rapida, con drill-down dettagliato e integrazione del contesto business per
preparare meglio il processo decisionale
– Riproduzione delle sessioni e analisi senza firma: strumenti per concentrarsi sugli
utenti e sugli endpoint più sospetti connessi all'infrastruttura e sui segnali di attività
malevole. Consente inoltre di ricreare e riprodurre esattamente quanto è successo
Intelligence attivabile. L'intelligence sulle minacce fornita da RSA consente agli analisti
della sicurezza di trarre il massimo vantaggio dai prodotti RSA incorporando feed di
informazioni sulle minacce attuali.
– Intelligence sulle minacce aggiornata messa in correlazione con i dati raccolti:
intelligence proprietaria da una community di esperti di sicurezza, incorporata nei nostri
strumenti e utilizzata al meglio tramite regole, report e watchlist per ottenere un quadro
delle minacce dai dati raccolti dall'enterprise
Le soluzioni RSA in breve
pagina 5
– Azioni con priorità basate sul contesto business: integrazione delle informazioni
dal business in modo da mostrare le relazioni tra i sistemi coinvolti e le funzioni
business supportate
Process management ottimizzato. I prodotti RSA consentono ai team della sicurezza
di semplificare la svariata gamma di attività correlate a predisposizione e risposta.
– Tecnologia e servizi per un ciclo di vita completo basato su sicurezza e conformità:
un sistema di workflow per definire e attivare i processi di risposta, oltre agli strumenti
per tenere traccia dei problemi attualmente aperti, delle tendenze e delle indicazioni
acquisite. Fornisce inoltre i servizi leader del settore per prepararsi, individuare
e rispondere agli incident
– Integrazione in un sistema di gestione della sicurezza e della conformità: integrazione
con il portafoglio RSA e gli strumenti di terze parti per scambiare informazioni con
l'ampia gamma di strumenti necessari per identificare e trattare gli incident e la
gestione della conformità in diretta
PERCHÉ SCEGLIERE RSA PER LA GESTIONE DELLA SICUREZZA?
RSA ha l'esclusiva capacità di aiutare i clienti a raggiungere gli obiettivi nei modi seguenti:
INFORMAZIONI SU RSA
RSA, The Security Division of EMC,
è il principale fornitore di soluzioni
di sicurezza e protezione, gestione
dei rischi e della conformità volte ad
accelerare le attività commerciali.
RSA aiuta le maggiori organizzazioni
di livello mondiale a soddisfare le
esigenze di protezione più complesse
e delicate. Tra queste esigenze
compaiono la gestione dei rischi
organizzativi, la sicurezza dell'accesso
da dispositivi mobili, l'attestazione
di conformità e la protezione degli
ambienti virtuali e cloud.
Grazie all'associazione di controlli
business-critical riguardanti
l'accertamento di identità, la
crittografia ed il key management,
il SIEM, la prevenzione della perdita
di dati, il monitoraggio continuo della
rete e la protezione contro le frodi
con funzionalità eGRC e servizi di
consulenza leader del settore,
RSA garantisce sicurezza e protezione
a milioni di identità utente, alle
transazioni da questi eseguite
e ai dati che vengono generati.
Per maggiori informazioni:
italy.rsa.com e italy.emc.com
RSA offre un portafoglio unico di prodotti per risolvere i problemi più critici delle
minacce avanzate
– Grazie al monitoraggio di rete RSA NetWitness®, RSA dispone della sola piattaforma
che garantisce visibilità su una sessione di rete completa e sui dati dei registri in
tutta l'enterprise
– Grazie al monitoraggio RSA NetWitness, RSA dispone della sola piattaforma unificata per
indagini in tempo reale che includono l'analisi automatizzata delle minacce avanzate e
del malware zero-day
– RSA ha una piattaforma comprovata e scalabile che fornisce una consapevolezza
situazionale a livello di enterprise in sette enterprise tra quelle presenti nell'elenco
Fortune 10 e nel 70% delle agenzie federali degli Stati Uniti
RSA integra nei nostri prodotti un'intelligence sulle minacce attivabile e proprietaria
– RSA è un provider leader nel settore della ricerca di minacce che monitora l'attività
concreta e clandestina degli attacker
– Il team di ricerca RSA NetWitness Live tiene traccia di più di cinque milioni di IP e domini
e di centinaia di origini di feed di minacce univoche
– Ogni ora RSA aggiorna e distribuisce in modo dinamico la libreria di contenuti sulle
minacce tramite RSA NetWitness Live
RSA si rivolge alle persone, ai processi e alle sfide tecnologiche della sicurezza
e della conformità
– RSA è un provider leader del settore di servizi per l'assistenza alla preparazione agli
incident, oltre che alla risposta agli incident e alla pulitura
– RSA dispone dell'unica soluzione per il supporto degli aspetti dell'IT e del business relativi
alla gestione della sicurezza tramite l'integrazione con la piattaforma RSA Archer eGRC
– RSA dispone della piattaforma unificata per supportare la gestione della conformità,
la gestione delle minacce alla sicurezza, l'Incident Management e la gestione della
business continuity
EMC2, EMC, il logo EMC, RSA, NetWitness e il logo RSA sono marchi o marchi registrati di EMC Corporation negli Stati
Uniti e in altri paesi. Tutti gli altri marchi di prodotti o servizi citati nel presente documento appartengono ai rispettivi
proprietari. © Copyright 2012 EMC Corporation. Tutti i diritti riservati.
italy.rsa.com
h9093 impsa sb 0412
Documenti correlati
Festa “è per TE”
Festa “è per TE”
Richiesta esami/visite specialistiche [docx
Richiesta esami/visite specialistiche [docx
La Nazione - Firenze: Vent`anni al fianco degli
La Nazione - Firenze: Vent`anni al fianco degli
Crittografia RSA - Alberto Ferrari
Crittografia RSA - Alberto Ferrari
La crittografia in chiave pubblica
La crittografia in chiave pubblica
la ragione e il sentimento feb 14 (1)
la ragione e il sentimento feb 14 (1)
Opportunità professionali per il medico in RSA
Opportunità professionali per il medico in RSA
Case di Riposo, RSA, Case di Cura
Case di Riposo, RSA, Case di Cura
I pazienti con problemi legati a farmaci e presidi Il profilo generale
I pazienti con problemi legati a farmaci e presidi Il profilo generale
UNIVERSITÀ CARLO CATTANEO UNIVERSITÀ
UNIVERSITÀ CARLO CATTANEO UNIVERSITÀ
Crittografia e Aritmetica Modulare
Crittografia e Aritmetica Modulare
contributo del dott. Oleandri
contributo del dott. Oleandri
Scarica