!"#$#%&'&()*+*'&,&+-(.( /*-*(0122(!"&$&+31+( 415&"-1(!*678(

Transcript

1 !"#$#%&'&()*+*'&,&+-(.( /*-*(0122(!"&$&+31+( 415&"-1(!*678(

2 94:;(!*"-+&"2( Azienda giovane e dinamica, opera con personale selezionato di esperienza almeno decennale nel campo della sicurezza Attenzione al mercato internazionale, nel quale si affermano prodotti e brand ancora sconosciuti in Italia Ricerca di soluzioni che offrono nuove e più evolute funzionalità nel settore della sicurezza

3 Un azienda è un insieme di persone, processi e procedure e tecnologie: per poter funzionare, queste componenti devono essere legati sinergicamente La sicurezza, ad oggi, è ancora una componente introdotta negli ambiti a maggiore criticità, solo dove è percepita come necessaria oppure in maniera diseguale Il risultato è un effetto disgregante, uno squilibrio negativo dal punto di vista della governance dei processi operativi e di security, ed una scarsa efficienza operativa dell azienda CRAG Partners concentra la propria offerta sugli strumenti, tecnologie ed il supporto consulenziale necessario a individuare soluzioni in grado di integrare e migliorare l efficacia della security dei propri clienti

4 BC%#+>*"&D(#(E"16&22#(E&"(E"1-&''&"&(#(>*3( Check Point dei processi: qui si concentrano i controlli ed il monitoraggio, mediante Format documentali, Strumenti di pubblicazione (CMS/ Sharepoint, etc...), KPI/KPO, Si tratta spesso di controlli esclusivamente formali o delegati ad altri processi che ricevono in input i deliverable! Processi! Fase operativa del processo: Tra due checkpoint, gli utenti operano secondo norme di condotta generali, spesso non verificabili, con i soli vincoli di tempo e di risultati dettati dal business Qui sono identificabili le principali lacune di sicurezza aziendali! Si tratta di problematiche di estrema rilevanza pratica: Ambito applicativo/office: dati classificati al massimo livello di sicurezza sono pubblicati su CMS/Sharepoint, salvati su condivisioni, aggregati su fogli XLS e diffusi su mailing list definite on-the-fly sulla base della contingenza Ambito IT: a causa dei limiti tecnici, politiche di sicurezza non supportate da strumenti automatici spostano il rischio verso criteri di fiducia e capacità degli amministratori E necessario intervenire sui processi, operandone la semplificazione ma anche vincolandone il rispetto da parte di tutti gli attori. I processi stessi, devono definire le modalità di deroga e di gestione del rischio residuo

5 0F*EE"166#1(9"*'(!*"-+&"2( Policy Processi Dati Supportare realmente l attuazione dei processi aziendali, introducendo soluzioni che aumentano l efficienza del personale e superano i vincoli tecnici degli strumenti tradizionali Monitorare l esecuzione di operazioni lecite quando effettuate su informazioni classificate Raccogliere informazioni sulle prassi e sul reale modo di lavorare del personale, rispetto alle procedure operative, per supportarne il miglioramento continuo Dall approccio preventivo teso a imporre sempre maggiori vincoli, è necessario passare ad una sicurezza come supporto al business. La maggiore consapevolezza dei problemi deve essere mediata da una profonda conoscenza di come l azienda può realmente rispondere ai rischi con comportamenti, strumenti e modalità operative realmente applicabili

6 9*E#"&(612*(E"1-&''&"&( Può essere difficile, per una azienda, valutare l effettivo miglioramento che una gestione ordinata delle informazioni può apportare. Oppure i rischi che sta correndo. Il nostro approccio consiste nel verificare sul campo la reale situazione nel modo meno intrusivo possibile, per innescare il necessario processo di miglioramento. Modalità di intervento Information Assessment Efficienza e Sicurezza Apprendimento e controllo Ambiti Policy Processi Tecnologie Dati RiskAdvisor Service: analisi di un processo critico dell azienda per identificare i dati rilevanti Esecuzione di DLP in modalità solo audit, per verificare che le attività operative siano conformi alle politiche aziendali Emissione di un report contenente il framework di interventi eventualmente necessari Progettazione degli interventi Implementazione delle soluzioni individuate sulla base di criteri di miglioramento dell efficienza e di sicurezza. Personalizzazione delle soluzioni per adeguarle ai processi aziendali ed alle criticità rilevate dal il RiskAdvisor Service Analisi degli eventi di sicurezza evidenziati dalla reportistica delle soluzioni integrate Ottimizzazione dei processi sulla base dei dati riscontrati Attivazione delle politiche di controllo della sicurezza

