ANALISI REALE DELLA GESTIONE

DELLA SICUREZZA E DEI "BIG DATA"

Roadmap per i "Big Data" nell'analisi
della sicurezza
CONCETTI
FONDAMENTALI
In questo documento
vengono esaminati:
Crescente complessit
dell'ambiente di gestione
della sicurezza, dalle minacce
agli ambienti IT e agli obblighi
di conformit
Come rendere maggiormente
significativi i dati gi raccolti,
eliminando le informazioni
non necessarie anzich cercare
informazioni specifiche
Combinazione di infrastruttura,
strumenti di analisi e intelligence
sulle minacce necessaria per
accrescere il valore per
il business dai Big Data

Essere un professionista della sicurezza in questo periodo tanto stimolante quanto

scoraggiante. Le minacce alla sicurezza diventano sempre pi forti e aggressive.
Le norme sulla conformit emesse da amministrazioni e organismi di settore sono
sempre pi numerose. Anche a causa della crescente complessit degli ambienti IT,
la gestione della sicurezza diventa sempre pi difficile. Inoltre, le nuove tecnologie
"Big Data" dovrebbero spingere il professionista della sicurezza ad adottare tecniche
di analisi avanzate, come l'analisi previsionale, e tecniche statistiche avanzate.
Visto lo stato dei sistemi di sicurezza odierni, la maggior parte delle organizzazioni
ancora lontana dall'utilizzo di questi tipi di tecnologie avanzate per la gestione della
sicurezza. I professionisti della sicurezza hanno la necessit di utilizzare al meglio i dati
gi raccolti e analizzati. Devono anche poter comprendere meglio sia i problemi attuali
sia le sfide incombenti relative ai dati. Disponendo di un set di base di funzionalit di
gestione dei dati e analitiche, le organizzazioni sono in grado di sviluppare e scalare
in modo efficiente la gestione della sicurezza in modo da rispondere alle sfide poste
dai Big Data di pari passo con l'evoluzione dell'enterprise.

LO SCENARIO DI SICUREZZA ODIERNO

NON CONSENTE LA SICUREZZA AD HOC
In presenza di "Big Data", il volume e i tipi di dati relativi all'IT e al business
non consentono un'elaborazione ad hoc. Inoltre, diventato sempre pi difficile
proteggere le informazioni significative ottenute dai dati raccolti.
Nonostante significativi investimenti nella sicurezza delle informazioni, sembra che
gli attacker siano in vantaggio. In base al report investigativo sulla violazione dei dati
condotto da Verizon (2012), il 91% delle violazioni ha compromesso i dati in pochi
giorni, mentre il 79% delle violazioni stato individuato solo dopo alcune settimane.
Esistono diversi fattori che possono spiegarlo:
Gli attacker sono sempre pi organizzati e finanziati. Ma, sebbene gli attacchi
siano divenuti dinamici, le difese sono rimaste statiche. Gli attacchi odierni
sono pensati per sfruttare le debolezze delle infrastrutture incentrate sugli
utenti e iper-connesse.
Le organizzazioni basate sull'IT diventano sempre pi complesse. Le organizzazioni
richiedono ora sistemi ancora pi aperti e flessibili, in grado di creare nuove
straordinarie opportunit di collaborazione, comunicazione e innovazione.
Ci comporta anche nuove vulnerabilit che i criminali informatici, i gruppi
di "hacktivist" e gli stati-nazione hanno imparato a sfruttare.
La conformit sempre pi lontana. Le norme emesse da organi di controllo
e legislatori sono sempre pi numerose. Per le aziende, in particolare quelle
con pi linee di business o operazioni internazionali, sempre pi difficile tenere
traccia dei controlli attuali gi in esecuzione e dei controlli necessari e assicurare
che tali vengano gestiti correttamente.

L'effetto combinato di questi fattori negli ambienti IT rende la gestione della sicurezza
molto pi complessa, con un numero pi elevato di interdipendenze e maggiori
responsabilit. Poich i processi business seguono sempre di pi la strada della
digitalizzazione, per i team di sicurezza la raccolta e la gestione di un maggior
numero di dati si rivelano un'opportunit, ma anche una sfida. Si effettuano sempre
pi investimenti in strumenti di gestione dei registri, delle vulnerabilit, delle identit
e delle configurazioni. Tuttavia, continuano a verificarsi violazioni, che causano pi
interruzioni e spese che mai.

