L’approccio alla tematica Data Loss Prevention come soluzione di Risk Management

Per affrontare la tematica Data Loss Prevention,  è fondamentale comprendere con quali tipologie di dati si ha a che fare.
Prima di considerare qualsiasi tecnologia, occorre definire una metodologia, stabilire cosa è sensibile per le diverse business unit (processo) e definire ad alto livello le policy per il trattamento delle informazioni. L’obiettivo numero uno deve essere la consapevolezza del livello di rischio cui si è esposti, quindi operare per ridurlo sistematicamente evitando impatti sul business.

Una valutazione del rischio associato alla perdita di dati deve tener conto di tre fattori: identità dell’utente, azione dell’utente e livello di sensibilità del dato. Attraverso una vista completa su dove risiedono i dati all’interno dell’infrastruttura e come si muovono all’interno e verso l’esterno dell’organizzazione, l’azienda può drasticamente ridurre il rischio associato alla perdita di informazioni sensibili.

I business owner dei dati sensibili ed i responsabili di business unit aziendali rivestono un ruolo fondamentale nella definizione delle policy che regolano l’accesso e l’utilizzo dei dati stessi. A questo scopo sono normalmente effettuate delle interviste one-to-one per definire ad alto livello le politiche di trattamento del dato. La tecnologia DLP rappresenta uno strumento che deve semplificare ed automatizzare questo processo, rendendolo più efficiente, ripetibile e governabile.
Un altro passaggio importante consiste nell’educare gli utenti circa le policy aziendali per il trattamento dei dati sensibili e sul rischio delle loro azioni: la tecnologia DLP concorre a questo processo rendendo l’utente parte della soluzione, educandolo in tempo reale a seguito delle violazioni.
Solo a questo punto, sarà possibile attivare l’enforcement dei controlli tecnologici per ridurre ulteriormente il rischio senza impatti sul business e senza gravare sull’operatività dell’IT.

Un approccio innovativo, ma soprattutto efficace all'analisi dei Malware avanzati

Da sempre la principale sfida dei gruppi di sicurezza è proteggere le informazioni aziendali. 

Purtroppo l’evoluzione delle minacce e i recenti attacchi ci hanno ampiamente dimostrato quanto un approccio innovativo e la combinazione di diversi criteri siano fondamentali per proteggere il bene più prezioso delle aziende: le informazioni.

Esistono molteplici tipologie di malware e di codice malevolo che possono compromettere i nostri sistemi e di conseguenza le nostre informazioni. Pensiamo ad esempio ad un attacco programmato, il codice è sviluppato per attivarsi alle 4.09 AM del primo sabato del mese verificando se esistono driver di VMware. In questo caso analizzare il file con una sandbox non produrrebbe nessun risultato; dobbiamo utilizzare un approccio innovativo che mette insieme criteri diversi identificando dei valori secondo cui sarà possibile stabilire delle efficaci contromisure.

Security Analytics Malware Analysis è una soluzione che rivoluziona l’identificazione, l’analisi e la definizione delle priorità circa le minacce di tipo malware-based.

Gli analisti di sicurezza esperti riconoscono che nessun tool è in grado di bloccare tutti i possibili attacchi: la soluzione aiuta nell’identificazione e nella mitigazione dei problemi reali e seri che non sono intercettati dalle soluzioni tradizionali e moderne di protezione dai malware.

Ciò che rende Security Analytics Malware Analysis una soluzione unica è la sua capacità di vedere l’intero spettro di attacchi ed analizzare tutti i dati in transito sulla rete utilizzando quattro distinte tecniche di investigazione. 

• Network Session Analysis – Esame degli attributi relativi alla sessione di rete che contiene il file potenzialmente malevolo; ad esempio, il software scaricato da un sito conosciuto, attraverso porte e protocolli appropriati è considerato meno sospetto rispetto al software identificato come malevolo o scaricato da siti di dubbia reputazione. Di seguito, ulteriori esempi dei fattori utilizzati nella valutazione di questo specifico criterio relativamente a sessioni che contengono:
• informazioni relative a feed (contenuti Live) di tipo “threat”;
• connessioni verso siti malevoli ben conosciuti;
• connessioni verso paesi/domini ad elevato rischio (ad es. dominio .cc);
• utilizzo di protocolli noti attraverso porte non standard;
• JavaScript di tipo “obfuscated”.

