Strategie e architetture per la sicurezza

Transcript

1 IBM Come preconizzato da IBM ormai da qualche anno, il nostro sta diventando un Pianeta sempre più "intelligente". Un mondo in cui tutti e tutto sono sempre più interconnessi: non solo gli individui o le organizzazioni, ma anche le cose. È quello che in tanti chiamano l'internet of Things, in cui aumentano sempre più dispositivi e sensori, reti e sistemi per l'intrattenimento e per il business. Un mondo in cui aumentano i dati e la loro importanza. Per abilitare tale sviluppo innovativo è necessario garantire la sicurezza: un pianeta più sicuro, per il quale IBM ha sviluppato tecnologie che proteggono non solo l'it aziendale, ma che contribuiscono a realizzare infrastrutture, informatiche e non, sicure e "resilienti", considerando quindi anche la continuità dei processi e delle operazioni di business. Una visione che è evoluta con il concetto di security intelligence. Strategie e architetture per la sicurezza L'impegno di IBM per la sicurezza è testimoniato dalla strategia di investimenti, sia in ricerca e sviluppo sia in acquisizioni, che hanno portato ad arricchire il portafoglio di soluzioni e servizi per fronteggiare minacce di varia natura. Una strategia che tocca anche l'approccio al mercato della sicurezza, attuato attraverso due divisioni indipendenti: IBM Security Systems e IBM Security Services. La prima focalizzata sullo sviluppo e vendita di prodotti e le soluzioni, la seconda concentrata sull'offerta di servizi, gestiti e non, anche in cloud e non necessariamente vincolati all'utilizzo di prodotti IBM, ma aperti anche alla gestione di soluzioni di terze parti. 1

2 IBM Un doppio binario che concretizza un approccio alla sicurezza a 360 gradi, ben sintetizzato dall'ibm Security Framework, che evidenzia la protezione di dati, applicazioni, persone e infrastrutture. Un approccio che attinge valore dalla combinazione di sforzi in ricerca e sviluppo, a partire da quello realizzato dal team X-Force, e nel delivery ai clienti, attraverso i dieci security operation center e le modalità cloud. Un approccio, infine, che comprende soluzioni studiate per la sicurezza negli ambiti tecnologici più innovativi, quali i Big data, il cloud e la mobility, abilitando nuovi e vantaggiosi processi e modelli di business. Per poter realizzare questa sicurezza "olistica", è fondamentale la gestione della sicurezza, che oltre a un'integrazione concreta con le soluzioni di system management, prevede l applicazione di soluzioni analitiche, che consentono una più efficace correlazione tra gli eventi della sicurezza e una più accurata prevenzione, grazie all analisi predittiva. È anche su questo che si basa il concetto di security intelligence, che vede la propria finalità soprattutto nella "sicurezza operativa". L ampiezza della strategia e la value proposition di IBM Security Systems sono ben descritte nell IBM Information Security Framework che integra i diversi temi della sicurezza, attraverso un portafoglio completo di servizi, soluzioni, architetture e prodotti specifici e integrati. Ibm Information Security Framework In sintesi significa assicurarsi che la security non solo sia affrontata con un approccio olistico, ma sia un elemento implicito in ogni pilastro operativo 2

