Menu

Di fronte a dati drammaticamente inconfutabili come l'incremento del 20% delle vulnerabilità denunciato dall'HP Cyber Security Risk Report, si è davanti alla resa dei tradizionali sistemi per la sicurezza IT. Così HP, IBM, Microsoft, Symantec ed i principali Leader del settore abbracciano la Security Intelligence combinando l'uso dei Big Data al monitoraggio delle attività sulle reti...

Primo dato: nonostante tutte le attenzioni che da sempre sono state riservate al tema della sicurezza IT, gli attacchi che hanno successo contro i dati e i servizi applicativi delle aziende sono in costante aumento. Anche perché sono le occasioni e i bersagli che crescono: i furti dei dati su progetti, clienti e dipendenti delle aziende, così come quelli di identità, password, numeri di carte di credito sono ormai un fatto pressoché quotidiano: difendersene risulta sempre più difficile.

Secondo dato: a conferma della incapacità degli attuali sistemi di offrire una effettiva difesa per la sicurezza, ci sono i dati della nuova edizione dello studio annuale HP Cyber Security Risk Report per il quale nel 2012 è stato registrato un aumento delle vulnerabilità di quasi il 20%. I principali risultati pubblicati nel rapporto hanno infatti evidenziato che nel 2012, le vulnerabilità riportate sono passate da 6.844 nel 2011 a 8.137 nel 2012, con un netto +19%. Di queste, una vulnerabilità su cinque è in grado di attribuire agli hacker il controllo totale degli obiettivi del loro attacco.

Si è poi aperto il filone del Cyber War, ovvero le tecniche di violazione della sicurezza finalizzate a danneggiare le infrastrutture di comunicazione delle nazioni come nuovo fronte di guerra che ha spinto verso la ricerca di nuovi approcci utilizzabili anche in contesti civili. Così, stanno andando sempre più in crisi le tradizionali linee di difesa, spingendo verso nuove strade.

Security Intelligence: cos'è?

Di Security Intelligence non esiste una definizione codificata, ma nella sostanza consiste nel combinare estensive attività di monitoraggio di traffico e attività sulle reti con le tecniche di analisi predittiva (Analytics) applicate sui Big Data collezionati da questi strumenti di nuova generazione. Approccio lanciato alcuni anni fa dalla Q1 Labs, poi acquisita nel 2011 da IBM, sul quale si sono allineati poi i principali produttori e fornitori di servizi, a cominciare da HP e Symantec.

IBM-Q1-Security-IntelligenceUna delle prime codifiche della Security Intelligence è quindi ben rappresentata nel diagramma proprio di Q1 Labs qui a fianco.

In pratica, si tratta di rilevare i dati del Log, con quelli provenienti dai nuovi sistemi di Identity & Access Management, dalle analisi Forensics, di analisi delle vulnerability e di rilevazione di anomalie sul traffico e sui malfunzionamenti dei sistemi. Da qui, si alimentano con i dati raccolti da centinaia di fonti diverse - i Big Data - i nuovi sistemi specializzati di analisi predittiva (Security Analytics) puntando ad intervenire in modo proattivo sui potenziali problemi di sicurezza.

In parte, questo va anche a compensare un atteggiamento troppo spesso episodico nei riguardi della sicurezza IT, in base al quale normalmente si reagisce agli eventi - tipo un danno subito o un problema rilevato - attrezzandosi con strumenti e servizi specifici, perdendo di vista i problema nel loro insieme e non avendo una strategia complessiva per risolvere le problematiche della sicurezza a 360 gradi.

La QRadar Security Intelligence Platform

Progettata da Q1 Labs, la QRadar Security Intelligence Platform è stata il primo sistema a trasformare in fatti i principi della Security Intelligence, creando un centro di controllo che integra in tempo reale i dati sulle minacce alla sicurezza provenienti da più di 400 fonti diverse. Tra questi, proprio grazie all'esser passata sotto il controllo di IBM, Q1 Labs ha potuto inserire i dati provenienti dal Threat Feed di IBM X-Force, uno dei più grandi Repository al mondo di informazioni sulle minacce e sulle vulnerabilità, con gli aggiornamenti basati sul monitoraggio in tempo reale di 13 miliardi di eventi di sicurezza al giorno. A queste si aggiungono i dati provenienti dagli strumenti che coprono le quattro aree principali di rischio per le organizzazioni: infrastruttura, gestione delle identità, applicazioni e dati.

Per l'analisi dei Big Data così raccolti, IBM ha sviluppato nuove funzionalità che consentono di archiviare e interrogare enormi quantità di informazioni sulla sicurezza, corredandole di capacità di query a testo libero, ad alta velocità, sia dei dati di log che dei dati di flusso, portando la semplicità e la velocità dei motori di ricerca internet nella soluzione di security intelligence.

