La security intelligence di IBM per combattere le minacce in aumento

Dettagli

Published on Martedì, 06 Marzo 2012 14:49

Scritto da Andrea Turetta

Visite: 1890

IBM ha presentato le nuove funzionalità della sua piattaforma di security intelligence che, grazie alla combinazione di funzioni approfondite di analitica e di ‘data feed’ in tempo reale, provenienti da centinaia di fonti diverse, offre per la prima volta alle organizzazioni la possibilità di proteggersi proattivamente da minacce e attacchi alla sicurezza sempre più complessi e sofisticati.

Oggi le organizzazioni hanno difficoltà a difendersi dall’assalto delle violazioni dei dati in continua evoluzione, come il furto delle informazioni su clienti e dipendenti, dei dati delle carte di credito e della proprietà intellettuale aziendale. A oggi molte aziende non sono riuscite a creare un sistema di difesa perché hanno riunito tecnologie che non si integrano in modo intelligente e automatizzato. Questo approccio “patchwork” ha creato degli spazi vuoti di cui gli hacker approfittano per inserirsi.

La QRadar Security Intelligence Platform, progettata da Q1 Labs, azienda acquisita da IBM lo scorso autunno, è il primo sistema ad affrontare direttamente questo problema, fungendo da centro di controllo che integra in tempo reale i dati sulle minacce alla sicurezza provenienti da più di 400 fonti diverse.

I principali potenziamenti nella piattaforma di sicurezza comprendono:

· La più recente threat intelligence – Grazie al ‘Threat Feed’ di IBM X-Force, l’intelligence proveniente da uno dei più grandi repository al mondo di informazioni sulle minacce e sulle vulnerabilità, sarà disponibile con tutti gli aggiornamenti basati sul monitoraggio in tempo reale di 13 miliardi di eventi di sicurezza al giorno. Questi dati possono segnalare comportamenti associati ad Advanced Persistent Threat provenienti da team di hacker che potrebbero accedere furtivamente alle reti.
· Visibilità sull’attività aziendale - La piattaforma ora unisce informazioni provenienti da prodotti che coprono tutte le quattro aree di rischio per le organizzazioni: infrastruttura, gestione delle identità, applicazioni e dati. Ciò permette una copertura di eccezionale ampiezza, per soluzioni sia IBM che non IBM.
· Individuare il rischio nell’era dei Big Data - La piattaforma può scovare e correlare il rischio scaturito dalle informazioni di accesso alla rete in periferia, fino all’attività di database, cuore del business.

“Tentare di affrontare il problema della sicurezza con un approccio frammentato non funziona”, spiega Brendan Hannigan, general manager, IBM Security Systems. “Applicando la business analytics e la conoscenza delle più recenti minacce, oltre che contribuendo a integrare gli elementi chiave per la sicurezza, IBM intende fornire informazioni predittive e una protezione più ampia”.

Con le nuove integrazioni che saranno presto disponibili, la piattaforma di business analytics può identificare rapidamente le attività anomale, associando alla conoscenza contestuale delle più recenti minacce e dei metodi utilizzati dagli hacker, l’analisi in tempo reale del traffico sull’infrastruttura IT aziendale. Ad esempio, le integrazioni future potranno rilevare quando ripetuti login falliti a un server di database sono seguiti da un login riuscito e dall’accesso alle tabelle delle carte di credito, seguiti da un upload a un sito equivoco.

Threat Intelligence

Una delle nuove e importanti fonti che alimentano la piattaforma QRadar è il ‘Threat Feed’ di IBM X-Force, basato sul monitoraggio in tempo reale di 13 miliardi di eventi di sicurezza al giorno, in media, per quasi 4.000 clienti in più di 130 paesi. È la prima volta che la threat intelligence di X-Force viene incorporata in una soluzione di security intelligence. La piattaforma QRadar avrà ora visibilità sui più recenti "punti caldi" della sicurezza a livello mondiale e aiuterà a proteggere gli utenti dai rischi emergenti. QRadar presenterà i feed sulle minacce di IBM X-Force aggiornati in cruscotti per gli utenti, e metterà in correlazione, in tempo reale, la sicurezza e l'attività di rete di un’organizzazione con queste minacce e vulnerabilità, utilizzando regole automatizzate.