3 dell'organizzazione. Dalla gestione delle identità, alla rete, allo sviluppo delle applicazioni fino ai database e oltre, la sicurezza deve permeare l'azienda fino al consiglio esecutivo. Solo quando la sicurezza farà parte di ogni pilastro aziendale, si potrà, secondo la visione di IBM, cercare una sicurezza più sofisticata che attraversi ogni dominio, sia caratterizzata da una gestione più attiva, basata su sempre più automatismi e, soprattutto, fondata su analytics e modelli previsionali. Secondo la visione di IBM, dunque, per governare in modo efficace la sicurezza è necessario coniugare consolidate esperienze di IT con competenze specifiche sugli aspetti di architettura e di processo. Il framework per la sicurezza recepisce quanto previsto da standard internazionali, esperienze progettuali di IBM e best practice di settore, fornendo una visione di business e identificando le aree coinvolte nei processi di Security Governance, Risk Management e Compliance e supportate dalla security intelligence: persone, dati, applicazioni e infrastruttura. Attraverso i professional service, i cloud e managed service e le proprie soluzioni hardware e software, trasversali alle suddette aree, IBM, a detta dei suoi responsabili, copre tutte le esigenze di sicurezza. IBM ha inoltre creato modelli complementari per favorire la convergenza della prospettiva di business della sicurezza con quella tecnologica. Accanto all offerta di servizi, IBM presenta un ampio portafoglio di prodotti relativo alla sicurezza, che comprende anche soluzioni specifiche per i propri sistemi server e storage, tra cui vanno ricordate le caratteristiche di security abbinati ai System z di IBM, soluzioni software e piattaforme IBM Tivoli (in particolare le architetture integrate o federate per l'identity e Access Management) e altre soluzioni specifiche che arricchiscono il portafoglio, come quelle per la videosorveglianza, e che danno ulteriore consistenza ai servizi e alla consulenza fornita dagli IBM Global Technology Services. La security intelligence di IBM Secondo IBM, la responsabilità della sicurezza viene sempre più affidata ai team di gestione di rete ed è quindi opportuno far corrispondere a questo consolidamento di responsabilità a livello operativo un consolidamento a livello di intelligence. Questo significa pensare in termini di supporto di più compiti in un'unica piattaforma e di sviluppo interfunzionale di competenze in tutta l'organizzazione per poi implementare l'accesso sulla base dei ruoli. 3

4 IBM La security intelligence consente alle organizzazioni di usare tool integrati su un framework comune e di sfruttare un insieme di dati unificati per affrontare i problemi sull'intero spettro della sicurezza. Uno dei più importanti "casi d'uso" nei quali la security intelligence si dimostra di particolare valore è il consolidamento dei silos di dati, dove si comprende come, anche grazie agli analytics, sia possibile combattere le minacce in maniera più integrata ed efficace. Come per la business intelligence analytics, anche per la security intelligence, il primo passo è raccogliere e consolidare i dati, che possono trovarsi racchiusi in dispositivi, applicazioni e database di sicurezza disparati, oppure raccolti da prodotti e applicazioni varie o, infine, isolati in unità di business, gruppi operativi, reparti e così via. La security intelligence smantella i silos integrando i feed di dati provenienti da prodotti disparati in un framework comune per l'analisi automatizzata tra diverse tecnologie di sicurezza e IT. Dal punto di vista della sicurezza, vengono così consolidate tutte le funzionalità di alto livello di rilevazione e valutazione del rischio che la telemetria della security intelligence è in grado di fornire. Dal punto di vista del CIO, la riduzione di questi silos consente la razionalizzazione dei prodotti di sicurezza, altrimenti gestiti sulla base del singolo prodotto. Il terzo passo prevede un ampia collaborazione tra gruppi tipicamente separati, il che significa un riallineamento dei processi e delle responsabilità e probabilmente una certa pressione esercitata dal management. Dai silos IT, con dati e attività di sicurezza separate, all integrazione della security intelligence Ciascuno di questi silos può creare enormi volumi di dati, in diversi formati, per diversi scopi e, in alcuni casi, diverse politiche aziendali e perfino 4

