Security Information Management Come raccogliere e proteggere tutti i tuoi dati Presentazione Tecnica - Gennaio 2012

Transcript

1 Security Information Management Come raccogliere e proteggere tutti i tuoi dati Presentazione Tecnica - Gennaio 2012

2 Scenario La crescente complessità dell IT implica la necessità di dotarsi di strumenti per la gestione e il controllo delle risorse coinvolte Disporre di dati affidabili sull utilizzo della rete e delle sue componenti Disporre di tutte le informazioni necessarie per: o o o ottimizzare le risorse, adeguarsi alle normative vigenti (DL196/2003), inibire comportamenti che possono compromettere l efficienza dei sistemi L analisi dei log è gravosa La raccolta, il filtraggio e la correlazione dei log devono essere delegati a strumenti dedicati La soluzione deve essere: o o o o o o affidabile, scalabile, flessibile, in grado di gestire device multivendor, compatibile con futuri upgrade, in grado di quantificare in tempo reale l uso della banda, individuare le attività a rischio (per poter migliorarne la funzionalità e pianificarne gli ampliamenti)

3 Scenario Raccogliere una quantità di dati di LOG sempre crescente; organizzare dati provenienti da un gran numero di diversi device (rete, storage, hosts, applicazioni, sicurezza); i dati devono essere raccolti in formato nativo (RAW) e senza alterazioni (non filtrare i dati preventivamente); i dati devono essere raccolti con rapidità; ridurre la ridondanza dei silos contenenti i dati; raccogliere i dati in una piattaforma centralizzata e dedicata; ridurre la necessità di agenti software; non fermare l ambiente di produzione; non dedicare risorse a tempo pieno all attività di log collecting (es. per la configurazione dei device, per la riduzione dei falsi positivi, ecc.); rendere i dati raccolti intelleggibili ai numerosi stakeholders che richiedono diverse informazioni attinenti alla sfera di loro interesse (Network, Security, Server, Database e Application Administrators); correlare eventi che presi singolarmente potrebbero non avere un significato particolare ma che presi nel loro insieme indicano che è in corso un attacco (es. SQL Injection, Trojan Horses + Worm, ecc.); rendere i dati di log disponibili in tempo reale (per poter monitorare realtime i devices e intervenire rapidamente in caso di minacce, violazioni e attacchi); rendere i dati di log disponibili per incident management e forensic analysis (per audit interni, su richiesta dell autorità giudiziaria, ecc.)

4 Scenario L IT oggi: molti dati, molti stakeholders - soluzione Log Management Platform Web server activity logs Web cache & proxy logs Content management logs Windows logs Switch logs IDS/IDP logs Windows domain logins Wireless access logs Oracle Financial Logs VA Scan logs Router logs VPN logs Perimeter Firewall logs Linux, Unix, Windows OS logs Mainframe logs DHCP logs San File Access Logs VLAN Access & Control logs Database Logs Client & file server logs È necessario collezionare e proteggere tutti i dati in modo sicuro

5 Scenario Gestire la compliance di sicurezza per gestire correttamente il rischio e i costi Access Control Enforcement Privileged User Management Unauthorized Service Detection IP Leakage Policy Enforcement Watchlist Enforcement Configuration Control Lockdown enforcement Malicious Code Detection Spyware detection User Monitoring RealTime Monitoring SLA Monitoring False Positive Reduction

6 Scenario L azienda cresce e aumentano le informazioni ridondanti

7 Il prodotto È un applicazione di security information e event management che raccoglie e analizza automaticamente le informazioni di log dai seguenti ambienti: Network Security Application Operating System Storage È possibile eseguire l Audit dei log LogSmart Internet Protocol Database (IPDB) fornisce l architettura per raccoglie e protegge i dati dei device, lavorando efficientemente su dati nativi non strutturati, senza nessun filtro, normalizzazione di dati o agents. Monitora indipendentemente gli eventi di rete e di sicurezza per: generare allarmi per possibili compliance breaches eseguire analisi e report sulle performance di rete

