sabato 20 settembre 2014

Valutare l’entità di una compromissione: RSA ECAT

Al fine di garantire la massima visibilità anche sui singoli endpoint e valutare al meglio l’entità e l’estensione di una potenziale compromissione, RSA mette a disposizione uno strumento specifico chiamato ECAT, Enterprise Compromise Assessment Tool.
Benchè esistono in commercio e nel mondo open source numerosi strumenti atti ad individuare potenziali codici malevoli presenti in una postazione di lavoro o di un server, ECAT adotta un’ottica unica e si pone come uno strumento Enterprise completamente integrato nel all’interno del Security Operation Center.



Si tratta di una soluzione basata su agente che permette di valutare lo stato di salute di un determinato sistema attraverso una prima scansione e di mantenere costantemente monitorata la situazione in modo tale da essere notificati qualora avvenisse una compromissione. L’approccio su cui il prodotto si basa è sull’analisi della memoria: qualsiasi componente malevolo, a prescindere dagli accorgimenti che l’attaccante ha adottato per nascondere i comportamenti malevoli del suo software, per poter interagire con il sistema, deve ad un certo punto «scoprirsi», essere caricato in memoria ed eseguirsi. Ed è a questo punto che ECAT interviene, modellando attraverso un’analisi comportamentale non basata su firme ciò che un determinato applicativo sta facendo, come influisce sugli altri processi e con che modalità interagisce con il sistema operativo.
Il risultato di queste complesse analisi viene poi quindi sintetizzato in un unico punteggio chiamato «grado di sospetto», che sarà poi utilizzato dall’analista per assegnare una priorità alle proprie investigazioni o per confermare o meno un potenziale incidente a seguito di una segnalazione da parte della piattaforma di Security Analytics.
Adottare un approccio non basato su firme, benché evidentemente più efficace per individuare minacce non ancora note, può risultare inevitabilmente più complesso da gestire a causa del numero di falsi positivi che potrebbe generare. Per scongiurare tale scenario, ECAT adotta un sistema di whitelisting in modo tale che applicativi certificati o legittimi non influiscano sul grado di sospetto e permettano quindi all’analista di individuare immediatamente il componente malevolo.

Davide Veneziano – RSA Security Analytics Pre Sales Consultant
Francesco Gelo – RSA Pre Sales Consultant

domenica 14 settembre 2014

Visibilità a 360 gradi: RSA Security Analytics

All’interno della proposizione RSA, il cuore pulsante che garantisce al SOC quella visibilità necessaria a fronteggiare lo scenario delle minacce odierno è come detto nei precedenti articoli rappresentato dalla soluzione RSA Security Analytics.

Da un punto di vista architetturale, il prodotto è costituito da un primo livello, sulla sinistra, che è finalizzato a collezionare gli eventi di sicurezza. Sia che essi siano messaggi di log provenienti da dispositivi di rete o server, sia che sia il traffico di rete in entrata o in uscita dall’organizzazione, dei moduli applicativi specifici si occupano di rilevare quanto raccolto, identificando la tipologia del dispositivo che ha generato il log o il protocollo di rete in uso nella comunicazione ed estrarre, prima ancora che l’informazione venga memorizzata, tutte le informazioni che potranno essere utili per una successiva analisi sotto forma di meta-dato.




mercoledì 27 agosto 2014

EMC RecoverPoint for Virtual Machines

Con più di 22.000 partecipanti e centinaia di sessioni e laboratori dimostrativi, si sta svolgendo in questi giorni (dal 22 al 28 Agosto) il VMworld US,  uno degli eventi più attesi del settore tecnologico giunto alla sua 11° edizione. EMC è Global Diamond sponsor dell’evento e ospita più di 15 sessioni evidenziando le più recenti tecnologie e soluzioni, oltre a numerosi vLABs caratterizzati da dimostrazioni interattive.