5 requisiti di conformità. Per questo IBM ritiene che solo una security intelligence automatizzata può gestire con efficacia petabyte di dati correlati alla sicurezza e analizzarli attraverso i vari silos organizzativi e operativi. Analogamente, solo l analisi di tutti i dati consente di combattere con efficacia le minacce di ultima generazione, come le Advanced Persistent Threat (APT), sempre più ibride, mirate e sofisticate e che implicano controlli sugli host, sulle applicazioni e sul contenuto delle informazioni che si spostano al di fuori dell'organizzazione. È infatti necessario applicare un'intelligenza globale alle tecnologie di sicurezza eterogenee e correlare i dati provenienti da diverse fonti. Per esempio, un hacker potrebbe disabilitare il logging, ma non bloccare l'attività di rete. Le applicazioni proprietarie potrebbero non produrre i log, alcune parti della rete potrebbero restare senza firewall. In questi casi la security intelligence può comunque identificare le applicazioni e i servizi attivi tra l'host e la rete e segnalare una potenziale minaccia. Sempre in funzione della sofisticatezza delle minacce, la security intelligence, spiegano in IBM, è essenziale per un rilevamento efficace delle frodi. L'ingrediente chiave, oltre alla telemetria di rete, ai dati provenienti dall'infrastruttura di switching e routing e allo strato di protezione dei dispositivi di sicurezza, è la comprensione delle informazioni relative agli utenti e alle applicazioni Il rilevamento delle frodi richiede il monitoraggio di tutto ciò che accade attraverso la rete: attività ed eventi di rete, attività degli host e delle applicazioni e attività del singolo utente. La security intelligence consente di legare l'utente a un particolare asset. Collegando tra loro rete, server DNS e attività dell'applicazione con le informazioni di directory, per esempio, la security intelligence può collegare un utente specifico a uno specifico indirizzo IP per una specifica sessione VPN. I benefici della Security Intelligence La security intelligence, come la business intelligence, consente alle organizzazioni di prendere decisioni più accurate, permettendo di elaborare più informazioni, in modo più efficiente, nell'intera infrastruttura IT. Inoltre, la security intelligence abilita l'automazione della sicurezza: consentendo di comprendere il rischio, monitorare l'infrastruttura per rilevare minacce e vulnerabilità e assegnare priorità ai rimedi. Un automazione che abilita una gestione consolidata e un uso più efficiente delle risorse dedicate alla sicurezza, grazie alla centralizzazione di strumenti (il cui acquisto potrà essere ridotto a quanto esclusivamente necessario e 5

6 IBM consolidato su un unica piattaforma) e dati, riducendo così i costi. Si abbassano anche le spese relative all'implementazione e al funzionamento. I benefici maggiori, peraltro, sono quelli funzionali, derivanti, in particolare, dalla raccolta automatizzata, relativa normalizzazione e successiva analisi di enormi quantità di dati. In termini di efficacia il miglioramento è notevole, perché senza la security intelligence semplicemente non sarebbe possibile disporre di tutte le informazioni oggi necessarie per la prevenzione di minacce sempre più sofisticate e nascoste. Inoltre, in questo modo permette alle imprese di eseguire programmi di sicurezza di estrema robustezza, elaborare miliardi di record al giorno e definire una serie di azioni ad alta priorità ogni 24 ore. Più in generale, quindi, la security intelligence, potenzia il rilevamento delle minacce, basandosi sul contesto per scoprire possibili attacchi che potrebbero passare inosservati con una specifica tecnologia di sicurezza. Inoltre, migliora la risposta agli incidenti grazie a un rilevamento rapido e accurato. IBM Q1 Labs QRadar Security Intelligence Platform Grazie all acquisizione di Q1 Labs, IBM ha aggiunto al proprio portafoglio QRadar Security Intelligence Platform, che fornisce una serie integrata di soluzioni, progettate per aiutare le imprese a implementare una security intelligence totale, basata su un sistema operativo unificato e gestita attraverso una singola console. Supportato da un potente sistema di SIEM, QRadar integra una serie di applicazioni per la sicurezza e il monitoraggio della rete in una soluzione unificata, che consente alle imprese di implementare risorse per la sicurezza e l'attività operativa di rete sulla base di un'analisi di un insieme completo di fonti di dati. Il sistema operativo di derivazione Q1 Labs è il Security Intelligence Operating System, che consente di fornire una serie di servizi comuni, incentrati su integrazione dei dati, normalizzazione, data warehousing e archiving e business analytics. Questa struttura unificata produce una funzionalità uniforme per workflow, reportistica, alerting e dashboarding. Vengono così supportate politiche e processi a livello dell'intera organizzazione, identificando le minacce e valutando il rischio, per soddisfare i requisiti di informazioni e risposta sulla sicurezza a livello di audit e revisione operativa manageriale e dirigenziale. 6