8 In che consiste LS Series ES Series envision è fornito insieme ad un appliance hardware e un sistema operativo per formare una piattaforma scalabile che fornisce: livelli prestazionali garantiti la possibilità di future espansioni Colleziona e protegge tutti i dati - Compliance and Security Success envision correlazione di eventi e report Gestione della conformità di sicurezza Con l aumento della complessità delle aziende aumenta anche la complessità dell infrastruttura. Tutto questo ha un elevato costo di gestione. envision può analizzare sia i dati in tempo reale che quelli storici per presentare le informazioni in svariate modalità destinate a soddisfare queste esigenze. Organizza e aggrega facilmente eventi di sicurezza, della rete e delle applicazioni, di centri geograficamente separati; questo permette di soddisfare i requisiti di conformità a normative, direttive e standard quali Sarbanes Oxley (SOX), Health Insurance Portability and Accountability Act (HIPAA), Gramm-Leach-Bliley Act (GLBA), Payment Card Industry (PCI) e BS Aumenta l'efficacia della sicurezza con allarmi baselined e analisi on-demand di attività della rete per Incidenti di Sicurezza. Verifica le politiche di sicurezza e l'accesso di utenti privilegiati; stabilisce le tracce per risalire alle minacce e i problemi

9 Come funziona Raccoglie e Protegge tutti i dati di ogni IP device aziendale eventi di security exception e informazioni di IT operations assenza di filtri, normalizzazioni e data reduction Abilita Compliance e Security Operations ambienti di lavoro personalizzabili per compliance e security professionals compliance & security reports / alerts standard e personalizzabili Strumenti di Information Lifecycle Management (ILM) all avanguardia per soluzioni di Compliance e Security Minimizza Costi Operativi dati immagazzinati in forma compressa appliance package di facile deployment non sono richieste risorse DBA non sono richiesti agents (*) * Dipende dal device che si intende monitorare. Un nuovo device viene scoperto automaticamente attraverso l opzione Discovery Enabled del NIC Collector Service non appena envision inizia a ricevere gli eventi di quel device 9

10 L architettura Logica Security Event & Op s info Dati non filtrati architettura parallela assicura alert performance Facile deploy di Appliance Packaging Agents non richiesti Motore XML UDS flessibile Raw logs (data compression > 95%) compressione media ~70% ambienti di lavoro personalizzabili Compliance & security reports totalmente personalizzabili

11 L architettura Fisica

12 Funzioni disponibili Differenze tra Smart DB e DB tradizionale Parallel analysis Authenticated Compressed Object-oriented Relational Database LogSmart IPDB

13 Funzioni disponibili L architettura dell IPDB crea un unica struttura di directory per ogni event source device. In questo modo viene fornito un contenitore per ogni log device Ogni event source device contiene 5 files per ora. Ogni data file (compresso e criptato) contiene tutti i log di 1 ora. Gli altri files sono meta data (sommari e indici) che vengono usati per report e analisi. L utilizzo dei meta data per la reportistica incrementa notevolmente le performance dell analisi Protocolli supportati Syslog, Syslog NG SNMP log files formattati (delimitati da virgola/tab/spazio etc.) connessione ODBC a database remoti Push/pull XML files via HTTP Windows event logging API CheckPoint OPSEC interface Cisco IDS POP/RDEP/SDEE

14 Funzioni disponibili Servizi Disponibili: In envision sono presenti servizi che sono necessari per comunicare con alcuni devices specifici. FW-1 LEA Client Service comunica attraverso il protocollo proprietario di Check Point e API per raccogliere gli eventi generati dai device Check Point; converte i messaggi in eventi UDP e li invia al NIC Collector Service. File Reader Service legge e crea file di log per i Web Log devices. Secure IDS Service comunica attraverso il protocollo proprietario CISCO Secure IDS sensor e API per raccogliere gli eventi generati dal sensor; converte i messaggi in eventi UDP e li invia al NIC Collector Service. Secure IDS Service (XML) comunica attraverso il protocollo proprietario CISCO Secure IDS sensor e API per raccogliere gli eventi generati dal sensor; converte i messaggi in eventi UDP e li invia al NIC Collector Service. ODBC Service consente al sistema di raccogliere i messaggi da definizioni ODBC multiple; converte i messaggi in syslog events e li invia al NIC Collector Service. Windows Service - consente al sistema di raccogliere i messaggi di log da sistemi Windows remoti senza dover installare nessun software di terze parti.

