Ti senti realmente sicuro e protetto dalla tua soluzione Antimalware basata sull’ultima signature?
Sei contento della tua soluzione di Host-IPS/Firewall a “pacchetto” sugli endpoint?
Credi che la diffusione delle nuove minacce e delle frodi informatiche possa essere identificata e contrastata con strumenti di indagine anche a livello di rete?

In base ad un rapporto condotto da Verizon nel 2012, il 99% delle violazioni ha compromesso i dati sensibili dopo alcuni giorni, mentre l’85% delle violazioni è stato individuato solo dopo alcune settimane.

Più è il tempo in cui gli hacker hanno l’opportunità di accedere ai sistemi, maggiore è la quantità e qualità dei dati sottratti alla vittima dell’attacco. I sistemi di difesa tradizionali risultano quindi inefficaci contro le nuove minacce e gli attacchi Zero-Day i quali, a differenza di un tempo, risultano essere molto più sofisticati e mirati a specifiche tipologie di dati o peggio di organizzazioni.

l'esigenza

Queste le principali esigenze che emergono rispetto a questo tema:

  • scovare in modo efficace le nuove minacce evitando la generazione di falsi positivi;
  • rispondere in modo rapido alla minaccia e isolarla, raccogliendo dal perimetro di rete tutte le informazioni necessarie ed identificando gli obiettivi del business da proteggere;
  • risolvere in tempi brevi il problema che può aver causato la minaccia, cercando di abbassare il più possibile i costi d’intervento;
  • gestire gli incidenti e rispondere alle esigenze di conformità normativa (Risk & Compliance).

la soluzione

Per contrastare in modo efficace la nuove minacce, si propone un approccio che affianchi il tradizionale sistema antimalware basato su firma (Content Inspection, Firewall, IPS) ad uno innovativo, basato sull’analisi statica del codice e sull’analisi del comportamento del malware stesso (Advanced Threat Detection).

Tutte le informazioni vengono gestite con sistemi utili a indagare e a risolvere gli incidenti di sicurezza attraverso strumenti di Security Information and Event Management (SIEM) e di analisi dei Big Data (Security Analytics/Forensics).

i vantaggi

Anzitutto la presenza di più motori di analisi del malware in un’unica soluzione, col vantaggio immediato di non rendere necessario l’acquisto di più prodotti, spesso non comunicanti tra loro.

I motori di analisi utilizzati operano:

  • con il tradizionale metodo di signature;
  • per reputazione globale della risorsa (indirizzo IP, URL, file);
  • con analisi statica del codice;
  • con analisi dinamica del codice, ossia con l’analisi del suo comportamento, mediante l’uso di sandbox, per rilevare i comportamenti malevoli che sfuggirebbero alla sola analisi statica.

Un ulteriore vantaggio, grazie agli strumenti di SIEM e di Security Analytics/Forensics, è di poter raccogliere tutte le informazioni prodotte da:

  • apparati di rete, come Router, Firewall e strumenti di Content Inspection (antimalware in generale);
  • strumenti di gestione centralizzata della sicurezza per endpoint;
  • Network Intrusion Prevention System;
  • elementi dell’infrastruttura IT (applicazioni, sistemi, sistemi di virtualizzazione, Storage, ecc.);
  • servizi di gestione dell’identità e di accesso (Strong Authentication; Single Sign-On; Authentication Server; ecc.).

e di analizzarle in modo efficace ed in tempo reale, mediante strumenti visuali e mappatura degli asset strategici, come stanno evolvendo le difese messe in atto.

Tutto ciò permette di avere un quadro completo per definire le contromisure appropriate per mitigare i rischi e per rispondere ad esigenze sempre più stringenti di conformità normativa, in uno scenario dove l’attacco mirato e persistente (Advanced Persistent Threat), o semplicemente sconosciuto (Zero-Day), costituisce la minaccia grave di riferimento che ogni organizzazione deve valutare per una gestione efficace di Sicurezza & IT Risk.