7 A completamento di un solido nucleo di funzionalità di SIEM e gestione dei log, la tecnologia QRadar QFlow fornisce il monitoraggio della rete, con sofisticate capacità di rilevamento delle anomalie di comportamento, che aggiungono il "rich context" ad analisi che potrebbero altrimenti fare affidamento unicamente ai dati di log. Il monitoraggio della rete legato alle applicazioni di QRadar supporta informazioni basate sullo stato per tutti i flussi a livello applicativo. Inoltre, QRadar Security Intelligence Platform estende le proprie funzionalità di security intelligence agli ambienti di rete virtuali, grazie alla tecnologia QRadar VFlow, assicurando un elevato livello di rilevamento delle minacce e gestione del rischio a supporto del consolidamento del data center e delle iniziative di cloud pubblico e privato. Il modulo di valutazione del rischio, QRadar Risk Manager, fornisce una revisione dettagliata della configurazione, aggiungendo nell analisi il contesto della situazione di rischio. Una capacità che un sistema SIEM da solo non potrebbe fornire. QRadar Risk Manager valuta il rischio e modella le potenziali minacce rivolte ad asset di alto valore, determinando le possibili vie di attacco sulla base del patrimonio di dati a cui attinge. Come evidenziato da IBM, Security Intelligence Operating System fornisce una piattaforma per continuare ad aggiungere nuovi moduli di sicurezza e ampliare gli ambiti di applicabilità della protezione intelligente e della valutazione intelligente del rischio dell'infrastruttura d'impresa. Tool e servizi di business analytics IBM per la sicurezza Alla soluzione Q1 Labs, IBM ha aggiunto alcuni tool e servizi che comprendono: Suspicious Host Dashboard, che fornisce l identificazione in tempo reale di minacce avanzate, come le botnet. Utilizzando i log del firewall, i threat intelligence feed, gli eventi generati da sistemi di rilevazione e prevenzione delle intrusioni e i dati di localizzazione geografica degli IP, IBM identifica e classifica automaticamente le minacce più gravi, prima che esse possano compromettere l operatività dell azienda. L IP Intelligence Report, che fornisce, on demand, un sintetico report per specifici indirizzi IP, contenente un analisi approfondita degli attacchi lanciati, delle vulnerabilità esistenti e delle attività correttive da applicare. Il report dà ai clienti e agli esperti IBM di Threat 7

8 IBM Analysis una maggiore visibilità dei rischi e delle vulnerabilità, riducendo il tempo e la complessità dell analisi di più insiemi di dati. Il potenziato motore di correlazione Automated Intelligence (AI), che consente a IBM di correlare tra loro gli alert provenienti da diverse sorgenti, per ricostruire gli eventi che identificano gli attacchi più sofisticati. Questi alert correlati convalidano la gravità delle minacce, riducendo la percentuale di falsi positivi e velocizzando l identificazione delle minacce che prendono di mira singoli clienti o compromettono le attività sull intero insieme di dati dei clienti dei Managed Security Services (MSS). L IP Center Dashboard, che fornisce agli esperti di IBM funzionalità evolute di interrogazione sull insieme dei dati dei clienti di Managed Security Services, consentendo di tracciare più rapidamente il profilo dei sospetti hacker, restituendo un resoconto dei clienti e dei settori interessati, degli attacchi lanciati oltre a una classificazione delle minacce. Così come la polizia può controllare il numero di patente di un automobilista per avere informazioni quali arresti precedenti e detenzioni per reati gravi, gli esperti di IBM possono eseguire verifiche per convalidare la gravità delle circostanze e definire più rapidamente la priorità delle attività correttive. Governance, risk management e compliance Nel corso degli ultimi anni IBM ha effettuato significativi investimenti nell area della sicurezza per la creazione di asset e metodologie a supporto della governance e del risk management. Il risultato è un offerta di prodotti e servizi che aiuta le aziende nel disegno e nella realizzazione di un sistema di governance per: monitorare in tempo reale gli impatti sul business dei rischi correlati alla Sicurezza delle Informazioni; controllare quest ultima e fornire al management le metriche di governo; automatizzare le operazioni di controllo, migliorando l efficienza e l efficacia dell organizzazione, riducendo i costi e liberando risorse per innovare i processi aziendali. Il sistema di governance, come rappresentato nell Information Security Framework, è trasversale a tutte le aree della sicurezza ed è supportato dalla security intelligence. Quest ultima, vista la quantità di dati che è ormai necessario considerare, ne costituisce addirittura la struttura portante, secondo IBM, attraverso l'analisi dell'impatto e la modellazione delle minacce. È proprio la security intelligence che permette di sostituire il 8