7 Implementare la Data Loss Buoni / Cattivi! Prevention in azienda! 1. Coadiuvare la corretta attuazione dei processi! Crag Partners! a) Chiarezza degli obiettivi! 6 x 7=42! b) Awareness! 2.Access a) Policy Control! Enforcement! b) Privilege Management c) Revisione, efficienza, Privilege Management! semplificazione! Policy Enforcement! Assicurare che i dati rimangano confinati nell ambito di protezione designato! d) Strumenti di supporto

8 IT Privilege Management End User Privilege Management Enterprise Identity SIEM Policy Applicazione di politiche di Segregation of duties, audit log, dinamic privilege management Estensione dei privilegi di base ai normal user su base nominale Centralizzazione di politiche di controllo accessi per tutte le piattaforme Gestione degli account amministrativi e di gruppo Attuazione delle policy di monitoraggio e di gestione degli incidenti, mediante un punto di raccolta centralizzato dei log Tecnologie Integrazione soft con i sistemi operativi Windows / Unix Integrazione soft con AD e configurazione basata su GPO Password vaulting e centralizzazione su AD dell autenticazione e della gestione dei sistemi Unix Agentless, in grado di raccogliere eventi da S.O. e DBMS, sistemi di sicurezza, network elements e servizi app.vi Dati Fine-grant access policy: possibilità di definire regole specifiche per singoli file Regole basate sull operazione, il tipo di file e l applicazione da utilizzare Data Vaulting; utilizzo del medesimo ruolo su tutte le piattaforme aziendali Controllo accessi ai log con tecnologia WORM; sistema avanzato di controllo di integrità

9 Soluzioni specificatamente orientate a risolvere problematiche di sicurezza e di monitoraggio Efficacia delle misure di sicurezza Soluzioni orientate al superamento di limiti tecnologici storici dei sistemi operativi, con ricadute positive sull operatività tramite l introduzione di interfacce centralizzate Maggiore efficienza operativa

10 =+(?#+-&2#I( Approccio Olistico alla Sicurezza Connubio tra miglioramento della sicurezza ed incremento dell efficienza operativa Soluzioni a basso impatto in termini tecnologici e fortemente integrabili a livello di processo

11 Implementare la Data Loss Buoni / Cattivi! Prevention in azienda! 1. Coadiuvare la corretta attuazione dei processi! Crag Partners! a) Chiarezza degli obiettivi! 6 x 7=42! b) Awareness! 2.Access a) Policy Control! Enforcement! b) Privilege Management c) Revisione, efficienza, semplificazione! 3.Proteggere il contenuto! Assicurare che i dati rimangano confinati nell ambito di protezione designato! d) Strumenti di supporto RSA Data Loss Prevention!

12 Ambito di intervento degli strumenti tradizionali di sicurezza proattiva-preventiva Who Canale/Operazione/Strumento Autorizzato Action Effect RSA DLP interviene preventivamente per convalidare le azioni degli utenti nel rispetto delle Policy di Sicurezza aziendali è in grado quindi di intervenire preventivamente per bloccare, risolvere o tracciare le azioni ritenute critiche dalle politiche aziendali RSA DLP è complementare, e completa, gli strumenti di sicurezza aziendali

13 /*-*(0122(!"&$&+31+( RSA DLP consente di individuare e seguire il dato attraverso tutte le trasformazioni e gli utilizzi, previsti o meno, nell ambito dei processi aziendali Dischi Locali, archivi PST, file Office e oltre 300 formati di file aggiuntivi

14 /*-*(0122(!"&$&+31+( RSA DLP consente di individuare e seguire il dato attraverso tutte le trasformazioni e gli utilizzi, previsti o meno, nell ambito dei processi aziendali Endpoint DLP:aumenta la robustezza dei sistemi utente, monitorando le azioni sui dati o sui file ed in particolare la copia/trasmissione verso sistemi non protetti Dischi Locali, archivi PST, file Office e oltre 300 formati di file aggiuntivi

15 /*-*(0122(!"&$&+31+( RSA DLP consente di individuare e seguire il dato attraverso tutte le trasformazioni e gli utilizzi, previsti o meno, nell ambito dei processi aziendali Datacenter DLP: discovery dei dati residenti, conservati, condivisi, spostati, modificati sui sistemi (server/san/nas) aziendali Endpoint DLP:aumenta la robustezza dei sistemi utente, monitorando le azioni sui dati o sui file ed in particolare la copia/trasmissione verso sistemi non protetti Condivisioni di file e cartelle, siti Sharepoint, Database, SAN/ NAS