15 Funzioni disponibili Inerfaccia Utente envision è composto di 4 moduli, accessibili via web da un unica finestra Overview (monitoraggio dello stato di salute e delle performance dei Sistemi e configura envision) Alerts (setup e monitoraggio degli alerts) Analysis (fornisce strumenti di analisi sugli eventi raccolti) Reports (lancia report standard di network security e traffic analysis, permette di creare e lanciare reports personalizzati) Dashboard Per rivedere gli elementi contenuti nel dashboard (report e grafici) mostrando i dati di sistema correnti System Performance Monitora il processing status dei messaggi in entrata dei network security devices Best Practices Accesso ai documenti delle Best Practices, per argomenti come le regole di compliance System Configuration Configura i device in envision, i messaggi, le directories, gli utenti, il servizio NIC Alerter, i tools System Performance ed Executive Dashboard

16 Funzioni disponibili Moduli Allert Real-Time Details - Monitoraggio visuale degli alerts per la vista assegnata all utente connesso Alert History - Visualizza la lista degli alerts dal database Alert Dashboard - Monitora il picco di viste multiple concorrenti su un unica schermata Alert Configuration - Configura viste, azioni di output, allarmi correlati, SiteTrack, NIC Alerter Service, i tool Real-Time Details, Alert History, Enterprise Dashboard (*) Modulo Analisys Event Viewer - Visualizza i dati in ingresso e i grafici degli eventi per attività di analisi Query - Strumento per creare e lanciare queries sui dati delle tabelle del database Analysis Configuration - Setup del Query tool * Un Enterprise Dashboard collection è una combinazione di viste e collezioni disegnate per raggruppare una serie di allarmi nella finestra Enterprise Dashboard

17 Funzioni disponibili Modulo Report Scheduled Report - Visualizza i report schedulati generati da envision Ad Hoc Report - Strumento per creare, modificare e lanciare reports Report Configuration - Strumento per la gestione dei reports ad hoc, la schedulazione, le opzioni e le cartelle di output dei reports Administration Semplice interfaccia per gestire centralmente tutti gli aspetti configurabili del sistema: gestire tutti i device su una sola schermata specificare i diritti di accesso degli utenti (envision è integrabile con sistemi di autenticazione già esistenti come LDAP) configurare e lanciare i servizi in background opzioni (spazio su disco da utilizzare, directory di default) Alert monitor Console per la consultazione e l impostazione degli alert in real-time. Consente di: specificare la modalità di ricezione degli alert (anche SNMP, SMTP verso console remote) consultare gli alert (raggruppati o suddivisi per device) impostare filtri e soglie per monitorare eventi

18 Funzioni disponibili Dashboard Cruscotto di monitoraggio in real-time di tutta l attività svolta da envision, per tenere sotto controllo: le performance flusso di dati entrante (EPS) lo spazio su disco occupato quali file sono sotto analisi Accedendo all interfaccia di gestione del singolo servizio è possibile configurare gli strumenti di misura secondo le proprie esigenze Event Viewer Gli eventi possono essere visualizzati per tipo di evento (informazioni statistiche) o per time (analisi dell andamento e delle variazioni degli eventi nel tempo). Inoltre può mostrare i messaggi nel loro formato originale con tutte le informazioni più rilevanti. Permette di: osservare i dati in ingresso in tempo reale (anche in base a filtri, come ad esempio sito, device, IP) effettuare analisi sui dati storici archiviati

19 Funzioni disponibili QUERY Tool che tramite un interfaccia semplice e immediata permette di: impostare query anche su più tabelle contemporaneamente impostare, memorizzare e lanciare le query in un secondo tempo esportare i risultati in formato facilmente manipolabile anche da altre applicazioni utilizzare funzionalità drill-down Report VU Tool di reporting che: contiene report tabulari e grafici standard incorporati consente o o o o o una completa personalizzazione nei contenuti una completa personalizzazione nella presentazione grafica dei dati l esportazione dei report in HTML, csv e altri formati standard l abilitazione di determinati profili utente alla visualizzazione dei singoli report la produzione di report manuale o schedulata