9 tradizionale approccio di tipo reattivo con uno proattivo, grazie a tecnologie che prevengano i problemi di sicurezza, individuando e rimuovendo le potenziali esposizioni ai rischi, come QRadar Risk Manager. L'analisi dell'impatto si basa sul valore che un'impresa assegna a un particolare asset, e sulle conseguenze negative per il business nell'eventualità di una sua compromissione. La security intelligence affronta questo aspetto mediante il rilevamento e la classificazione degli asset e dei dati, per identificare gli asset critici. Inoltre risponde a domande quali: Qual è il livello di esposizione dell'asset? Ha accesso diretto a Internet? Ha vulnerabilità note per le quali vi sono exploit noti? La modellazione delle minacce tiene conto di tutti questi fattori e di altri, identificando non solo le vulnerabilità sul sistema target, ma le possibili vie di attacco in base allo sfruttamento dei punti deboli tra il target e Internet: inefficaci policy del firewall, liste di controllo degli accessi (ACL) del router mal configurate e così via. Il supporto di IBM per la compliance Le aziende si trovano continuamente nella delicata situazione di dover mantenere la conformità a varie normative nazionali e internazionali, a standard industriali, a leggi nonché a regole interne. Per quanto riguarda la sicurezza, IBM Security fornisce diversi strumenti di supporto alla compliance, a partire da specifici servizi e guide, per le quali rimandiamo al sito di IBM, e comprendendo soluzioni, come QRadar Network Security Management. In particolare, QRadar fornisce tecnologie chiave a supporto delle attività per l'attribuzione delle responsabilità, per la trasparenza e la misurabilità. Per quanto riguarda l'attribuzione delle responsabilità è evidente l'apporto della completa visibilità fornita da QRadar, che rileva i dati dall'intera infrastruttura, ivi inclusi piattaforme e altri dispositivi di sicurezza. Non solo, perché il sistema raccoglie e mantiene informazioni storiche sul comportamento delle applicazioni e del traffico di rete. Il tutto in real time. Una combinazione che consente di correlare dati di rete con eventi di sicurezza e fornisce una visione chiara dei comportamenti tenuti dagli utilizzatori, con indubbi vantaggi anche per fini investigativi. La grande basi di dati è il pilastro su cui si fondano le caratteristiche di trasparenza e controllo della sicurezza che distinguono IBM QRadar. Questa visione granulare permette di determinare l'impatto sul business del traffico, correlando, ancora una volta, il traffico di rete con gli eventi di sicurezza. In 9

10 IBM questo modo è possibile confrontare la conformità del traffico di rete con le politiche aziendale, rivelando immediatamente, per esempio, un'attività peer-to-peer illecita. QRadar, inoltre, permette di costruire in maniera nativa profili di tutte le risorse sulla rete, che possono così essere raggruppate per funzione di business (per esempio, server che sono soggetti a specifiche attività di auditing come quelli per la PCI DSS o la SOX). Assegnando un valore di business a questi gruppi, si ottiene automaticamente un modo per valutare in base al rischio le informazioni di rete e di sicurezza che li riguardano. Strumenti per misurare la compliance sono forniti dai cruscotti e dai report interattivi di QRadar. Le dashboard, in particolare, sono fondamentali per il monitoraggio in real time e per un'immediata risposta alle violazione delle policy. Mentre i report di QRadar mettono a disposizione le informazioni e la documentazione necessaria per gli audit interni ed esterni, al fine di dimostrare le conformità richieste. Nello specifico, QRadar dispone già di alcuni report preconfigurati per rispondere a determinati framework di controllo degli standard industriali e delle principali normative. IBM Security per il cloud IBM è impegnata nella Cloud Security da tre punti di vista. IBM Security Systems mette a disposizione soluzioni per la protezione delle infrastrutture e delle applicazioni a chi fornisce servizi cloud e alle imprese che realizzano cloud privati: dalla network security alla difesa dell'application server, solo per citare due degli ambiti più coinvolti sul fronte cloud. Il secondo aspetto riguarda le soluzioni stesse di IBM Security Systems, che sono a disposizione di Managed Service Provider interessati a offrire in cloud servizi di sicurezza, come, per esempio, servizi di penetration test oppure servizi di identity management, fornendo soluzioni di single sign on o servizi di Security Intelligence, che per molte imprese sarebbe oneroso gestire internamente, magari per mancanza di competenze. Infine, il terzo punto di vista è quello della divisione IBM Security Service, che, attraverso i propri dieci SOC (Security Operation Center) nel mondo, forniscono servizi gestiti di sicurezza in cloud. Tutto discende dalla Security Intellingence, che parte da QRadar, ma comprende anche le competenze e l'esperienza dei tecnici di IBM. 10