I TRE CONCETTI DI BASE DEI BIG DATA

NELLA GESTIONE DELLA SICUREZZA
Una vera strategia "Big Data" per la gestione della sicurezza, per affrontare
nel modo corretto i problemi attuali, deve comprendere tre aspetti:
l'infrastruttura, gli strumenti di analisi e l'intelligence.

Figura 1. I pilastri dei Big Data nella gestione della sicurezza

Per estrarre valore dai dati raccolti, rendere efficienti le attivit di gestione delle
minacce e utilizzare le attivit di conformit nel processo decisionale, i team della
sicurezza devono adottare un approccio "Big Data" per la gestione della sicurezza.
Pertanto necessario disporre degli elementi seguenti:
Un'infrastruttura "scale-out" flessibile per rispondere al mutevole ambiente IT
e a minacce sempre nuove. La gestione della sicurezza deve supportare nuove
iniziative di business che influiscono sull'IT, dalle nuove applicazioni a nuovi
modelli di erogazione, come la mobility, la virtualizzazione, il cloud computing
e l'outsourcing. L'infrastruttura di gestione della sicurezza deve essere in
grado di raccogliere e gestire i dati relativi alla sicurezza a livello di enterprise
e di adattarsi alle attuali richieste delle enterprise sia fisicamente che
economicamente. Ci richiede lo "scale-out" pi che lo "scale-up", poich sar
praticamente impossibile centralizzare tutti questi dati. Inoltre, deve estendersi
facilmente in modo da adattarsi ai nuovi ambienti e deve evolversi rapidamente
in modo da supportare l'analisi delle crescenti minacce.

Strumenti di analisi e di virtualizzazione che supportano le specializzazioni degli

analisti della sicurezza. Il lavoro dei professionisti della sicurezza deve essere
supportato da strumenti di analisi specializzati. Alcuni analisti richiedono strumenti
che semplificano l'identificazione degli eventi di base con informazioni di supporto.
I responsabili potrebbero richiedere solo una visualizzazione di livello elevato
e il trend della metrica chiave. Gli analisti del malware necessitano dei file
sospetti ricostruiti e di strumenti per automatizzare il test di questi file.
Gli analisti forensi di rete hanno bisogno della ricostruzione completa
di tutte le informazioni dei registri e di rete relative a una sessione per
determinare che cosa sia esattamente accaduto.
Intelligence sulle minacce per applicare le tecniche di analisi dei dati alle
informazioni raccolte. Le organizzazioni richiedono una panoramica dell'attuale
ambiente delle minacce esterne ai fini della correlazione con le informazioni
raccolte dall'organizzazione stessa. Questa correlazione indispensabile agli
analisti per avere un'esatta comprensione degli attuali indicatori delle minacce
e di che cosa cercare.
Il termine "Big Data" non indica semplicemente grandi quantit di dati.
I Big Data richiedono un'analisi di gran lunga pi intelligente per
individuare le minacce alla sicurezza fin dall'inizio, con l'infrastruttura
per raccogliere ed elaborare i dati su scala.

I "BIG DATA" GARANTISCONO EFFICIENZA,

PRODUTTIVIT E SICUREZZA
La gestione della sicurezza ottimale per i "Big Data" richiede un sistema
in grado di estrarre e presentare i dati chiave per l'analisi nel modo pi
rapido ed efficiente.