20 Funzioni disponibili Security Option Persino le migliori difese non riescono a fermare tutte le potenziali minacce alla sicurezza. Per rendere completamente sicure le infrastrutture è necessario sapere esattamente e in tempo reale che cosa sta accadendo sull intera rete. RSA envision fornisce una soluzione di security information ed event management per tenere sotto controllo il 100% delle infrastrutture (dagli switches ai routers, i device di sicurezza, hosts, applicazioni, server e storage). Attraverso l aggregazione realtime di tutti i dati, la loro analisi nel database IPDB e il baseline learning system, è possibile vedere che cosa di usuale (o insolito) avviene sulla rete. La complessità è nemica della sicurezza. E oggi molte infrastrutture di sicurezza aziendali sono incredibilmente complesse, con un gran numero di sistemi di sicurezza distribuiti in rete. RSA envision fornisce soluzioni di sicurezza che semplificano radicalmente la gestione della sicurezza attraverso il consolidamento, la normalizzazione e l analisi dei dati provenienti da infrastrutture complesse. Per i clienti, questo approccio riduce significativamente le inefficienze in quanto offre la possibilità di rispondere rapidamente alle minacce e di avere una visibilità totale della rete.

21 Funzioni disponibili Access Control Enforcement Obiettivo del cliente: Essere sicuro che gli accessi IT siano conformi alle policies aziendali Ridurre i costi e la complessità mantenendo il controllo della griglia di accesso Rinforzare le policies di controllo di accesso non attraverso nuove regole ma stabilendo accountability for violations Avere capacità complete di auditing Assicurare conformità con le principali normative internazionali (FISMA, HIPAA, SOX, ecc.) envision Solution: Baselines: envision aiuta a creare delle baselines del normale comportamento di accesso ai sistemi. Le attività difformi possono essere ulteriormente investigate per determinare se sono eventi di interesse (inizio di una sessione, autenticazione utente, login e logout, autorizzazioni negate, accesso agli oggetti) Alerting: gli Amministratori possono settare allarmi specifici da attivare quando le soglie delle baselines vengono oltrepassate. Questi allarmi forniscono l immediata notifica di quando avvengono eventi interessanti relativi al controllo di accesso (inizio sessioni, tentativi di login riusciti e falliti, ecc.) Reporting e Auditing: envision genera completi e accurati report dell intero ambiente di security audit che aiutano a rafforzare le procedure di policy e compliance (network session activity, top session initiators, top authorized users, top failed login sources, top modified objects, top super-user/privileged accounts, top system objects accessed, user & system operations during interval, ecc.)

22 Funzioni disponibili False Positive reduction Obiettivo del cliente: I sistemi di sicurezza di rete possono generare volumi elevatissimi di eventi, ma è compito degli addetti alla sicurezza analizzare ogni occorrenza per distinguere le reali minacce dai falsi allarmi (che solitamente sono la maggioranza dei casi) Automatizzare il processo di conferma dei falsi positivi facendo leva sull investimento nell infrastruttura esistente di VA Scanner Ridurre l impatto economico della gestione delle difficoltà causate da intrusioni/attacchi non reali envision Solution: envision raccoglie tutti i dati di log nell IPDB da ogni elemento della rete, consentendo di creare correlazioni avanzate e analisi che aiutano a raggiungere una approfondita comprensione degli eventi sospetti e a separare i falsi positivi dagli allarmi reali Baselines: envision aiuta a creare delle baselines della normale attività di alerting e a definire le variazioni causate da minacce di sicurezza o veri e propri attacchi. Le attività difformi possono essere ulteriormente investigate per determinare se sono eventi di interesse. Le baselines si possono settare per tassi di eventi analizzati /confermati / falsi positivi e sono importanti perché l andamento dei falsi positivi e degli attacchi possono essere usati come indicatori precoci di follow-on attacks Alerting: gli Amministratori possono settare allarmi specifici da attivare quando le soglie delle baselines vengono oltrepassate. Per ridurre i falsi positivi, envision rimpiazza processi manuali con criteri automatici per determinare la validità degli allarmi. Reporting e Auditing: reports on-demand e schedulati (top confirmed attacks overall, top confirmed attacks by sources / destination / target / applications / reasons / vulnerability)