11 L'ultimo SOC, recentemente inaugurato a Breslavia in Polonia, è quello da cui vengono erogati i Managed SIEM Service per i clienti europei. Questi servizi hanno proprio nell'expertise del SOC il punto di forza: i clienti mantengono le infrastrutture e i dati, ma lasciano a IBM la gestione remota degli alert. Per molte imprese può essere vantaggioso ricorrere a un servizio modulabile secondo le specifiche esigenze. Per esempio, è possibile sottoscrivere un contratto per avere un monitoraggio 24x7 oppure uno limitato solo alle ore di ufficio. Esiste poi un'offerta molto ampia di MSS, dai più semplici a quelli più articolati forniti direttamente da IBM Security Services. Tra quelli considerati più peculiari da IBM c'è l'emergency Response Service, da poco arrivato in Europa. Si tratta di un servizio di consulenza, per il quale ci si può abbonare o pagare a chiamata. Nel primo caso, si acquista un supporto per un anno, durante il quale IBM mette a disposizione persone qualificate che intervengono in caso di problemi. Il servizio prevede un workshop iniziale in cui i tecnici IBM valutano i sistemi di difesa del cliente ed eventualmente forniscono raccomandazioni per intervenire laddove si ritenesse necessario. L'abbonato potrà poi chiamare un numero verde, attivo 24x7, per esempio quando è sotto attacco, per essere aiutato a contenere i danni e ripristinare i servizi. Se fortunatamente, al termine dell'anno, non si fossero verificati problemi, allora le giornate non sfruttate verranno convertite in altri servizi di consulenza sulla sicurezza. Chi non ha sottoscritto il servizio può comunque chiamare e chiedere l'intervento degli esperti pagando "a consumo" per ogni singolo intervento. Un altro recente servizio sfrutta la competenza di un'azienda che ha realizzato 10 SOC. Le grandi organizzazioni che volessero realizzare un proprio SOC possono ricorrere alla consulenza di IBM che le supporterà nell'adozione delle infrastrutture, tecnologie, processi e organizzazione necessari. Si possono realizzare SOC in house, ma anche ibridi, cioè centri che in parte si avvalgono dei SOC di IBM. I dati rimangono interni, si fa crescere il personale, ma si sfrutta la competenza di IBM non solo tecnica, magari di team specifici, ma anche quella relativa a processi, gestione e organizzazione di un SOC. 11