Figura 2. Requisiti per un sistema Big Data di gestione della sicurezza

Le organizzazioni di sicurezza devono oggi adottare un approccio "Big Data" che

consenta di conoscere i concorrenti, determinare i dati necessari per supportare
le decisioni e creare e rendere operativo un modello per supportare queste attivit.
Il termine "Big Data" in questo contesto si riferisce alla creazione di un elemento
fondamentale per un'utile analisi pi che all'adozione a priori di un progetto scientifico
avanzato relativo ai dati. I sistemi "Big Data" ottimali per le organizzazioni di
sicurezza devono:

Eliminare le noiose attivit manuali nelle operazioni di risposta o di valutazione

di routine. Il sistema deve ridurre il numero di attivit manuali e ripetitive
associate all'indagine di un problema, come passare da una console all'altra
ed eseguire la stessa ricerca in cinque strumenti diversi. Anche se queste attivit
non verranno eliminate in tempi brevi, il sistema deve ridurre costantemente
il numero di passaggi per incident.
Utilizzare il contesto business per indirizzare gli analisti verso i problemi con
un impatto pi grave. I team della sicurezza devono poter mappare i sistemi
monitorati e gestirli tramite le applicazioni cruciali e i processi business supportati.
Devono conoscere le dipendenze tra questi sistemi e le terze parti, ad esempio
i service provider, e conoscere lo stato corrente dell'ambiente dal punto di vista
della vulnerabilit e della conformit.
Presentare agli analisti solo i dati pi rilevanti. I professionisti della sicurezza
parlano spesso di "ridurre i falsi positivi". In realt, i problemi non si limitano
in genere a una questione di vero o falso. Il sistema deve invece eliminare
il "rumore" e fornire agli analisti le indicazioni per concentrarsi sui problemi
con impatto elevato. Il sistema deve inoltre fornire informazioni di supporto
in modo da evidenziare i probabili problemi principali e la causa.
Accrescere la conoscenza umana. Il sistema pu agevolare gli analisti
nell'analisi degli elementi pi critici, ad esempio fornendo le tecniche per
identificare i problemi con una priorit pi elevata e l'intelligence sulle minacce,
che utilizza queste tecniche per identificare gli strumenti, le tecniche
e le procedure pi recenti utilizzate dalla community degli attacker.
Vedere oltre il limite. La difesa dalle moderne minacce una corsa contro
il tempo. Il sistema deve segnalare i problemi per tempo ed eventualmente
fornire un modello previsionale, unendo l'intelligence sulle minacce esterne
alla consapevolezza situazionale interna in modo che il team della sicurezza
passi dalla difesa passiva alla difesa attiva e alla prevenzione.

ANALISI DELLA SICUREZZA: UN APPROCCIO GRADUALE

PER I "BIG DATA"
Anche se tecniche avanzate, quali l'analisi previsionale e l'inferenza
statistica, si dimostreranno probabilmente importanti in futuro,
indispensabile che i team della sicurezza inizino a concentrarsi
sulle basi, adottando un approccio graduale.

Iniziare implementando un'infrastruttura per la sicurezza che sia scalabile.

Ci comporta l'implementazione di un'architettura in grado di raccogliere
non solo informazioni dettagliate su registri, sessioni di rete, vulnerabilit,
configurazioni e identit, ma anche le conoscenze umane sulle operazioni
e sul funzionamento dei sistemi. Anche se possibile iniziare con una piccola
implementazione, il sistema deve essere basato su un'architettura affidabile
e distribuita che garantisca la scalabilit man mano che i requisiti aumentano.
Il sistema deve supportare i domini logici di fiducia incluse le giurisdizioni legali,
oltre ai dati per le business unit o progetti diversi. Il sistema deve poter trattare
questi dati e imperniarsi su di essi rapidamente e facilmente (ad esempio,
mostrare tutti i registri, le sessioni di rete e i risultati della scansione da un
determinato indirizzo IP e comunicarli a un sistema finanziario di produzione).

Implementare strumenti di analisi di base per automatizzare le interazioni umane

ripetitive. Un obiettivo a breve termine spesso la creazione di un modello in
grado di mettere visivamente in correlazione le informazioni per ridurre il numero
di passaggi che un utente dovrebbe eseguire per raccogliere tutte le informazioni
in un'unica vista (ad esempio, mostrare tutti i registri e le sessioni di rete che
coinvolgono sistemi che supportano l'elaborazione di transazioni con carta di
credito e vulnerabili a un attacco visualizzati in altri settori del business).
Creare visualizzazioni e output che supportino le principali funzioni di sicurezza.
Alcuni analisti avranno la necessit di visualizzare solo gli eventi pi sospetti con
alcune informazioni di supporto. Gli analisti del malware avranno bisogno di un
elenco con priorit dei file sospetti e dei motivi per cui sono sospetti. Gli analisti
forensi di rete avranno bisogno dei risultati dettagliati delle query complesse.
Gli altri avranno bisogno di rivedere i report di conformit pianificati o i report
generali utilizzati per individuare le tendenze o le aree per il miglioramento nel
sistema. Il sistema deve inoltre essere aperto per consentire a un altro sistema
di accedere ai dati e utilizzarli per agire contro un attacker, ad esempio
mettendoli in quarantena o velocizzando il monitoraggio delle operazioni.

