Security Guardian

Applicazione per l’analisi dei log su piattaforma i5 attraverso la quale è possibile innescare azioni in funzione di eventi. Oggi la soluzione ESG si basa sui prodotti Security della IBM “QRADAR Log Manager” e “QRADAR SIEM”, e IBM Maximo. 

La soluzione è stata progettata per monitorare e loggare tutti gli accessi a vari ambienti e dispositivi eseguiti da utenti autorizzati.

Essa è anche aderente al Provvedimento del Garante della privacy, fornendo una serie di funzionalità che rendono semplice ed efficace il compito di tenere sotto controllo i sistemi e di verificare la corretta applicazione delle politiche aziendali.

La soluzione proposta infatti consente l’analisi dei log raccolti in modo centralizzato dalle diverse fonti, filtrando le informazioni necessarie per la verifica della conformità con le politiche di sicurezza, archiviando i dati di log per la revisione a posteriori e fornendo una vista consolidata delle descrizioni grafiche e statistiche degli eventi critici attraverso un cruscotto di monitoraggio.

Per soddisfare le richieste del provvedimento del Garante è necessario affrontare i seguenti argomenti:

Distribuzione – Le informazioni che registrano gli eventi verificatisi sono memorizzate sulle singole piattaforme che costituiscono la rete informatica aziendale.

Autorizzazioni – Per poter accedere a queste informazioni è necessario essere in possesso delle autorizzazioni alla consultazione sulle singole piattaforme.

Interpretazione - Per poter usufruire di tali informazioni è necessario essere in possesso di conoscenze tecniche specifiche per leggere ed interpretare i diversi formati di rappresentazione con cui gli eventi vengono registrati nei file di log.

Dimensioni – Il numero di eventi normalmente registrati dalle singole piattaforme può raggiungere valori che, di fatto, rendono impossibile la ricerca e l’analisi di ciò che è accaduto all’interno del sistema.

La soluzione utilizza la metodologia detta W7 per consolidare, normalizzare ed analizzare le numerose attività sui sistemi, fornendo allarmi e report contenenti le seguenti informazioni:

  • Chi (Who)
  • Cosa (What)
  • Quando (When)
  • Dove (Where)
  • Su cosa (OnWhat)
  • Da dove (From Where)
  • Verso dove (To Where)

L’insieme di queste sette istanze permette di descrivere in modo uniforme tutti gli eventi registrati nel log del sistema a prescindere dal formato originario con cui questi sono stati creati. Le modalità operative con cui la soluzione interviene nel processo di controllo dei file di log sono le seguenti:

Acquisizione dei file di log: I file di log vengono collezionati nel formato nativo ad interventi schedulati mediante la funzionalità di “Collect” di QRADAR. Essi vengono compressi e trasmessi in modo sicuro in un repository denominato “depot”.

Archiviazione dei file di log: I file di log collezionati nel “depot” vengono archiviati mediante la componente SSAM che permette di conservarli senza possibilità di modifica durante il periodo di retention.

Normalizzazione dei dati: I dati memorizzati vengono normalizzati nel formato “W7″. Tale formato permette sia agli esperti di sicurezza che al personale non tecnico di interpretare le informazioni di log riducendo il bisogno di specifiche competenze tecniche

Aggregazione dei dati: Un processo di aggregazione sviluppa un “database di dati aggregati” da cui è possibile estrarre trend, statistiche ed informazioni di dettaglio.

Reporting: La soluzione ha la potenzialità di fornire diversi tipi di report conformi agli standard internazionali (ISO27001, PCI – DSS, Sarbanes-Oxley, Basilea II, GLBA, HIPAA). Il prodotto fornisce un cruscotto grafico con descrizioni statistiche e allarmi degli eventi critici. La soluzione permetterà di creare dei report sulla base delle esigenze del cliente, tramite un apposito tool incluso nella soluzione.

Le informazioni elaborate, normalizzate e filtrate dai criteri predefiniti mediante la console di gestione, sono conservate in modo da rendere possibile la consultazione del database agli utenti con diversi livelli di autorizzazione di accesso in base al profilo assegnato (sicurezza della soluzione proposta).

La soluzione può dare inoltre supporto nell’ambito di attività di analisi forense che, a partire da una vista di alto livello sulla conformità dei sistemi aziendali alle normative di sicurezza, permettono di arrivare in “drilldown” fino al recupero dei log in cui sono registrati i singoli eventi oggetto di audit.

Help Desk /Ticketing & Services: La soluzione, identificata una potenziale minaccia o violazione delle regole, è in grado di aprire un ticket su IBM Maximo innescando apposito WorkFlow per l’assegnazione del ticket e l’attivazione del team di intervento tecnico. Questa automazione è gestita dal motore di Maximo Designer. La soluzione è integrata con i moduli “mobile” di Maximo (EveryPlace) per avere notizia degli allarmi ricevuti.

Nell’ambito della suite Maximo utilizziamo inoltre la tecnologia BIRT per la realizzazione delle dashboard di sintesi sui principali indicatori.

Compliance Applicativa: Attraverso l’uso di Tivoli Provisioning vengono prodotti report che evidenziano software installati fuori dalle politiche aziendali. Apposite escalation inviano segnalazioni per e-mail della situazione ai vari utenti e loro responsabili.


Twitter