12 IBM IBM Security per la mobility La mobility ha assunto un'importanza crescente nei processi aziendali. IBM Security ha sviluppato soluzioni di classe enterprise che indirizzano tutti gli aspetti dei rischi legati al mobile. Questo comprende rendere sicuri i dispositivi, proteggere l'accesso alle risorse aziendali e abilitare la realizzazione e l'utilizzo di applicazioni mobili sicure. Per ottenere questi risultati, secondo la visione di IBM, occorre una piena visibilità e un approccio adattativo. Questo significa non solo introdurre funzionalità mobile native nelle soluzioni infrastrutturali di sicurezza, ma anche trasformare un approccio reattivo in un modello di sicurezza che corrisponda alla dinamicità degli ambienti mobile. Le soluzioni IBM abilitano un modello integrato, end to end, di sicurezza con visibilità estesa a tutta l'impresa, favorendo una risposta proattiva. Il riferimento resta l'ibm Security Framework: persone, dati, applicazioni, infrastruttura. IBM Security Access Manager for Mobile (disponibile anche in versione hosted SaaS) protegge gli accessi alle risorse autenticando gli utenti mobili e i loro dispositivi. La soluzione fornisce flessibilità per garantire privilegi differenti ed è progettata per prevenire attacchi "man in the middle".ibm IBM Endpoint Manager for Mobile protegge i dati, imponendo che le configurazioni dei dispositivi siano conformi alle regole aziendali, obbligando gli utilizzatori a crittografarli e a utilizzare VPN per le comunicazioni. Fornisce inoltre funzioni di wipe e lock dei dispositivi. IBM Worklight fornisce sicurezza dei dati a livello applicativo, mettendo a disposizione strumenti per consentire agli sviluppatori di crittografare i dati applicativi. Sul fronte infrastrutturale è poi necessario garantire la sicurezza delle comunicazioni, che significa usare VPN, ma anche garantire l'autenticazione e la compliance. IBM Lotus Mobile Connect abilita una connettività sicura dal dispositivo al backend aziendale. Mentre IBM Endpoint Manager for Mobile, oltre alla conformità, verifica se i dispositivi sono stati compromessi, restringendone i privilegi di accesso. Per quanto concerne le applicazioni, inoltre, IBM Worklight permette di sviluppare, mettere in esercizio e far girare in maniera sicura applicazioni HTML5 e app mobili. Le funzionalità di protezione dei messaggi e quelle di firewall XML fornite da IBM WebSphere DataPower garantiscono l'integrità dei contenuti dei messaggi e proteggono le chiamate alle API. 12

13 Un discorso a parte merita Security AppScan Security AppScan per le applicazioni mobili Con Security AppScan, IBM fornisce una solida soluzione per la sicurezza dello sviluppo applicativo, consentendo alle aziende di integrare i test della sicurezza delle applicazioni mobili in tutto il ciclo di vita dell applicazione. Le applicazioni mobili rappresentano un nuovo bersaglio per le minacce, più a rischio delle applicazioni Web. Le applicazioni mobili presentano vulnerabilità specifiche. Le nuove funzionalità di analisi di IBM Security AppScan permettono di scoprire queste vulnerabilità per aiutare gli sviluppatori a creare applicazioni mobili più sicure. In particolare, IBM fornisce Static Application Security Testing (SAST) per le applicazioni Android, consentendo alle aziende di condurre i propri test per le applicazioni mobili, mentre in passato era necessario far testare il codice a un fornitore esterno per fargli verificare eventuali vulnerabilità. Tra le altre funzionalità significative: L integrazione con QRadar Security Intelligence Platform di IBM, che garantisce una maggiore sicurezza "by design" quando un applicazione passa nella fase di produzione. Infatti mediante la correlazione tra le vulnerabilità note dell applicazione e l attività dell utente e di rete, QRadar può aumentare o ridurre automaticamente il punteggio di priorità degli incidenti di sicurezza. La funzionalità di Cross Site Scripting (XSS), più potente delle versioni precedenti di AppScan, sfrutta una modalità di apprendimento per valutare rapidamente milioni di potenziali test con 20 test centrali. Le nuove funzionalità di analisi statica aiutano le aziende ad adottare prassi di sicurezza delle applicazioni generalizzate, che permettono anche a non specialisti della sicurezza di eseguire i test più rapidamente che con le release precedenti. Template predefiniti e personalizzabili, che forniscono ai team di sviluppo la possibilità di focalizzarsi rapidamente su un insieme di regole prioritizzate dai team di sicurezza, aiutando le aziende a concentrarsi sulle questioni per loro essenziali in tutta l'organizzazione. Oltre all integrazione con QRadar, AppScan offre punti di integrazione con IBM Security Network IPS e IBM Security SiteProtector, ed è un complemento regolarmente venduto con le soluzioni IBM Guardium e IBM 13