Il DeepSight Security Intelligence di Symantec

Sullo stesso filone si allinea il nuovo DeepSight Security Intelligence di Symantec che fornisce Intelligence tempestiva e pertinente sulle minacce, le vulnerabilità e la reputazione in base all'evoluzione delle minacce emergenti che possono colpire i sistemi critici. Il quadro informativo della DeepSight Security Intelligence di Symantec viene composto da vari elementi quali:

  • DeepSight Early Warning Services, un intuitivo portale basato sul Web;
  • DeepSight DataFeeds, per automatizzare la distribuzione dei dati sulle minacce all'infrastruttura di sicurezza esistente.
  • IL Symantec Global Intelligence Network che raccoglie i dati sui quali sono basati i prodotti DeepSight Security Intelligence.
  • La Global Intelligence Network ha una visibilità globale sul panorama delle minacce, comprendente più di 64,6 milioni di sensori di attacco che monitorizzano le reti, i dati su oltre 45.000 vulnerabilità su più di 15.000 produttori di sofware, accurata visibilità su tutte le porte/protocolli per analisi e raccolta di dati sulle minacce, l'analisi di 8 miliardi di e-Mail al giorno e di di 1,4 miliardi di interrogazioni al giorno su Web.

La Risposta di HP: HP RepSM 1.5, Disponibile dal 31 Marzo

whitman megLa "cura" del nuovo CEO di HP, Meg Whitman, comincia a mostrare i propri effetti sulle strategie dell'azienda sia sul fronte dell'Hardware che sul Software ed i servizi. A fine anno è infatti stata annunciata una profonda revisione del portafoglio dei prodotti Software, che risulta ora concentrato su quattro aree principali: Cloud/IT Management, Enterprise Security, Big Data & Analytics, Meaning-based Computing. Contesto nel quale il nuovo filore dell'Intelligence Security si colloca perfettamente costituendo l'intersezione tra due di queste quattro aree di interesse.

Così, sulla falsariga dei suoi diretti concorrenti, HP ha affrontato il nuovo scenario della Security Intelligence migliorando la propria soluzione HP Reputation Security Monitor (RepSM) 1.5 che ora è in grado di protegge dalle minacce più insidiose facendo leva su Feed di dati forniti da HPSR (HP Security Research), il gruppo neocostituito per fornire Security Intelligence attraverso la pubblicazione di rapporti, l’emissione di bollettini sulle minacce e i miglioramenti al portafoglio di soluzioni di sicurezza HP.

HPSR, parte integrante della business unit HP Enterprise Security Products (ESP), ha il compito di definire l’agenda di HP sul tema della sicurezza, interagendo con gli altri gruppi di ricerca di HP, compresi gli HP DVLabs – l’organizzazione di ricerca che concentra la propria attività sulla ricerca e sull’analisi delle vulnerabilità – e l’HP Fortify Software Security Research, che si occupa dello sviluppo di procedure di software security . Inoltre, HPSR gestirà il progetto Zero Day Initiative (ZDI), che punta all’identificazione delle imperfezioni software che hanno causato attacchi informatici e violazioni della sicurezza.

HP RepSM facilita quindi il compito di difendersi da attacchi sofisticati individuando le interazioni pericolose con i siti ritenuti non affidabili. A intrusione già avvenuta, analizzando i Big Data provenienti dalle varie fonti, HP RepSM è in grado di rilevare le risorse infettate che comunicano con i centri di controllo e comando dei siti screditati prima che questi riescano a sottrarre le proprietà intellettuali.

Ad alimentare di dati HP RepSM concorrono gli altri strumenti del portafoglio HP quali ArcSight Express 4.0, che combina le funzioni di Security Information and Event Management (SIEM) con quelle di gestione dei log e monitoraggio dell’attività degli utenti, i connettori per HP ArcSight IdentityView e HP RepSM. In tale contesto rientra anche l'Utility HP ArcSight/Hadoop Integration che integra HP ArcSight ESM 6.0 con Apache Hadoop, il motore Open Source specializzato proprio nella gestione di Big Data.

I Feed così raccolti contribuiscono all’identificazione dell’utilizzo delle reti Peer-to-Peer e migliorano il rilevamento dei potenziali attacchi di phishing e del traffico spam. Al tempo stesso, riconoscono i pattern nel tempo, come le scansioni di ricognizione e i livelli di attività anomali.

L'Intelligence Security è pertanto un tema in forte fermento, sul quale torneremo nel prossimi futuro con vari approfondimenti.

Ultima modifica ilMercoledì, 13 Giugno 2018 19:25

Aggiungi commento


Codice di sicurezza
Aggiorna

Torna in alto

I cookie rendono più facile per noi fornirti i nostri servizi. Con l'utilizzo dei nostri servizi ci autorizzi a utilizzare i cookie.
Maggiori informazioni Ok