Protezione delle informazioni Guida alla soluzione ARCHITETTURA DI RIFERIMENTO SECURITY CONNECTED LIVELLO 1 2 3 4 5 In base al white paper McAfee intitolato Data Loss by the Numbers (La perdita dei dati in cifre), di tutti i tipi di dati generali, tra le informazioni più comunemente compromesse vi sono nomi e/o indirizzi, numeri della previdenza sociale o similari e numeri delle carte di credito1. ARCHITETTURA DI RIFERIMENTO SECURITY CONNECTED LIVELLO 1 2 3 4 5 Security Connected La struttura Security Connected di McAfee permette l'integrazione di più prodotti, servizi e partnership ARCHITETTURA DI RIFERIMENTO per fornireCONNECTED una soluzione SECURITY centralizzata, efficiente e efficace LIVELLO 3 5 per la mitigazione1del2rischio. Basato su oltre vent'anni di pratiche di sicurezza comprovate, l'approccio Security Connected aiuta le aziende di qualsiasi dimensione e settore - in tutte le aree geografiche - a migliorare lo stato della sicurezza, ottimizzare la sicurezza per una maggior efficienza nei costi allineare ARCHITETTURA DIeRIFERIMENTO strategicamente la sicurezza SECURITY CONNECTED con le iniziative di business. LIVELLO 1 2 3 4 L'architettura di riferimento Security Connected fornisce un percorso concreto che va dalle idee all'implementazione. Utilizzalo per adattare i concetti Security Connected ai rischi, all'infrastruttura e agli obiettivi specifici della tua azienda. McAfee è impegnata senza sosta a ricercare nuovi modi per mantenere protetti i propri clienti. 4 5 Nel corso dell'operazione Shady RAT (Remote Administration Tool, strumenti per l’amministrazione da remoto), McAfee ha ottenuto accesso a un server di comando e controllo utilizzato in vari attacchi mirati. Oltre 70 aziende sono state prese di mira utilizzando tale sistema e gli operatori avevano sottratto informazioni per almeno sei anni. Il periodo più lungo di esfiltrazione di informazioni sensibili da una singola azienda compromessa è durato 28 mesi, mentre il periodo medio è stato pari a nove mesi. Complessivamente, è stato rubato oltre un petabyte di informazioni1. Protezione delle risorse dati più preziose Le sfide Non è certo una sorpresa che personale interno malintenzionato e aggressori esterni desiderino in egual misura entrare in possesso di informazioni sensibili come proprietà intellettuale, documenti finanziari e informazioni personali. Queste informazioni hanno un valore e, di conseguenza, diventano un obiettivo. Inoltre, le informazioni sono in pericolo a causa di dipendenti negligenti e imprudenti e altri utenti che godono di elevati livelli di fiducia e accesso quali partner e consulenti. Poiché le informazioni sono fondamentali per operare, devono essere accessibili e fruibili, per timore che il loro valore venga sminuito. Trovare un equilibrio, dove l'accesso è consentito ma il rischio è attenuato, è fondamentale. Le difficoltà nascono quando le aziende comprendono quanto sono sensibili le informazioni di cui dispongono. Al di là della quantità, le informazioni raramente risiedono in un unico luogo; piuttosto, sono distribuite su archivi dati strutturati quali database e archivi dati non strutturati quali file server, laptop, smartphone, messaggi e-mail, media rimovibili come drive USB e simili. Generalmente, quest'informazione è accessibile da vari utenti, per diversi gruppi e in diverse aree geografiche. In molti casi, i singoli che hanno necessità di accesso possono essere partner aziendali o altri gruppi al di fuori del controllo dell'azienda. La maggior parte delle aziende è cosciente delle conseguenze derivanti da una protezione non adeguata delle informazioni, con problemi che vanno da svantaggi rispetto alla concorrenza dati dal furto di proprietà intellettuale e sanzioni normative a class action e costi associati alla divulgazione di violazioni. Se le implicazioni sono chiare, mettere in atto una soluzione può essere difficoltoso. Tra i problemi tecnici più comuni vissuti dalle aziende che cercano di creare una strategia efficace per la protezione delle informazioni vi sono: Localizzazione delle informazioni Classificazione delle informazioni • Applicazione delle policy per proteggere come vengono gestite le informazioni • Monitoraggio dell'accesso in tempo reale sulla rete e sull'endpoint • Analisi dei dati collegati agli utenti che interagiscono con le informazioni • Gestione delle soluzioni di cifratura distribuite • Mitigazione degli attacchi sui database • • Nel 2006, è stato rubato un laptop appartenente a un analista dati. Conteneva dati personali e sanitari di circa 26,5 milioni di soldati in servizio attivo e veterani2. Fortunatamente, questi problemi tecnici non necessariamente affliggono le aziende. Oggi, esistono varie soluzioni integrate