E' in questo contesto che EMC sta annunciando il rilascio di nuovi prodotti,  soluzioni ed integrazioni con il mondo VMware.
In particolare, una delle sessioni è stata incentrata sulla presentazione di una  nuova soluzione della famiglia EMC RecoverPoint, RecoverPoint per Virtual Machines (RP4VMs), una soluzione di Disaster Recovery semplice pensata per le applicazioni di oggi e di domani in ambienti cloud basati su VMware. Sarà formalmente in GA entro la fine dell’anno in corso.
Questa soluzione fornisce la replica locale e remota in combinazione con protezione continua dei dati per il recupero di Virtual Machines (VM) a qualsiasi punto di ripristino nel tempo, con un’orchestrazione integrata di Disaster Recovery automatizzato. RecoverPoint for VMs porta le caratteristiche avanzate di tipo enterprise proprie di EMC RecoverPoint, con oltre 20.000 unità installate in tutto il mondo, in una soluzione 100% software.

Software-Defined VM Protection RecoverPoint for VMs è una soluzione di replica completamente virtualizzata e automatizzata basata su hypervisor, che è altamente integrata nel software di gestione cloud di VMware. La soluzione si installa facilmente sui server ESXi esistenti, consentendo la replica e il ripristino con granularità a livello di Virtual Machine. RecoverPoint for VMs è completamente storage-agnostic”, consentendo la replica delle macchine virtuali da e verso qualsiasi storage certificato da VMware.

Nella figura seguente è evidenziata la differenza tra RecoverPoint Virtual Edition e RecoverPoint for VMs. In particolare è possibile notare come RecoverPoint for VM protegge a livello di Virtual Machine (e non delle LUN) mentre lo Splitter è integrato nell’Hypervisor (e non nel sistema  Storage). Le VM sono protette per qualsiasi tipo di storage sottostante.





vAdministrator Visibility and Control RecoverPoint for VMs consente agli amministratori VMware di assumere un ruolo più attivo nel proteggere e recuperare le loro VM:  poichè RecoverPoint for VMs utilizza una semplice procedura guidata di configurazione di replica nel client Web vSphere, l’Amministratore è in grado di stabilire e gestire la replica a livello di VM rapidamente e con facilità.

Enhanced Disaster Recovery Readiness RecoverPoint for VMs aiuta a ridurre il tempo, la complessità e le risorse necessarie per i processi di recovery e per i processi operativi. Con RecoverPoint for VMs, l’Amministratore è in grado di condurre operazioni automatiche di orchestrazione e di ripristino in emergenza (per singola VM o per un intero sito) utilizzando il plug-in RecoverPoint per VM in vCenter. Le operazioni automatiche di DR includono:
  • Recovery da corruzione logica a qualsiasi point-in-time
  • Failover and failback di uno specifico consistency groups a qualsiasi point-in-time
  • Test di DR senza interruzione di servizio
Lower Infrastructure Costs RecoverPoint per VM fornisce compressione, deduplicazione e la riduzione della larghezza di banda per ridurre il consumo di WAN fino al 90%, contribuendo a ridurre drasticamente i costi di comunicazione dei dati.

Nella figura seguente è illustrata l'architettura di RecoverPoint for VMs.




EMC prevede, dal mese di ottobre, di consentire ai propri clienti di scaricare una licenza gratuita di RecoverPoint for VMs pienamente funzionante, da utilizzare in ambienti non di produzione.



#EMC #VMworld
#RP4VMs
#RecoverPoint
#RecoverPoint for Virtual Machines

Link utili:

Per maggiori informazioni su RecoverPoint for Virtual Machines vai alla pagina di prodotto:

Per partecipare a discussion tecniche sul prodotto puoi unirti alla Community EMC RecoverPoint:

Post sull’annuncio da parte del management di EMC:



Video con una veloce presentazione della semplicità di implementazione e utilizzo di RecoverPoint for VMs. (VMworld 2014 – DEMO EMC RecoverPoint for VM):


Post pubblicato da:

Luigi De Meo
Advisory Systems Engineer
@geniusbee

martedì 26 agosto 2014

EMC FORUM 2014





Appena rientrati dale vacanze, è probabilmente il momento di pianificare l’agenda autunnale e tra gli eventi da non perdere vi segnaliamo l’appuntamento annuale con EMC Forum. #EMCForum

La tappa italiana è prevista nella giornata del 18 Novembre a Milano presso MiCo (Milano Congressi).