23 Funzioni disponibili Real Time Monitoring Obiettivo del cliente: Capire che cosa sta succedendo all interno della rete aziendale e della infrastruttura di sicurezza Analizzare i guasti dei servizi di rete per mezzo di forensic analysis del traffico di rete e degli eventi di sicurezza Ottimizzare le pratiche esistenti costruite intorno ad un continuo monitoraggio real-time della rete e degli eventi di sistema envision Solution: Baselines: l utilizzo della rete è un indicatore precoce dell impatto sulla disponibilità e sulla qualità dei servizi dovuta a difetti o incidenti di sicurezza. envision aiuta a creare delle baselines del normale utilizzo della rete. Le attività difformi possono essere ulteriormente investigate per determinare se sono eventi di interesse. Attributi importanti per monitorare l utilizzo della rete: traffico per desktop / users / groups / servers specifici; profili di traffico per accesso ai servizi (web, name, file, P2P); sommari e statistiche per utilizzo di protocolli IP (bandwidth, sessioni); QoS dimensions (throughput, network response e latenza); ecc. Alerting: gli Amministratori possono settare allarmi specifici da attivare quando le soglie delle baselines vengono oltrepassate. Gli allarmi possono essere generati con i seguenti importanti criteri: top bandwidth / sessions / applications by department / locale Reporting e Auditing: reports on-demand e schedulati (picchi di traffico in un determinato intervallo di tempo, resource capacity needs )

24 Obiettivo del cliente: Funzioni disponibili Unauthrized Network Service Detection Localizzare i rogue services e disabilitarne l accesso alla rete. Questa sfida è resa ancora più complicata dal fatto che il traffico da servizi di rete non autorizzati spesso utilizza applicazioni, protocolli e servizi noti e abilitati (applicazioni web, P2P, instant messaging) I servizi di rete possono essere facilmente abilitati su desktops standard e percorsi aperti lungo le difese di rete possono essere usati L esposizione a servizi non autorizzati può portare a: - trasferimento illegale / inappropriato di contenuti - perdita di proprietà intellettuale - violazione della privacy - consumo di risorse di rete e di sistema envision Solution: Baselines: envision aiuta a creare delle baselines della normale attività operativa e a definire le variazioni basate su statistiche key operational. Le attività difformi possono essere usate come meccanismo primario di rilevamento di servizi non autorizzati: - utilizzo anomalo della bandwidth (può indicare trasferimento di dati); - statistiche sulle sessioni (indica applicazioni che accettano connessioni); - profili di traffico (inbound, outbound); - eventi di sicurezza generati dalle applicazioni Alerting: gli Amministratori possono settare allarmi specifici da attivare quando le soglie delle baselines vengono oltrepassate. Gli allarmi scattano non appena vengono rilevati eventi corrispondenti ai criteri associati ai servizi di rete non autorizzati Reporting e Auditing: reports on-demand e schedulati (top services participants, host by connection rate, top sessions by well-known protocols ports, top data transfer by well-known protocols ports / elenco degli host ordinati per bytes trasferiti, durata delle sessioni by well-known protocols ports/ elenco delle sessioni per durata)

25 Funzioni disponibili Watchlist enforcement Obiettivo del cliente: Avere una unica watchlist su oggetti di interesse (offenders identificati per indirizzo IP e username, servizi di rete e sistemi specifici) piuttosto che numerose consolle e interfacce Assistenza alle investigazioni interne (suspect desktops, users, activities) Sostituire le numerose soluzioni di monitoraggio manuale esistenti con una unica soluzione di monitoraggio automatico Essere sicuri che gli eventi monitorati vengano rilevati rapidamente envision Solution: Baselines: envision aiuta a creare delle baselines della normale attività operativa e a definire le variazioni basate su criteri definiti dall utente. Le attività difformi possono essere ulteriormente investigate per determinare quali eventi della watchlist richiedono attenzione. Per questi eventi, strumenti di trend analysis comparano comportamenti come: - il numero delle occorrenze degli elementi della watchlist; - il numero degli attacchi per gli elementi della watchlist; - il traffico per gli elementi della watchlist; Alerting: gli Amministratori possono settare allarmi specifici da attivare quando le soglie delle baselines vengono oltrepassate (es. traffic / attack / auditable rates per elementi della watchlist) Reporting e Auditing: reports on-demand e schedulati. Specificamente, i report possono essere configurati per mettere in relazione attacchi o incidenti con l attivazione della watchlist. Possono essere generate rappresentazioni visuali per informazioni chiave come top watchlist network activity / blocked traffic / object attacks / object targets / user-auditable activity