Ampia copertura

Queste le integrazioni ai prodotti che consentono a QRadar Security Intelligence Platform di aiutare le aziende a identificare più rapidamente gli attacchi, collegando gli eventi delle seguenti categorie:

· Persone: Le organizzazioni devono controllare l’accesso dei dipendenti alle informazioni. L’accesso non autorizzato di un dipendente a database e informazioni sui clienti può rendere un'azienda vulnerabile alle violazioni. Con la security intelligence, i team della sicurezza possono stabilire subito se i modelli d’accesso di un dato utente sono coerenti con il suo ruolo e le sue autorizzazioni all’interno dell’organizzazione. IBM Security Identity Manager e IBM Security Access Manager si integreranno con la piattaforma QRadar, completando il supporto di QRadar per le directory aziendali, quali Microsoft Active Directory.
· Dati: I dati sono al cuore della sicurezza; sono ciò che sta dietro ogni misura di sicurezza attuata e sono il bersaglio privilegiato dei cyber-criminali. Con IBM Guardium Database Security, integrato con la piattaforma di security intelligence, gli utenti possono mettere in correlazione attività non autorizzate o sospette a livello di database – ad esempio l’accesso da parte di un amministratore alle tabelle delle carte di credito fuori dall’orario di lavoro – con le attività anomale rilevate a livello di rete, ad es. l’invio dei dati delle carte di credito a server sconosciuti sul Web pubblico.
· Applicazioni: Le applicazioni sono vitali per le funzioni quotidiane, ma possono anche introdurre nuove e gravi vulnerabilità nelle reti aziendali. A causa della loro sensibilità, le applicazioni devono essere aggiornate spesso. Le organizzazioni, tuttavia, spesso non sono in grado di applicare immediatamente le patch, per via dei requisiti di test e dei cicli di controllo delle modifiche aziendali. Con la security intelligence, le aziende possono ora avvertire automaticamente i team della sicurezza quando applicazioni web prive di patch vengono attaccate, sfruttando le vulnerabilità note a livello di applicazione, identificate in precedenza da IBM Security AppScan. Questa integrazione completa il supporto QRadar esistente per il monitoraggio delle applicazioni aziendali, come IBM WebSphere e SAP ERP.
· Infrastruttura: Oggi le organizzazioni hanno difficoltà a proteggere le migliaia di dispositivi fisici, come PC e telefoni cellulari, soprattutto se si considera la crescente diffusione del trend Bring Your Own Device (BYOD). Per questo motivo, dovrebbero adottare precauzioni supplementari, per aiutare i dipendenti a seguire prassi sicure nell’uso di questi dispositivi. Grazie all’integrazione con IBM Endpoint Manager, la piattaforma di sicurezza può fornire alle organizzazioni una protezione potenziata degli endpoint fisici e virtuali — server, desktops, laptop in roaming, smart phone e tablet, oltre ad apparecchiature specializzate come dispositivi POS, bancomat e chioschi self-service.

I nuovi moduli di integrazione QRadar vengono rilasciati anche per Symantec DLP, Websense Triton, Stonesoft, Stonegate e altri prodotti di terzi, espandendo l’ecosistema di QRadar e portando avanti l’impegno di lunga data di Q1 Labs verso ambienti eterogenei multi-vendor.

Soluzioni per l’analisi dei Big Data

Oltre alle integrazioni dei prodotti, vi sono nuove funzionalità per i Big Data che consentono di archiviare e interrogare enormi quantità di informazioni sulla sicurezza, e una nuova funzionalità per proteggere le infrastrutture virtualizzate, fornire un nuovo livello di visibilità che aiuta i clienti a ridurre il rischio della sicurezza e automatizzare i processi di conformità.