Figura 3. Passaggi per l'implementazione dei Big Data nella gestione della sicurezza

Aggiungere ulteriori metodi di analisi intelligenti. Solo a questo punto dovrebbe

essere possibile applicare un'analisi pi complessa ai dati a supporto di questi
ruoli. Questa analisi potrebbe includere una combinazione di tecniche analitiche,
ad esempio regole definite per identificare un comportamento adeguato noto
o probabilmente non adeguato. Potrebbe inoltre incorporare tecniche di definizione
e di creazione di profili di comportamento pi avanzate, che implementano
tecniche statistiche pi avanzate, ad esempio l'inferenza bayesiana o la
modellazione predittiva. Queste tecniche di analisi possono essere utilizzate
insieme per creare un "modello di influenza", ovvero un modello che combina
indicatori diversi per "assegnare un punteggio" ai problemi identificati dal sistema
in modo che l'analista si concentri sulle aree che richiedono maggiore attenzione.
Migliorare continuamente il modello. Una volta che il sistema in funzione,
dovr essere continuamente ottimizzato per rispondere all'evoluzione dei
vettori di minacce e ai cambiamenti dell'organizzazione. Il sistema dovr essere
in grado di modificare le regole modificate e di regolare i modelli in modo da
eliminare le informazioni non significative, utilizzare altri dati interni ed esterni
all'organizzazione e incorporare funzioni di autoapprendimento per il pieno
successo del sistema.

Il sistema dovr evolversi ed espandersi in modo da rispondere ai cambiamenti

dell'ambiente IT man mano che nuove applicazioni e servizi IT passano online,
creando un ciclo continuo di evoluzione e miglioramento. In tutte le fasi, il sistema
dovr utilizzare al meglio l'intelligence esterna come input per il modello.
Il sistema dovr pertanto utilizzare in modo automatizzato i feed esterni provenienti
dalle origini di intelligence sulle minacce, le informazioni strutturate che includono
blacklist, regole o query, l'intelligence non strutturata che include pastebin,
feed di Twitter o chat IRC e l'intelligence proveniente dalle bacheche interne
o le note provenienti da chiamate o riunioni interne. Il sistema deve inoltre essere
in grado di facilitare la collaborazione nell'ambito delle informazioni condivise.
Il sistema deve condividere i risultati delle query o l'intelligence non strutturata
pubblicamente o in modo controllato con community di interessi basate sulla
fiducia reciproca o solo se strettamente necessario.

L'INFRASTRUTTURA DI BASE APRE LA STRADA A TECNICHE

PI SOFISTICATE
I team della sicurezza aumenteranno considerevolmente le probabilit di successo
nell'implementazione dei "Big Data" concentrandosi innanzitutto sulla creazione di
un'architettura scalabile e sull'implementazione di strumenti per l'eliminazione delle
attivit senza valore aggiunto. Ci consentir di ottenere rapidi benefici, offrir una
piattaforma affidabile e permetter al personale di concentrarsi sull'implementazione
e sulla gestione di strumenti di analisi pi complessi, garantendo i vantaggi seguenti:
Aumento dell'efficienza degli analisti della sicurezza. Il numero di "problemi
per turno" che gli analisti possono gestire pu passare da poche unit a pi
di una decina.
Riduzione del tempo a disposizione degli attacker e, di conseguenza, dell'impatto
delle minacce sul business. Gli analisti si concentreranno pi automaticamente
sulle cause pi probabili dei problemi e le elimineranno prima che possano
danneggiare il business.
Senza questo elemento fondamentale o senza tenere presente un obiettivo chiaro
e concreto, un'iniziativa Big Data potrebbe facilmente avere esito negativo e non
portare i vantaggi previsti.