• Static File Analysis – Analisi del file per evidenziare sia tentativi di “obfuscation” sia indicatori relativi al possibile comportamento malevolo che si manifesta all’apertura o esecuzione del file stesso; ad esempio, il software che presenta link a librerie con funzioni di tipo networking è più probabile che possa effettuare attività di rete sospette. Di seguito, ulteriori esempi dei fattori utilizzati nella valutazione di questo specifico criterio:
• File che siano identificati come XOR encoded (tecnica di obfuscation);
• File che siano identificati come embedded all’interno di formati non-EXE (ad esempio, file PE embedded in un formato GIF);
• File che collegano a librerie identificate ad elevato rischio;
• File che non rispettano il formato PE.

• Security Community Analysis – Consultazione della community per determinare sia se la sessione di rete è relativa a siti segnalati o conosciuti per la delivery di malware sia se il file stesso è già stato segnalato come malevolo; ad esempio, i file il cui fingerprint/hash è già conosciuto come “good” o “bad” dai principali vendor antivirus riceve un punteggio adeguato all’analisi effettuata dalla Community.

• Sandbox (dynamic) Analysis – I file nella sessione sono dinamicamente analizzati e monitorati in un ambiente controllato al fine di rilevare comportamenti di tipo malevolo; ad esempio, il software che si auto-configura per la partenza automatica ad ogni reboot del sistema ed effettua connessioni di tipo IRC riceverà uno score superiore rispetto ad un file che non presenta un comportamento malevolo noto.

Le funzionalità di Malware Analysis non devono basarsi esclusivamente sulle sole capacità di Sandbox, bensì sull’insieme delle suddette quattro metodologie di analisi, al fine di compensare le intrinseche mancanze delle altre; ad esempio, le funzionalità di Sandbox (Dynamic) Analysis possono compensare la mancata rilevazione di “Zero-Day attack” da parte della fase di Security Community Analysis e l’approccio basato esclusivamente su Sandbox è ampliamente dimostrato come non sia del tutto efficiente.

I dipartimenti IT sono funzionali agli obiettivi di business che l’azienda si pone, uno strumento come Security Analytics aiuta i gruppi di sicurezza ad automatizzare quanto più possibile le attività di identificazione di potenziali minacce mettendo a fattor comune criteri diversi in modo automatico riducendo i tempi di analisi in ambito Big Data.

Mauro Costantini - mauro.costantini@rsa.com

https://blogs.rsa.com

https://blogs.rsa.com/category/security-operations-2/

http://www.emc.com/security/rsa-security-operations.htm 

Valutare l’entità di una compromissione: RSA ECAT

Al fine di garantire la massima visibilità anche sui singoli endpoint e valutare al meglio l’entità e l’estensione di una potenziale compromissione, RSA mette a disposizione uno strumento specifico chiamato ECAT, Enterprise Compromise Assessment Tool.

Benchè esistono in commercio e nel mondo open source numerosi strumenti atti ad individuare potenziali codici malevoli presenti in una postazione di lavoro o di un server, ECAT adotta un’ottica unica e si pone come uno strumento Enterprise completamente integrato nel all’interno del Security Operation Center.

Si tratta di una soluzione basata su agente che permette di valutare lo stato di salute di un determinato sistema attraverso una prima scansione e di mantenere costantemente monitorata la situazione in modo tale da essere notificati qualora avvenisse una compromissione. L’approccio su cui il prodotto si basa è sull’analisi della memoria: qualsiasi componente malevolo, a prescindere dagli accorgimenti che l’attaccante ha adottato per nascondere i comportamenti malevoli del suo software, per poter interagire con il sistema, deve ad un certo punto «scoprirsi», essere caricato in memoria ed eseguirsi. Ed è a questo punto che ECAT interviene, modellando attraverso un’analisi comportamentale non basata su firme ciò che un determinato applicativo sta facendo, come influisce sugli altri processi e con che modalità interagisce con il sistema operativo.

Il risultato di queste complesse analisi viene poi quindi sintetizzato in un unico punteggio chiamato «grado di sospetto», che sarà poi utilizzato dall’analista per assegnare una priorità alle proprie investigazioni o per confermare o meno un potenziale incidente a seguito di una segnalazione da parte della piattaforma di Security Analytics.