26 Funzioni disponibili Correlated Threat Detection Obiettivo del cliente: rilevare ed analizzare minacce ai vari device di sicurezza definire tendenze, ordinare e correlare le informazioni, anche attraverso sedi separate geograficamente mettere tempestivamente in relazione incidenti che presi singolarmente non sono significativi ma che letti insieme possono indicare che è in corso un attacco envision Solution: Baselines: envision aiuta a creare delle baselines della normale attività operativa e a definire le variazioni basate su definizioni di presets. Le attività difformi possono essere ulteriormente investigate per determinare la validità e la severità delle minacce di sicurezza. Gli eventi correlati possono creare delle nuove baselines Alerting: gli Amministratori possono settare allarmi specifici da attivare quando eventi provenienti da devices multipli corrispondono a specifiche regole di correlazione (es. statistiche di traffico / allarmi per un segmento di rete o locazione geografica, numero di occorrenze di uno specifico evento o sequenza di eventi o vulnerabilità) Reporting e Auditing: reports on-demand e schedulati. È possibile generare rappresentazioni visuali per informazioni chiave come: - destination threat summary; - source/origination threat summary; - OS threat summary; - vulnerability assessment summary; - network-services threat summary; - network-segment/locale-threat summary

27 Funzioni disponibili Easy to Use GUI Rule-based Correlation Anomaly-based Correlation In-line Analysis Variable Decay-time Automatic Baselines Asset Awareness Scalable Performance All the Data Delivers Efficient and Effective Security Operations. Correlation Logic can be Managed Online or Offline. Advanced Boolean Logic Driven Correlation Enables Real-time Evaluation Against Corporate Policies Detects and Alerts on Variations from Automatically Computed Baselines of both Events and Alerts. REAL Real-Time Analysis - Consistent High Performance Alerting Independent of Incoming EPS. 30 Hour Decay Time Enables Correlation Logic to Detect Both Fast & Low and Slow Attacks Automatic Calculation of Normal for All Events, Devices and Alerts. Asset Database Integrates with Qualys, ISS, McAfee, ncircle, Nessus; Asset Prioritization K Sustained EPS, Up to 30K Source 100% Data Capture Raw Logs, No Agents Normal Operations and Security Event Information

28 Funzioni disponibili Worm detection Nome della Correlation Rule: W32.Blaster Worm - L obiettivo di questa regola è di rilevare varianti del worm Blaster e altro malicious code analizzando i network traffic patterns.

29 Compliance

30 Compliance Le normative sulla compliance supportate da envision includono: Sarbanes-Oxley (SOX) assicura l accurata rilevazione delle informazioni aziendali. Health Insurance Portability and Accountability Act (HIPAA) protegge la privacy e la sicurezza delle informazioni sanitarie. Gramm-Leach Bliley Act (GLBA) richiede alle istituzioni finanziarie di proteggere la sicurezza, l integrità e la confidenzialità delle informazioni dei consumatori. Basel II - III stabilisce come le banche devono gestire gli operational risks. Payment Card Industry (PCI) Data Security Standard stabilisce le best practices per evitare le frodi su Internet e proteggere le informazioni dei consumatori. ISO27001 / ISO17799 stabilisce information-systems standard che le aziende devono usare per essere certe che i controlli di sicurezza di un sistema siano totalmente adeguate ai suoi rischi. L Unione Europea (EU) sta definendo le normative in un set univoco di leggi sulla sicurezza dei dati, dei crimini informatici e degli sforzi anti-terrorismo. Tutto ciò richiede capacità di raccolta completa dei log, di reporting e retention dei dati offerte da envision.