RSA SECURITY MANAGEMENT: UN ELEMENTO

FONDAMENTALE PER INFRASTRUTTURA,
ANALISI E INTELLIGENCE

Il portafoglio di RSA Security Management offre ai clienti:

Visibilit completa dell'infrastruttura. RSA offre un'infrastruttura comprovata con
la possibilit di raccogliere tutti i tipi di dati sulla sicurezza, in scala e da tutti i tipi
di origini dati. In questo modo gli analisti possono disporre di una posizione unica
per visualizzare i dati sulle minacce avanzate e sull'attivit degli utenti dai dati
raccolti direttamente dalla rete o dai sistemi chiave. L'infrastruttura di RSA
fornisce inoltre unarchitettura unificata per l'analisi in tempo reale oltre che per
la query cronologica e in tempo quasi reale. Tutto questo consente un approccio
completo alle notifiche in tempo reale, all'analisi investigativa, alla metrica,
alle tendenze e alla conservazione e all'archiviazione in ordine cronologico.
Funzioni di analisi flessibili. La piattaforma RSA offre agli analisti gli strumenti
per eseguire indagini rapide, inclusi strumenti intuitivi per l'indagine presentata
per l'analisi rapida, con drill-down dettagliato e integrazione del contesto business
per preparare meglio il processo decisionale. L'approccio di RSA consente di
concentrarsi sugli utenti e sugli endpoint pi sospetti connessi all'infrastruttura
e sui segnali di attivit malevole tramite l'analisi senza firma. La sostituzione
della sessione completa consente di ricreare e riprodurre esattamente quanto
successo.
Intelligence attivata. L'intelligence sulle minacce fornita da RSA consente
agli analisti della sicurezza di trarre il massimo vantaggio dai prodotti RSA
incorporando feed di informazioni sulle minacce attuali. Il team di ricerca
di minacce di RSA fornisce l'intelligence proprietaria da una community di esperti
di sicurezza, incorporata automaticamente nei nostri strumenti tramite regole,
report, parser e watchlist. In questo modo gli analisti possono ottenere un
quadro delle minacce dai dati raccolti dall'enterprise e assegnare la priorit
alle azioni di risposta incorporando le informazioni dal business in modo da
mostrare le relazioni tra i sistemi coinvolti e le funzioni business supportate.
Incident Management ottimizzato. I prodotti RSA consentono ai team della
sicurezza di semplificare la svariata gamma di attivit correlate a predisposizione
e risposta, fornendo un sistema di workflow per definire e attivare i processi di
risposta, oltre agli strumenti per tenere traccia dei problemi attualmente aperti,
delle tendenze e delle indicazioni acquisite. Servizi leader del settore per
prepararsi, individuare e rispondere agli incident. La piattaforma si integra
con il portafoglio RSA e gli strumenti di terze parti per scambiare informazioni
con l'ampia gamma di strumenti necessari per identificare e trattare gli incident
e la gestione della conformit dello streaming.

CONTATTI
Per saperne di pi sulle possibilit
offerte da prodotti, servizi e soluzioni
EMC per risolvere le problematiche
aziendali e dell'IT, rivolgersi al
rappresentante locale o a un
rivenditore autorizzato oppure visitare
il sito italy.emc.com/rsa.

EMC2, EMC, il logo EMC, [aggiungere eventuali altri marchi di prodotti applicabili in ordine
alfabetico] sono marchi o marchi registrati di EMC Corporation negli Stati Uniti e in altri paesi.
VMware, [se necessario, aggiungere eventuali altri marchi di prodotti applicabili in ordine
alfabetico] sono marchi o marchi registrati di VMware, Inc. negli Stati Uniti e in altre giurisdizioni.
Copyright 2012 EMC Corporation. Tutti i diritti riservati. 0812 Panoramica della soluzione
HSMCBD0812
EMC ritiene che le informazioni contenute in questo documento siano accurate al momento della
sua data di pubblicazione. Le informazioni sono soggette a modifica senza preavviso.