SIEM

Mitigare Data Loss e Data Leakage individuando “chi, cosa e dove”

Per ottenere una panoramica completa su questa soluzione

In azienda gli Asset rappresentano il valore dei servizi erogati e della capacità produttiva: il bene più prezioso da difendere. Molto spesso la vittima viene a conoscenza dell’attacco solo una volta che l’Asset è già stato compromesso.

Nonostante sia chiaro che le informazioni rappresentino una imprescindibile sorgente di valore, i report di settore non sempre evidenziano statistiche incoraggianti, con una crescita esponenziale di attacchi informatici a danni di cittadini ed imprese, spesso perpetrati attraverso strumenti di uso comune nell’ecosistema aziendale, primo tra tutti la posta elettronica.

L’implementazione di policy sulla sicurezza informatica, sebbene di primaria importanza, potrebbe non essere sufficiente. Occorre adottare un approccio trasversale e multidisciplinare di gestione del rischio informatico, un modello di governance che, oltre agli imprescindibili elementi di cyber security, integri quelli di compliance normativa – essenziali per costruire un perimetro di sicurezza che sia al contempo coerente ed efficace.

Molti server, apparati di rete e di sicurezza, generano grandi quantità di Log, riferite agli eventi che li vedono coinvolti, ma eventi che hanno una rilevanza solo se correlati.

ESIGENZA

  • Limitare il pericolo di un blocco della produzione, dovuto ad un attacco informatico
  • Raccogliere, elaborare, utilizzare e memorizzare un numero considerevole di informazioni e mantenerle riservate
  • Disporre di performance elevate per le analisi in tempo reale, necessarie al fine di consentire reattività nel momento del bisogno
  • Visualizzare cruscotti user friendly che permettano la creazione di dashboard personalizzate
  • Effettuare analisi di flussi, correlando e interpretando dati provenienti dai sistemi più diffusi sul mercato
  • Fondere flessibilità e interazione, attraverso API specifiche, con sistemi che nativamente non prevedono l’esportazione di informazioni, al fine di una loro analisi.

SOLUZIONE

Nella sua accezione di componente del perimetro di sicurezza in ambito IT, il SIEM svolge una serie di compiti e funzioni che vanno nello specifico a rispondere ad una necessità specifica, ossia, la visibilità totale, in tempo reale, di quanto accade, accadrà o è accaduto all’interno di un sistema IT.

Sul mercato SIEM si traduce in IBM QRadar, la piattaforma (insieme di componenti) al centro della Security Intelligence di IBM, posizionata da Gartner come Leader nella classifica del Magic Quadrant degli ultimi anni.

GDPR QRadarIBM QRadar è la piattaforma Security lntelligence di IBM che, grazie al potente motore di correlazione real time degli eventi e alle funzioni di network forensics, consente di mitigare la perdita o la fuoriuscita di dati aziendali (Data Loss e Data Leakage), oltre che di investigare a posteriori le principali cause di perdita dei dati, individuando “chi, cosa e dove”.
In particolare QRadar SIEM fornisce ampia visibilità, utili e dettagliate informazioni per supportare la protezione delle reti e in generale delle risorse IT, da una vasta gamma di minacce avanzate.

Consente di rilevare e correggere le violazioni in maniera estremamente rapida, migliorando l’efficienza delle particolari policy di sicurezza adottate dalle imprese.

BENEFICI

  • Performance elevate per analisi in tempo reale
  • Modulare ed adattabile a seconda della necessità
  • Analisi di flussi per correlare e interpretare i dati provenienti dai sistemi più diffusi sul mercato
  • Flessiblità per l’esportazione di informazioni attraverso API specifiche

PARTNER TECNOLOGICI

IBM Platinum Partner

USE CASE

Grazie ad IBM QRadar è possibile rilevare diverse tipologie di compromissione, quali ad esempio:

  • Jailbroken mobile device
    • Impostabile con una delle 500 regole native di QRadar, intercettando la richiesta DNS di un iPhone interno craccato, richiamato da un indirizzo esterno. Si passa quindi alla segnalazione verso l’utente
  • Suspicious probe events
    • Movimento in rete che non sembra normale, segnalato da QRadar tramite email. Collegandosi al sistema è possibile individuare i movimenti sospetti, il tipo di connessione (es. VPN) e l’utente specifico legato a queste attività e i flussi di dati che sono stati trasferiti. Controllando poi le regole impostate e ordinando gli eventi porta per porta è possibile approfondire ulteriormente l’origine dell’attività e verificarne la malevolezza o meno. Per fare ciò è possibile anche richiamare il client Watson per approfondire la ricerca e analizzare e correlare una serie di dati che umanamente non sarebbe possibile verificare. Infine sarà possibile informare il Cliente con il risultato di tutto l’approfondimento.
  • Traffico DNS non autorizzato -> everiday tuning
    • Individuando traffico verso IP pubblici, anche piccolo che sia, verificando il traffico permesso dal firewall, anche attraverso il servizio X-Force Exchange, è possibile individuare il rischio legato agli IP e le botnet potenziali. Oltre a tutti gli strumenti messi a disposizione dal QRadar c’è ovviamente tutto l’esperienza di VM Sistemi maturata sul campo, che può individuare traffico, seppur potenzialmente lecito, che non avrebbe dovuto esistere e quindi cela potenziali pericoli e comunque eventuali miss configuration.

LE NOSTRE SOLUZIONI ICT SECURITY

IoT & Industrial Security
VA (Vulnerability Assessment)
SIEM
Patch Manager
End Point Security
Email Security
Web Application Firewall
Security Awareness
Access Management
Network Security
18 Ottobre 2020

Pin It on Pinterest