Caso d’uso: aumentata la protezione dell’infrastruttura ICT

Le imprese hanno investito, nel corso degli anni, nello sviluppo graduale della propria infrastruttura ICT, la quale – se ben progettata – è stata in grado di scalare rispetto alla crescita del business. Ne risultano quindi Infrastrutture ICT eterogenee con esigenze di sicurezza informatica direttamente proporzionali al valore degli asset aziendali che custodiscono.

Ecco un esempio concreto di come è stato possibile elevare il livello di sicurezza di un’azienda, con l’obiettivo di proteggere l’Organizzazione da malware, vulnerabilità delle applicazioni, perdite di dati e di reputazione e altre minacce, a cui la stessa è quotidianamente esposta.

Le esigenze del Cliente

Al fine di migliorare la protezione dell’infrastruttura ICT e ridurre quindi, in maniera incrementale nel tempo, il rischio di attacchi dall’esterno, ma anche – spesso inconsapevolmente – dall’interno, dovendo gestire una vasta quantità di dati sensibili relativi ai propri utenti finali, insieme al Cliente abbiamo messo a fuoco primariamente le esigenze di business, per poi individuare le contromisure tecnologiche, in grado di ovviare alle criticità esplicite ed implicite:

  •  intercettare in maniera globale e puntale incidenti di sicurezza, anomalie, comportamento utenti,
  • migliorare le funzionalità di investigazione di incident o eventi più in generale, sul perimetro dell’infrastruttura aziendale,
  • ottenere visibilità e reportistica delle attività utente rispetto all’ utilizzo delle risorse aziendali,
  • intercettare e mitigare le problematiche causate da malware sulle postazioni utente,
  • gestire i log, rilevare le anomalie, analizzare gli incidenti, rispondere agli incidenti, gestire configurazione e vulnerabilità.

La soluzione iperintegrata
#HYPERINTEGRATION

Le funzionalità infrastrutturali individuate sono state implementate dopo un’attenta condivisione con il Cliente, rispetto a quali dispositivi e sistemi fossero più adatti ed integrabili nel contesto esistente:

  • gestione eventi syslog e flussi di traffico (telemetry) con un Cluster Firewall Fortigate 300 (firewall core) ed un core switch Cisco Catalyst 4500;
  • gestione eventi Windows con funzione User Behavior Analysis, su Server Domain Controller Active Directory;
  • gestione eventi syslog, provenienti da piattaforma Trend Micro Offiscan;
  • gestione dei log per proteggere le infrastrutture IT e rispettare i requisiti di conformità, con IBM Security QRadar Security Log Manager;
  • Security intelligence e Sense Analytics per proteggere gli asset e le informazioni dalle minacce avanzate, con IBM Security QRadar SIEM;
  • servizio gestito di monitoraggio e generazione reportistica, con attività periodica di tuning del sistema, con il nostro Managed Service “Network and Systems monitoring”;
  • servizio di attività evolutiva e analisi degli incidenti di sicurezza, con il nostro Managed Service “Cyber Security Analysis”.-> MI PARE TROPPO
  • Integrazione con le funzionalità di analisi avanzate offerte da IBM Watson for Cybersecurity

Ulteriori vantaggi rispetto alle primarie esigenze

ManagedServices_logos_04_NSM_Evidenza1Il nostro principale valore aggiunto è dato dalla possibilità di far convergere diverse tecnologie, messe a disposizione attraverso una selezionata rete di Partner, in soluzioni uniche. Le nostre competenze, nell’integrazione dei diversi componenti, elevano infatti le nostre soluzioni “oltre” alla semplice somma delle loro parti.

IBM QRadar

Iperintegrazione sia di componenti, sia di servizi proattivi, i quali permettono al Cliente di sfruttare appieno l’innovatività delle tecnologie acquisite. Innanzitutto l’attività preliminare effettuata di Assessment pianificazione infrastrutturale è stata fortemente propedeutica alla corretta implementazione e quindi all’efficiente funzionamento del sistema di Event& Log Management.

In questo specifico caso poi, attraverso QRadar reporting è prevista la generazione – su base mensile – di una serie di report creati ad hoc sulla base delle esigenze del Cliente e di quanto condiviso durante le fasi di assessment e deployment.

Inoltre – sempre a cadenza mensile – per l’implementazione di QRadar SIEM, è stata prevista un’attività di tuning del sistema per l’affinazione di regole (CRE: Custom Rule Engine), asset inventory e la generazione di use case specifici, atti ad affinare e rendere costantemente più efficace il sistema SIEM per l’ individuazione, la prevenzione e la mitigazione di Cyber minacce. Tale attività, fortemente consigliata per implementazioni SIEM, rientra nell’ambito del metodo cosiddetto Continual Service Improvement, fondamentale per un corretto approccio alla Cyber Security.

A completamento della soluzione iperintegrata non poteva infine mancare un servizio di analisi – anch’esso schedulato mensilmente – effettuato direttamente da un Security Specialist, per l’investigazione e l’analisi di Offenses attive o, più in generale, di anomalie rilevate per le quali il Cliente necessiti di supporto. Anche tale attività, come la precedente, rientra nell’ambito dell’approccio di Continual Service Improvement

 

Cyber Security EvidenzaAlessandro Rani
VM Sistemi – IT Development Manager

Related Posts

Pin It on Pinterest