Adottare un approccio non basato su firme, benché evidentemente più efficace per individuare minacce non ancora note, può risultare inevitabilmente più complesso da gestire a causa del numero di falsi positivi che potrebbe generare. Per scongiurare tale scenario, ECAT adotta un sistema di whitelisting in modo tale che applicativi certificati o legittimi non influiscano sul grado di sospetto e permettano quindi all’analista di individuare immediatamente il componente malevolo.

Davide Veneziano – RSA Security Analytics Pre Sales Consultant

Francesco Gelo – RSA Pre Sales Consultant

http://www.emc.com/security/rsa-ecat.htm

Visibilità a 360 gradi: RSA Security Analytics

All’interno della proposizione RSA, il cuore pulsante che garantisce al SOC quella visibilità necessaria a fronteggiare lo scenario delle minacce odierno è come detto nei precedenti articoli rappresentato dalla soluzione RSA Security Analytics.

Da un punto di vista architetturale, il prodotto è costituito da un primo livello, sulla sinistra, che è finalizzato a collezionare gli eventi di sicurezza. Sia che essi siano messaggi di log provenienti da dispositivi di rete o server, sia che sia il traffico di rete in entrata o in uscita dall’organizzazione, dei moduli applicativi specifici si occupano di rilevare quanto raccolto, identificando la tipologia del dispositivo che ha generato il log o il protocollo di rete in uso nella comunicazione ed estrarre, prima ancora che l’informazione venga memorizzata, tutte le informazioni che potranno essere utili per una successiva analisi sotto forma di meta-dato.

Oltre la sola gestione degli incidenti informatici: RSA Security Operations Management

Security Operations Management è la soluzione RSA che permette di gestire ed orchestrare tutti gli aspetti del Security Operation Center. Spesso si pensa che tale attività sia rappresentata dal solo processo di gestione degli incidenti e di bonifica ma ciò rappresenta solo una piccola parte di ciò di cui chi è deputato ad implementare un programma di SOC viene reso responsabile.

L’obiettivo è chiaramente quello di rendere i diversi processi su cui il SOC è strutturato ripetibili e strutturati, permettendo ad ogni entità di contribuire alla crescita dell’intera struttura, evitando le sovrapposizioni e migliorando le modalità di condivisione delle informazioni, il tutto facendo leva sul contributo che la tecnologia può portare.

A tal fine, la soluzione mira a fornire informazioni differenti, specifiche e rilevanti per ogni persona, o ruolo con cui vi interagisce, in modo tale che ogni entità possa raggiungere il proprio obiettivo nel tempo più breve possibile, nel modo più efficace e potendo costantemente misurare il proprio operato.

L’importanza di avere contenuti predefiniti che modellizzano procedure e workflow basati su standard industriali permette di essere operativi in breve tempo e di perseguire quella consistenza necessaria ogni qualvolta che persone con esperienze e conoscenze variegate debbano lavorare all’unisono per conseguire un unico obiettivo.
Inoltre, il coordinamento di tali attività è facilitato dalla presenza di procedure preconfigurate atte a coinvolgere le persone giuste all’interno dell’organizzazione al momento giusto, il tutto attraverso la piattaforma.  Non dimentichiamoci che nel corso di una crisi, se anche solo un anello della catena non porta il proprio contributo o non è messo in grado di farlo, l’intero processo rischia di essere compromesso, aumentando così l’esposizione al rischio dell’intera organizzazione e potenziali danni al business.

Misurare l’operato di ciascuna figura è chiaramente fondamentale in tale contesto per garantire il conseguimento degli SLA a cui l’intero SOC e ogni singola figura che ne fa parte è soggetta. Chiaramente tali misurazione sono differenti per ogni ruolo: ad esempio il singolo analista è interessato a valutare quanti incidenti è riuscito a chiudere e il tempo medio di gestione degli stessi mentre chi il SOC lo gestisce può essere più interessato a valutare che il ritorno sull’investimento dei diversi controlli di sicurezza implementati sia positivo.

Davide Veneziano – RSA Security Analytics Pre Sales Consultant

Francesco Gelo – RSA Pre Sales Consultant
http://www.emc.com/security/rsa-archer/security-operations-management.htm