EMC Forum, giunto alla sua 12° edizione, è una conferenza globale sulla tecnologia ed offre a dirigenti IT e professionisti l'opportunità di conoscere le tendenze e le novità sul cloud, confrontarsi con le best practice del mercato ed interagire con colleghi del settore, imparare da esperti EMC e Partner, provare le demo sulle soluzioni. Le numerose opportunità di approfondimento e discussione sui temi tecnologici più importanti del 2014 rendono questo evento unico e da non perdere!

La serie di incontri EMC Forum è iniziata i primi di Luglio a Seoul, in Corea, dove ci sono stati oltre 4500 partecipanti tra i quali 71 CIO, CEO di 85 partner, 26 sponsor e 50 giornalisti, e prosegue in oltre 50 città in tutto il mondo passando per Milano il 14 Novembre prossimo.




EMC Forum è l'evento che consente agli utenti finali di confrontarsi sulle tecnologie che abilitano la ridefinizione dell'IT per trasformare la propria azienda in una realtà "software-defined". C'è ancora tempo per partecipare al Forum più vicino a voi.

EMC Geek e il team di prevendita di EMC Italia vi aspetta all’evento italiano: non vediamo l'ora di incontrarvi!

Link utili:



EMC FORUM 2014 (appuntamento italiano)
Data: 18 Novembre 2014, 9:00 – 18:00
Sede: MiCo - Milano Congressi
Indirizzo: Via Gattamelata, Gate 14, Milano, 20149, Italy

Telefono: +39 02 4997 6275
#EMCForum



Post pubblicato da:

Luigi De Meo

Advisory Systems Engineer

@geniusbee

Oltre la sola gestione degli incidenti informatici: RSA Security Operations Management

Security Operations Management è la soluzione RSA che permette di gestire ed orchestrare tutti gli aspetti del Security Operation Center. Spesso si pensa che tale attività sia rappresentata dal solo processo di gestione degli incidenti e di bonifica ma ciò rappresenta solo una piccola parte di ciò di cui chi è deputato ad implementare un programma di SOC viene reso responsabile.








L’obiettivo è chiaramente quello di rendere i diversi processi su cui il SOC è strutturato ripetibili e strutturati, permettendo ad ogni entità di contribuire alla crescita dell’intera struttura, evitando le sovrapposizioni e migliorando le modalità di condivisione delle informazioni, il tutto facendo leva sul contributo che la tecnologia può portare.

A tal fine, la soluzione mira a fornire informazioni differenti, specifiche e rilevanti per ogni persona, o ruolo con cui vi interagisce, in modo tale che ogni entità possa raggiungere il proprio obiettivo nel tempo più breve possibile, nel modo più efficace e potendo costantemente misurare il proprio operato.
L’importanza di avere contenuti predefiniti che modellizzano procedure e workflow basati su standard industriali permette di essere operativi in breve tempo e di perseguire quella consistenza necessaria ogni qualvolta che persone con esperienze e conoscenze variegate debbano lavorare all’unisono per conseguire un unico obiettivo.
Inoltre, il coordinamento di tali attività è facilitato dalla presenza di procedure preconfigurate atte a coinvolgere le persone giuste all’interno dell’organizzazione al momento giusto, il tutto attraverso la piattaforma.  Non dimentichiamoci che nel corso di una crisi, se anche solo un anello della catena non porta il proprio contributo o non è messo in grado di farlo, l’intero processo rischia di essere compromesso, aumentando così l’esposizione al rischio dell’intera organizzazione e potenziali danni al business.

Misurare l’operato di ciascuna figura è chiaramente fondamentale in tale contesto per garantire il conseguimento degli SLA a cui l’intero SOC e ogni singola figura che ne fa parte è soggetta. Chiaramente tali misurazione sono differenti per ogni ruolo: ad esempio il singolo analista è interessato a valutare quanti incidenti è riuscito a chiudere e il tempo medio di gestione degli stessi mentre chi il SOC lo gestisce può essere più interessato a valutare che il ritorno sull’investimento dei diversi controlli di sicurezza implementati sia positivo.



Davide Veneziano – RSA Security Analytics Pre Sales Consultant
Francesco Gelo – RSA Pre Sales Consultant
http://www.emc.com/security/rsa-archer/security-operations-management.htm