Questa espansione delle fonti di dati di sicurezza e di rete è completata da una funzionalità evoluta, che aiuta le organizzazioni a tenere il passo con la crescita esponenziale dei dati. Le novità comprendono:

Instant Search, fornisce capacità di query a testo libero, ad alta velocità, sia dei dati di log che dei dati di flusso, portando la semplicità e la velocità dei motori di ricerca internet nella soluzione di security intelligence.

La serie di appliance XX24 estende la scalabilità e i vantaggi prestazionali per cui le soluzioni QRadar sono famose. Con il rilascio delle appliance SIEM QRadar 3124, QRadar 1624 Event Processor e QRadar 1724 Flow Processor – che comprendono tutti 16 TB di storage utilizzabile e 64 GB di RAM – le organizzazioni possono supportare più utenti, conseguire prestazioni più elevate e archiviare i dati più a lungo.

Una gestione intelligente delle policy dei dati consente agli utenti di stabilire quali informazioni desiderano archiviare e per quanto tempo. I dati meno importanti possono essere eliminati prima, per permettere la conservazione prolungata dei dati più importanti.

Le appliance virtuali consentono ai clienti finali e ai fornitori di servizi di sfruttare le infrastrutture virtuali realizzate, beneficiando di soluzioni di security intelligence di prezzo più contenuto, ma comunque dotate di tutte le funzionalità.

I nuovi moduli di integrazione (moduli di supporto dei dispositivi) sono inclusi in QRadar SIEM e QRadar Log Manager, senza costi aggiuntivi, tramite aggiornamenti automatici.

Disponibilità

La disponibilità dei moduli di integrazione QRadar per IBM Guardium Database Security, così come quella dei potenziamenti per i Big Data e il cloud computing descritti, è prevista per il primo trimestre 2012.

La disponibilità dei moduli di integrazione per la threat intelligence IBM X-Force, IBM Security Identity Manager, IBM Security Access Manager, IBM Security AppScan e IBM Endpoint Manager è prevista per il secondo trimestre 2012. Per ulteriori informazioni, visitate il sito www.q1labs.com.

Per ulteriori informazioni sulle soluzioni di sicurezza IBM, visitate il sito: www.ibm.com/security.

Le dichiarazioni di IBM riguardanti i programmi, le indicazioni e gli intenti futuri sono soggette a modifica o ritiro senza preavviso, ad esclusiva discrezione di IBM. Nelle decisioni di acquisto non si deve fare affidamento alle informazioni riguardanti i prodotti futuri, che sono intese unicamente a delineare l'indirizzo generale dei nostri prodotti. Le informazioni citate riguardanti i potenziali prodotti futuri non costituiscono un impegno, una promessa o un obbligo giuridico a fornire materiali, codici o funzionalità. Le informazioni sui potenziali prodotti futuri non possono essere incorporate in alcun contratto. Lo sviluppo, il rilascio e la tempistica delle caratteristiche o funzionalità future, descritte per i nostri prodotti, restano a nostra esclusiva discrezione.

“Dichiarazione delle Buone Pratiche di Sicurezza: la sicurezza dei sistemi IT richiede la protezione di sistemi e informazioni attraverso la prevenzione, il rilevamento e la risposta ad accessi irregolari, dall’interno e dall’esterno della propria azienda. Un accesso irregolare può avere come risultato l’alterazione, la distruzione o l’appropriazione indebita di informazioni , o può provocare danni o uso improprio dei sistemi, incluso l’attacco verso altri. Nessun sistema o prodotto IT deve ritenersi completamente sicuro e nessun singolo prodotto o singola misura di sicurezza può essere completamente efficace nell’impedire l’accesso irregolare. I sistemi e i prodotti IBM sono progettati per fare parte di un approccio alla sicurezza completo, che comporta necessariamente procedure operative supplementari e che può richiedere, per avere la maggiore efficacia, altri sistemi, prodotti o servizi. IBM NON GARANTISCE CHE I SISTEMI E I PRODOTTI SIANO IMMUNI DAL COMPORTAMENTO MALIGNO O ILLECITO DI QUALSIASI PARTE. "

www.pleon.com