per la protezione delle informazioni che sono sviluppate appositamente per affrontare questi rischi di sicurezza e ottimizzare il processo che permette di abilitare i controlli per la protezione delle informazioni, e non ostacolano gli utenti con complicati meccanismi per l'accesso alle informazioni. Soluzioni Esistono diverse soluzioni per proteggere le informazioni che offrono il beneficio aggiuntivo di ridurre i costi e la complessità. Alcune sono controlli di rete o endpoint mentre altre sono specifiche per i dati o per una gestione complessiva della sicurezza. Mentre molte di queste soluzioni possono essere efficaci, specialmente quando operano all'interno di una struttura Security Connected, quattro tecnologie risultano fondamentali: prevenzione della perdita dei dati (DLP), controlli per la protezione di storage e media rimovibili, cifratura e monitoraggio dell'attività dei database (DAM). Prevenzione della perdita dei dati Le soluzioni DLP devono individuare e rilevare le informazioni sensibili indipendentemente dal formato e, con intervalli regolari, mantenere la soluzione DLP e i relativi controlli informati delle modifiche, come per esempio nuovi archivi di dati. Una strategia DLP efficace riunirà controlli per rete e host per proteggere le aziende da perdite di dati intenzionali o per negligenza. Tra gli esempi vi sono il caricamento online di informazioni, l'invio di informazioni al di fuori dell'azienda tramite programmi IM o e-mail, o anche la copia di informazioni su un dispositivo rimovibile. Operativamente, la soluzione DLP deve fornire funzioni di gestione centralizzata, che includano rilevamento, creazione delle policy, analitiche e risposte oltre all'integrazione con altri controlli come i gateway Internet per un'applicazione estesa delle policy. Controllo di dispositivi e media di storage rimovibili Una delle forme più semplici e comuni di esfiltrazione delle informazioni è attraverso l'utilizzo di media rimovibili come drive USB, riproduttori MP3, DVD e altri. Le soluzioni di questa categoria devono specificare quali tipologie di dispositivi possono o non possono essere utilizzate e il tipo di informazioni che possono essere trasferite tramite connessioni fisiche o wireless come Bluetooth e infrarossi. Poiché i dispositivi USB hanno dimensioni contenute e un'ampia capacità di storage, le funzionalità di cifratura sono fondamentali quando l'informazione è mobile. Queste soluzioni dovrebbero fornire funzioni trasparenti e automatiche di cifratura dei dati quando le informazioni approvate vengono trasferite su un drive USB approvato. Per una gestione ottimizzata della sicurezza, le soluzioni DLP e la gestione dei drive USB dovrebbero essere centralizzate, poichè i loro controlli sono strettamente correlati. Cifratura La cifratura riduce in modo significativo l'utilità di qualsiasi dato smarrito o rubato. Oltre alla cifratura dei drive USB, è possibile disporre di ulteriori livelli di protezione aggiungendo funzioni di cifratura completa del disco a Mac e PC. File e cartelle, tra cui i file di rete, dovrebbero utilizzare un sistema di cifratura, specialmente se può essere fatto in modo automatico e trasparente poiché file e cartelle vengono condivise e spostate all'interno delle aziende. Utilizzando soluzioni di cifratura che vengono gestite centralmente con i controlli di protezione delle informazioni precedentemente descritte, le attività di distribuzione, amministrazione e creazione di policy possono essere più efficienti e persistenti tra le varie soluzioni, con un TCO più contenuto. Monitoraggio delle attività del database Così come può risultare complesso individuare i dati sensibili, altrettanto difficile è rilevare tutti i database presenti in azienda. Le soluzioni DAM (Database Activity Monitoring) devono essere in grado di identificare i database e fornire protezione specifica per i database, anche per i sistemi non aggiornati. Queste soluzioni dovrebbero sfruttare una combinazione di funzioni di patching virtuale, protezione da attacchi noti specifici e la possibilità di annullare le sessioni che si ritiene stiano violando le policy di sicurezza, come nel caso di attacchi zeroday. Questi controlli dovrebbero essere applicati a tutti i database fisici ma anche in ambienti virtualizzati e di cloud computing. Sfruttando la struttura Security Connected di McAfee per tutti i controlli di protezione delle informazioni come DLP, protezione per i dispositivi rimovibili, cifratura e DAM, rischi e costi possono essere ridotti, migliorando il ritorno sull'investimento. Farrah Fawcett Maria Shriver Arnold Schwarzenegger George Clooney BRITNEY spears Cos'hanno in comune Britney Spears, George Clooney, Arnold Schwarzenegger, Maria