14 IBM Security Access Management per una sicurezza delle applicazioni end-toend. L approccio seguito è quello di fornire un framework completo e integrato di sicurezza per le applicazioni, in tutto il ciclo di vita - dallo sviluppo alla produzione. IBM Security Intelligence with Big Data IBM ha definito un approccio che permette alle aziende di avvalersi delle funzionalità di analisi dei Big Data per prevenire e rilevare sia le minacce esterne sia i rischi interni. Questa soluzione unisce funzionalità di correlazione in tempo reale, che consentono di realizzare con continuità analisi in profondità (i cosidetti 'insight'), con funzionalità di business analytics personalizzate e applicabili a enormi quantità di dati. Dati che possono essere strutturati (come gli alert lanciati dai dispositivi di sicurezza, i log dei sistemi operativi, le transazioni DNS e i dati sui flussi di rete) e non strutturati (quali le , i contenuti dei social media e le transazioni di business). A questo si aggiungono funzionalità "forensic", cioè d indagine per la raccolta di prove, ai fini della compliance e dell'incident response. La soluzione è indirizzata soprattutto alle imprese che manifestano un approccio strategico alla sicurezza e, in particolare, di tipo proattivo: non semplicemente orientato alla prevenzione delle minacce, ma basato sulla ricerca di informazioni relative ai rischi per la sicurezza. Tipicamente sono le società finanziarie, come le banche, oppure i grandi telco operator, che devono garantire massima continuità del servizio e massima protezione dei dati per i vincoli legati alla privacy. In altri casi, peraltro, potrebbe essere un approccio valido anche per tipologie differenti di imprese, magari in funzione di specifici servizi: si pensi ai service provider, impegnati con precisi SLA (Service Level Agreement) con i loro clienti o a organizzazioni dell'e-commerce. Realizzato nei laboratori IBM, IBM Security Intelligence with Big Data unisce le funzionalità di correlazione della sicurezza e di rilevamento delle anomalie in tempo reale della piattaforma IBM QRadar Security Intelligence, all analisi personalizzata di grandi quantità di dati fornita da IBM InfoSphere BigInsights. Il risultato è una soluzione integrata, che comprende monitoraggio e avvisi intelligenti delle minacce e dei rischi, per analizzare ed esplorare dati di sicurezza in modo innovativo. 14

15 Le funzionalità chiave comunicate da IBM comprendono: correlazione in tempo reale e rilevamento delle anomalie di dati di sicurezza e di rete eterogenei; interrogazione ad alta velocità dei dati di security intelligence; business analytics flessibile sui Big Data, tra dati strutturati e non strutturati, comprendente sicurezza per , social media, processi di business, dati transazionali e provenienti da dispositivi vari; strumenti agrafici per la visualizzazione e l esplorazione dei Big Data; funzionalità per una visibilità approfondita sull attività di rete. IBM Security Intelligence with Big Data comprende una gamma di funzionalità di security intelligence pacchettizzate, che vanno dalla tassonomia dei dati di sicurezza e normalizzazione automatizzata dei dati, a policy predefinite e dashboard che codificano le best practice del settore e accelerano il time-to-value. IBM ha sviluppato soluzioni per la sicurezza dei dati per Hadoop e altri ambienti di Big Data. Specificamente, Guardium fornisce monitoraggio in tempo reale e reporting automatizzato sulla conformità per sistemi basati su Hadoop, quali InfoSphere BigInsights e Cloudera. Con i controlli federati tra le varie fonti di dati, le aziende comprenderanno i modelli di accesso ai dati e alle applicazioni, di prevenire la perdita di dati e rinforzare i controlli sulle modifiche ai dati. Il reporting di "audit" incorporato può essere utilizzato per generare documentazione necessaria per la compliance, distribuirla per la supervisione dei team e per attestare i risultati delle attività correttive. Le organizzazioni possono inoltre automatizzare la rilevazione delle vulnerabilità e suggerire azioni correttive in ordine di priorità tra infrastrutture eterogenee. IBM fornisce inoltre il mascheramento dei dati, per rendere anonimi i dati sensibili durante gli spostamenti da e verso i sistemi Big Data. Sono inoltre disponibili miglioramenti alla gestione della crittografia, che automatizzano il recupero delle chiavi e a supportare l ultima versione dello standard Key Management Interoperability Protocol (KMIP). La società IBM è una società di innovazione al servizio di aziende e istituzioni. In Italia è presente dal 1927 contribuendo alla crescita economica e all innovazione. Per ulteriori informazioni: e 15