Visibilità a 360 gradi: RSA Security Analytics

All’interno della proposizione RSA, il cuore pulsante che garantisce al SOC quella visibilità necessaria a fronteggiare lo scenario delle minacce odierno è come detto nei precedenti articoli rappresentato dalla soluzione RSA Security Analytics.

Da un punto di vista architetturale, il prodotto è costituito da un primo livello, sulla sinistra, che è finalizzato a collezionare gli eventi di sicurezza. Sia che essi siano messaggi di log provenienti da dispositivi di rete o server, sia che sia il traffico di rete in entrata o in uscita dall’organizzazione, dei moduli applicativi specifici si occupano di rilevare quanto raccolto, identificando la tipologia del dispositivo che ha generato il log o il protocollo di rete in uso nella comunicazione ed estrarre, prima ancora che l’informazione venga memorizzata, tutte le informazioni che potranno essere utili per una successiva analisi sotto forma di meta-dato.

Allo stesso tempo, facendo leva su una tassonomia ben definita e un framework completamente personalizzabile, la soluzione permette di arricchire i dati raccolti integrandovi il contesto IT e di business in base all’asset coinvolto, informazioni inerenti la threat intelligence che ci indicheranno ad esempio se è in atto una comunicazione con un server noto per essere coinvolto in attività malevoli, la geo-localizzazione degli endpoint e tutti quei meccanismi di arricchimento personalizzati che sono configurabili.

Tali metadati vengono quindi raccolti e indicizzati da uno strato intermedio. Tale scelta architetturale ha due scopi ben precisi: innanzi tutto permette di non dover ri-elaborare il dato grezzo ad ogni richiesta permettendo quindi un accesso più veloce, semplice ed immediato ai dati raccolti. In secondo luogo consente una distribuzione del carico di lavoro più efficiente e adeguata all’enorme mole di informazioni che le organizzazioni si trovano a dover gestire, immagazzinare ed elaborare

Lo strato centrale si basa sul principio secondo cui i dati debbono essere raccolti una volta sola, all’interno di un’unica piattaforma ma analizzati in modalità differente a seconda dello use case e requisiti specifici che si devono soddisfare. La soluzione mette quindi a disposizione:

•       Un modulo specifico per l’archiviazione dei dati, qualora si abbia necessità di soddisfare ad esempio determinati requisiti di compliance che prevedono il mantenimento dei dati per un lungo periodo di tempo;

•       Un modulo di investigazione che permette di muoversi rapidamente tra i dati raccolti, rappresentando una mole di dati anche importante all’interno di un unica schermata per finalità di analisi real-time o forense;

•       Un modulo che permette di analizzare e correlare gli eventi per identificare scenari di attacco anche complessi;

•       Un modulo che permette di identificare e analizzare potenziali codici malevoli in modo da supportare gli nell’assegnazione della priorità alle diverse analisi;

•       Un modulo di data warehouse specifico per gli eventi di sicurezza atto all’analisi continua e a valore aggiunto dei dati raccolti.

Infine, sulla destra, un unico punto di accesso rappresentato da un’interfaccia web che permette di accedere alle diverse funzionalità, integrarsi con gli altri strumenti di sicurezza e non solo presenti all’interno dell’organizzazione e alimentare con informazioni precise e dettagliate strumenti che si occupano tra l’altro di implementare il processo di Incident Response quali ad esempio RSA Security Operations Management o far scaturire indagini approfondite su postazioni di lavoro sospette.

Davide Veneziano – RSA Security Analytics Pre Sales Consultant

Francesco Gelo – RSA Pre Sales Consultant

http://www.emc.com/security/security-analytics/security-analytics.htm

https://blogs.rsa.com/category/advanced-security/