Shriver e Farrah Fawcett? Ognuno di loro ha subito il furto di dati medici riservati da un fornitore di servizi sanitari che sono stati poi venduti ai giornali scandalistici per la pubblicazione. Considerazioni sulle best practice • Utilizzare una strategia che affronti sia gli attacchi provenienti dall'esterno sia personale interno malintenzionato e negligente • Implementare controlli specifici per la protezione dei dati e intensificarli con controlli per reti e endpoint a supporto • Sfruttare soluzioni che permettono analisi scientifiche e in tempo reale • Abilitare policy e controlli per la protezione delle informazioni dedicati a archivi dati critici, endpoint e media rimovibili oltre a punti comuni di esfiltrazione delle informazioni quali e-mail, programmi di IM e web • Sfruttare le funzioni di cifratura, in particolare su dispositivi portatili quali laptop e drive USB, per diminuire il rischio che dati sensibili vengano recuperati da un dispositivo smarrito o rubato • Proteggere i database con controlli ottimizzati per l'applicazione di policy per i dati strutturati A causa della complessità, del tempo, del denaro e delle risorse necessarie per effettuare test approfonditi delle patch per i database, ai database di produzione vengono applicate le patch in media due o tre volte all'anno. Requisiti di valore Le giuste soluzioni per proteggere le informazioni devono fornire un valore operativo aiutando le aziende a focalizzarsi su come evitare i costi, non nel senso assicurativo del termine, ma in base alle statistiche sulla perdita di file di dati nella vita reale. Attualmente, il costo medio per una violazione dei dati ammonta a 214 dollari per file di dati3. Una soluzione adeguata per proteggere le informazioni dovrebbe: • Consentire di limitare tariffe legali, sanzioni e costi per la conformità nel caso di una violazione dei dati una più rapida identificazione dei canali di esfiltrazione dei dati di pari passo con le policy aziendali • Ridurre la necessità di costi legali esplorativi e due diligence nel caso di una citazione in giudizio di terze parti (se si gestiscono dati di terze parti) • Fornire Materiali correlati dall'architettura di riferimento Security Connected Livello II •Protezione del data center •Proteggere le informazioni dalle minacce interne •Controllo e monitoraggio del cambiamento Livello III •Proteggere la proprietà intellettuale •Proteggere la posta elettronica •Proteggere i supporti rimovibili •Applicare la conformità agli endpoint Per maggiori informazioni sull'architettura di riferimento Security Connected, visitare: www.mcafee.com/it/enterprise/reference-architecture/index.aspx. Informazioni sull'autore Brian Contos, professionista certificato per la sicurezza dei sistemi informatici (CISSP), è direttore della strategia globale per la sicurezza di McAfee. È un esperto di sicurezza riconosciuto con un'esperienza quasi ventennale nella progettazione e gestione della sicurezza. È autore di vari libri, tra cui Enemy at the Water Cooler (Il nemico in ufficio) e Physical and Logical Security Convergence (Convergenza tra sicurezza fisica e logica). Ha collaborato con organizzazioni governative e aziende della classifica Forbes Global 2000 in America del Nord, del Sud e Centrale, Europa, Medio Oriente e Asia. Viene invitato come oratore a importanti eventi industriali quali RSA, Interop, SANS, OWASP e SecTor e collabora con la stampa di settore e economica come Forbes, New York Times e The Times of London. Brian è Distinguished Fellow del Ponemon Institute e laureato all'Università dell'Arizona. [email protected] || http://siblog.mcafee.com/author/brian-contos/ || @BrianContos http://www.mcafee.com/us/resources/white-papers/wp-operation-shady-rat.pdf http://en.wikipedia.org/wiki/Laptop_theft 3 http://www.ponemon.org/blog/post/cost-of-a-data-breach-climbs-higher 1 2 McAfee Srl via Fantoli, 7 20138 Milano Italia (+39) 02 554171 www.mcafee.com/it Le informazioni contenute nel presente documento sono fornite solo a scopo didattico e a vantaggio dei clienti di McAfee. Le informazioni qui contenute possono essere modificate senza preavviso, e vengono fornite “come sono” senza alcuna garanzia relativamente alla loro precisione o applicabilità a situazioni o circostanze specifiche. McAfee e il logo McAfee sono marchi registrati o marchi di McAfee, Inc. o sue affiliate negli Stati Uniti e in altri Paesi. Altri nomi e marchi possono essere proprietà di terzi. I piani, le specifiche e le descrizioni dei prodotti riportati nel presente documento hanno unicamente scopo informativo e sono soggetti a modifica senza preavviso. Sono forniti senza alcuna garanzia, espressa o implicita. Copyright © 2012 McAfee, Inc. 36900sg_protecting-info-L2_1011v3