31 Saturday, January 01, 2005 Sunday, January 02, 2005 Monday, January 03, 2005 Tuesday, January 04, 2005 Wednesday, January 05, 2005 Thursday, January 06, 2005 Friday, January 07, 2005 Saturday, January 08, 2005 Sunday, January 09, 2005 Monday, January 10, 2005 Tuesday, January 11, 2005 Wednesday, January 12, 2005 Thursday, January 13, 2005 Friday, January 14, 2005 Saturday, January 15, 2005 Sunday, January 16, 2005 Monday, January 17, 2005 Tuesday, January 18, 2005 Wednesday, January 19, 2005 Thursday, January 20, 2005 Friday, January 21, 2005 Saturday, January 22, 2005 Sunday, January 23, 2005 Monday, January 24, 2005 Tuesday, January 25, 2005 Wednesday, January 26, 2005 Thursday, January 27, 2005 Friday, January 28, 2005 Saturday, January 29, 2005 Sunday, January 30, 2005 Monday, January 31, 2005 # of Changes Configuration Control 14 Configuration Changes Obiettivo del cliente: Provare che gli aggiornamenti di sicurezza vengano applicati velocemente e universalmente Verificare che tutti i sistemi in ambiente di produzione abbiano una configurazione nota, e le modifiche vengano fatte solo da personale autorizzato Verificare che non ci siano software, installati dagli utenti e non approvati, sui sistemi monitorati envision Solution: Data collection del 100% dei dati e collezione Agentless dei devices di Windows forniscono una reportistica completa e aggiornata L analisi real-time può rilevare quando vengono effettuati cambiamenti di configurazione ad orari inusuali o da personale non autorizzato. 13 report predefiniti di Configuration Control specificatamente disegnati per SOX, HIPAA, FISMA e PCI

32 Malicious Code Detection Obiettivo del cliente: Provare di avere il controllo della rete e rilevare la presenza di virus, spyware e software non autorizzato Avere una collezione completa e reportistica di tutta l attività di codice maligno (virus, spyware, ecc.) Event Reduction per consolidare il rilevamento di eventi in incidenti Rilevare anomalie derivanti da livelli di codice maligno che oltrepassano le soglie delle baselines envision Solution: I dati sono raccolti da Anti-Virus, IDS, IPS, e technology embedded direttamente nel sistema operativo (p.es. Microsoft s AV e Anti-Spyware) Il motore di Real Time Alerting rileva deviazioni dalla baseline e consolida eventi ridondanti di codice maligno in incidenti 7 report predefiniti di Malicious Code Detection

33 Policy Enforcement Obiettivo del cliente: Verificare che gli utenti rispettino la Activity Based Policy Verificare che tutti gli utenti rispettino le policies aziendali per ridurre la possibilità che informazioni sensibili siano esposte accidentalmente a rischi Monitorare tutti i metodi di comunicazione al fine di prevenire l Information Leakage envision Solution: Collezione completa che fornisce una completa forensic audit trail, non una vista pre-determinata e filtrata degli eventi di sicurezza 32 report predefiniti di Policy Enforcement specificatamente disegnati per SOX, HIPAA, FISMA e PCI

34 Saturday, January 01, 2005 Sunday, January 02, 2005 Monday, January 03, 2005 Tuesday, January 04, 2005 Wednesday, January 05, 2005 Thursday, January 06, 2005 Friday, January 07, 2005 Saturday, January 08, 2005 Sunday, January 09, 2005 Monday, January 10, 2005 Tuesday, January 11, 2005 Wednesday, January 12, 2005 Thursday, January 13, 2005 Friday, January 14, 2005 Saturday, January 15, 2005 Sunday, January 16, 2005 Monday, January 17, 2005 Tuesday, January 18, 2005 Wednesday, January 19, 2005 Thursday, January 20, 2005 Friday, January 21, 2005 Saturday, January 22, 2005 Sunday, January 23, 2005 Monday, January 24, 2005 Tuesday, January 25, 2005 Wednesday, January 26, 2005 Thursday, January 27, 2005 Friday, January 28, 2005 Saturday, January 29, 2005 Sunday, January 30, 2005 Monday, January 31, 2005 # Records User Monitoring and Management Obiettivo del cliente: Adottare misure adeguate per minimizzare i rischi derivanti da accounts compromessi (accesso ai dati, regolari cambiamenti delle password, disabilitazione di account non più assegnati, ecc.) Analisi dettagliata di tutte le modifiche effettuate sugli account utente e di gruppo Monitorare tutta l attività di terze parti come contractors e consulenti Records Accessed NORMAL RANGE envision Solution: Una collezione completa che fornisce un completo audit trail per monitorare tutti i cambiamenti della configurazione utente Baselines automatiche per tutte le attività possono rilevare livelli inusuali di attività per gli utenti monitorati 16 reports predefiniti di User Monitoring e Management per SOX, PCI e FISMA