CASI CONCRETI: rimedi a problemi reali di Sicurezza Informatica

I vantaggi dell’integrazione fra IBM Security QRadar SIEM & Fortinet FortiGate / FortiAnalyzer, rispetto ai problemi di Data Loss, infezione Virale, Denial of Service

Vinci la sfida delle nuove minacce alla sicureza informaticaLe imprese hanno investito, nel corso degli anni, nello sviluppo graduale della propria infrastruttura, la quale – se ben progettata – è stata in grado di scalare rispetto alla crescita del business. Ne risultano quindi Infrastrutture ICT eterogenee con esigenze di sicurezza informatica direttamente proporzionali al valore degli asset aziendali che custodiscono.L’integrazione fra FortiGate e FortiAnalyzer con QRadar permette ai data Center di piccole, medie e grandi imprese, di migliorare il proprio livello di sicurezza e proteggere l’Organizzazione da malware, virus, vulnerabilità delle applicazioni, perdite di dati, spam e altre minacce, a cui l’azienda stessa è quotidianamente esposta.

Seguono alcuni casi concreti, dai quali poter trarre spunto in termini di paragone, rispetto alle soluzioni adottate da altre Organizzazioni, che presentano esigenze comuni a molte realtà.

Icona protezione carte di creditoPrevenire Data Loss

L’analista del Security Operations Center, responsabile dei gateway e dei server attraverso i quali un rivenditore online internazionale gestisce carte di credito, riceve un avviso e-mail da QRadar, a causa di rilevazione di attività cross-site scripting. Tale avviso viene inviato quando QRadar rileva diversi eventi di questo tipo, provenienti da un FortiGate installato a protezione di sue server “vulnerabili”. L’analista sarà quindi in grado di risolvere la vulnerabilità segnalata, evitando che informazioni sensibili (dati delle carte di credito) vengano inviate all’attaccante.

Icona controllo endpointIdentificare e rimediare a infezioni virali

Su di un’università con diverse sedi sono in esecuzione QRadar e FortiAnalyzer. Il secondo comunica al primo l’avvenuto blocco di 4 virus, seguito da un segnale di “rilevazione virus”. QRadar a sua volta reagisce, eseguendo una contromisura, in seguito all’evento di rilevazione virus generato da FortiAnalyzer, correlato con diversi eventi di virus segnalati da soluzioni di protezione degli endpoint, i quali contengono informazioni sensibili (asset predefiniti critici). L’analista della sicurezza dell’Università è quindi in grado di individuare tutti gli endpoint che hanno subito l’attacco e che devono essere approfonditamente analizzati e “ripuliti”. Incrociando tali informazioni con l’importanza degli asset contenuti nei singoli endpoint, l’analista è in grado inoltre di attribuire ad ogni singolo intervento, la relativa priorità.

Icona controllo securityBloccare attacchi DoS (Denial of Service)

L’amministratore di rete di una banca nazionale riceve un’allerta relativa ad un attacco DoS sulla propria dashboard di QRadar. Sulla base della portata dell’attacco, l’amministratore intercetta l’evento DoS generato da FortiGate, oltre ai flussi e il traffico di rete che hanno attivato la segnalazione di attacco. L’amministratore avrà quindi tutte le informazioni per reagire prontamente, attraverso la definizione di una regola, per i suoi IPS FortiGate, in grado di bloccare il traffico e fermare l’attacco.

 

Le nuove funzionalità di integrazione QRadar-Fortinet

Come mostrato nei precedenti casi d’uso, la piattaforma IBM QRadar Security Intelligence introduce nuove funzionalità che permettono l’integrazione con i firewall FortiGate e i rispettivi log, trasmessi da FortiAnalyzer.

I firewall FortiGate possono essere implementati all’interno di differenti organizzazioni (MSSP, data center, grandi imprese – che utilizzano maggiormente NGFW – o PMI – che utilizzano maggiormente UTM). FortiGate supporta un serie completa di funzioni di protezione, come antimalware / antivirus, controllo delle applicazioni, protezione da perdita di dati, filtraggio web e e-mail, controllo degli endpoint, protezione dalle intrusioni, scansione di vulnerabilità, ecc.

FortiAnalyzer offre la registrazione degli eventi, security reporting e funzioni di analisi su diversi prodotti della famiglia Fortinet, tra cui lo stesso FortiGate. I security logs possono essere filtrati e approfonditamente analizzati per individuare particolari istanze di violazioni di sicurezza; gli alert possono anche essere innescati attraverso criteri predefiniti.

QRadar SIEM mette quindi a disposizione:

  • integrated log, threat, compliance management;
  • asset profiling and flow analytics;
  • offense management and workflow.

 

Esistono diverse possibilità di configurazione di IBM Security QRadar con i prodotti Fortinet:

Direct logging verso IBM Security QRadar

I FortiGate possono essere configurati per inviare i log di sistema basati sugli eventi di security, direttamente a QRadar. FortiGate supporta la porta standard Syslog514 così come l’affidabilità del protocollo TCP601.

Indirect logging verso IBM Security QRadar, via FortiAnalyzer

In questo scenario, i firewall FortiGate sono configurati per inviare i log degli eventi rilevati ad un FortiAnalyzer. Su quest’ultimo, un amministratore IT può visualizzare log, eseguire report e approfondire ulteriori informazioni correlate ai log. Mentre questo è ideale per le implementazioni di sicurezza “FortiGate-centriche”, imprese che presentano ambienti eterogenei possono sfruttare la soluzione SIEM completa di QRadar. In questo caso il FortiAnalyzer può essere configurato per inoltrare, insieme e contemporaneamente ad altri dispositivi, i log deli eventi direttamente a QRadar, il quale, a sua volta, ha il compito di analizzare i dati ricevuti attraverso la propria “intelligenza real time”.

IBM QRadar dashboardIn ogni caso QRadar SIEM permette la il monitoraggio dei problemi citati, attraverso una singola dashboard, che rappresenta un effettivo Security Operations Center. Il suo potente motore di analisi consente di correlare i dati, rilevare eventuali anomalie e generare una maneggevole lista di rischi, identificati in ordine di priorità. Tale elenco costituisce un preziosissimo strumento per l’esecuzione di eventuali ulteriori indagini forensi e interventi di rimedio.

 

Quadro Security

Alessandro Rani

VM Sistemi – IT Development Manager

Related Posts

Pin It on Pinterest