16 /*-*(0122(!"&$&+31+( RSA DLP consente di individuare e seguire il dato attraverso tutte le trasformazioni e gli utilizzi, previsti o meno, nell ambito dei processi aziendali Datacenter DLP: discovery dei dati residenti, conservati, condivisi, spostati, modificati sui sistemi (server/san/nas) aziendali Endpoint DLP:aumenta la robustezza dei sistemi utente, monitorando le azioni sui dati o sui file ed in particolare la copia/trasmissione verso sistemi non protetti , Web Mail, IM/Chat, FTP, HTTP/S, TCP-IP Network DLP: monitoraggio delle comunicazioni in uscita dall azienda, come ad es: HTTP, , IM,

17 /*%%&(!1%#367&(:A#&+>*%#(*%(/0!( La costruzione delle regole RSA DLP è basata sulle seguenti tre dimensioni : Dati Luoghi Azioni Informazioni sulle quali le regole devono essere applicate Dove applicare le regole Operazioni da svolgere quando le violazioni causano un incidente di sicurezza Content Blades (pattern di ricerca) Attribute Rules (Datacenter, Network ed Endpoint) Policy Violation Rules

18 G$&+-(M%1N( Al verificarsi di un evento, qualora corrisponda ad una specifica Policy, DLP provvede ad attivare la classificazione e le relative azioni di trattamento: Evento 1 2 Utente Copia Contenuto Esito Operazione 6 Policy Global Parameters Content Blades Policy Severity Policy Action Settings Policy Violation Rules Who Detect Event Severity Severity: da Policy o specifica della violation rule Action Determinata dalla Severity Flusso informativo Flusso operativo

19 /*%%F&$&+-1(*%%F#+6#>&+-&(OPQ( All atto dell ispezione del contenuto per determinare la violazione, i dati sono confrontati con i Content Blade per verificare la presenza di dati rilevanti ed il numero di occorrenze degli stessi. Ciascun dato è pesato, e lo score relativo al dato è determinato dal prodotto tra il peso stesso ed il numero di occorrenze. Il Comulative Score consiste nella somma degli score relativi ai dati sensibili presenti nel documento. Contenuto 2 Content Blades Lorem ipsum dolor sit amet, consectetur adipiscing elit. Curabitur nunc dolor, vestibulum eu malesuada sit amet, sit amet, posuere posuere eu sapien. Maecenas tincidunt sollicitudin mi vel dapibus. Curabitur facilisis facilisis pretium pretium erat, erat tincidunt metus lobortis ac. Sed nulla justo, tristique in dapibus ac, hendrerit sit amet quam. facilisis pretium erat Detection Rule Peso Occorrenze Sensitive Data Sensitive Data Proximity <300 parole <300 parole Result OK Cumulative score

20 /*%%F&$&+-1(*%%F#+6#>&+-&(RPQ( Per poter determinare se l evento costituisce una violazione, lo score deve essere confrontato con una scala di valori predefinita per la Policy: tale scala misura la Severity dell evento Policy Severity La Policy Severity è in grado di valutare lo score rispetto ad una scala qualitativa del rischio Severity: Nelle impostazioni globali della Policy, è possibile personalizzare i valori di Severity variando i limiti degli intervalli definiti sulla scala del Risk Factor

21 /*%%F&$&+-1(*%%F#+6#>&+-&(QPQ( La metodologia di RSA DLP consente quindi, mediante l aggregazione dei risultati dell analisi dei dati sui file e sulle trasmissioni, di generare un valore quantitativo finalizzato alla stima del rischio dell evento Tale rischio, definito Severity, qualifica o meno gli eventi come Incidenti RSA DLP è in grado di intervenire proattivamente per avviare la risoluzione del Incidenti, in modo selettivo in funzione della Severity degli stessi Il Cumulative Score dell evento viene confrontato con gli intervalli di Severity definiti nell ambito della Policy Il risutato costituisce l Event Severity determinando la gravità della violazione L Event Severity è utilizzato per selezionare la Violation Rule opprtuna per il contesto (Network, Datacenter ed Endpoint) ove si è verificato l evento Severity: Cumulative Score = 40 Event Severity = Medium Action

22 4?:(/0!( Punti chiave: Soluzione E(nhanced)DRM estremamente modulare, integrabile con AD e MS RMS Non intrusiva: opera mediante componenti infrastrutturali ad hoc (software o appliance) che interagiscono con i servizi aziendali (DBMS, Web Server, Mail server) Lato client, gli agent possono essere installati e rimossi in modalità silente, anche solo per un controllo a campione Interfaccia ad alto livello per la personalizzazione delle politiche Applicazione: Assessment sulla sicurezza dei dati (RiskAdvisory) Applicazione delle politiche nell ambito dei processi e degli strumenti tecnici autorizzati Sicurezza pervasiva : le policy sono applicate indipendentemente dal contesto Verifica, monitoraggio e certificazione della conformità tramite report Su piattaforme virtualizzate, assicura il controllo accessi ai dati tra differenti workload

23 ;"*A#&(