martedì 26 agosto 2014

Oltre la sola gestione degli incidenti informatici: RSA Security Operations Management

Security Operations Management è la soluzione RSA che permette di gestire ed orchestrare tutti gli aspetti del Security Operation Center. Spesso si pensa che tale attività sia rappresentata dal solo processo di gestione degli incidenti e di bonifica ma ciò rappresenta solo una piccola parte di ciò di cui chi è deputato ad implementare un programma di SOC viene reso responsabile.








L’obiettivo è chiaramente quello di rendere i diversi processi su cui il SOC è strutturato ripetibili e strutturati, permettendo ad ogni entità di contribuire alla crescita dell’intera struttura, evitando le sovrapposizioni e migliorando le modalità di condivisione delle informazioni, il tutto facendo leva sul contributo che la tecnologia può portare.

A tal fine, la soluzione mira a fornire informazioni differenti, specifiche e rilevanti per ogni persona, o ruolo con cui vi interagisce, in modo tale che ogni entità possa raggiungere il proprio obiettivo nel tempo più breve possibile, nel modo più efficace e potendo costantemente misurare il proprio operato.
L’importanza di avere contenuti predefiniti che modellizzano procedure e workflow basati su standard industriali permette di essere operativi in breve tempo e di perseguire quella consistenza necessaria ogni qualvolta che persone con esperienze e conoscenze variegate debbano lavorare all’unisono per conseguire un unico obiettivo.
Inoltre, il coordinamento di tali attività è facilitato dalla presenza di procedure preconfigurate atte a coinvolgere le persone giuste all’interno dell’organizzazione al momento giusto, il tutto attraverso la piattaforma.  Non dimentichiamoci che nel corso di una crisi, se anche solo un anello della catena non porta il proprio contributo o non è messo in grado di farlo, l’intero processo rischia di essere compromesso, aumentando così l’esposizione al rischio dell’intera organizzazione e potenziali danni al business.

Misurare l’operato di ciascuna figura è chiaramente fondamentale in tale contesto per garantire il conseguimento degli SLA a cui l’intero SOC e ogni singola figura che ne fa parte è soggetta. Chiaramente tali misurazione sono differenti per ogni ruolo: ad esempio il singolo analista è interessato a valutare quanti incidenti è riuscito a chiudere e il tempo medio di gestione degli stessi mentre chi il SOC lo gestisce può essere più interessato a valutare che il ritorno sull’investimento dei diversi controlli di sicurezza implementati sia positivo.



Davide Veneziano – RSA Security Analytics Pre Sales Consultant
Francesco Gelo – RSA Pre Sales Consultant
http://www.emc.com/security/rsa-archer/security-operations-management.htm

giovedì 31 luglio 2014

Io ne ho viste cose…

clip_image002«Io ne ho viste cose che voi umani non potreste immaginarvi, navi da combattimento in fiamme al largo dei bastioni di Orione, e ho visto i raggi B balenare nel buio vicino alle porte di Tannhäuser…»

Nel 2000, quando sono entrato a far parte della famiglia EMC, i sistemi storage Symmetrix, la famiglia 8000, rappresentava il meglio che la tecnologia EMC potesse offrire.

Era il tempo dei Drive da 18GB da 3.5”, della protezione RAID-1, dei 64GB di cache utente, dei processori PowerPC 750 da 333 MHz e della connessione tra i vari componenti realizzata tramite 4 BUS seriali da 400MB/s.

clip_image004La capacità massima dei sistemi, basati sull’architettura denominata MOSAIC 2000, arrivava a poco più di 69TB RAW (35TB in protezione RAID-1) e, nonostante ciò, la gestione di un sistema di questo tipo richiedeva il coinvolgimento del personale specializzato EMC ogni qualvolta una modifica alla configurazione era richiesta.

Attività apparentemente banali quali la definizione di un volume (LUN) e le relative procedure di Mapping e Masking, richiedevano la modifica del “famigerato” Bin File, una prassi che coinvolgeva non solo il supporto locale ma che non poteva essere effettuata se non dopo la validazione da parte dell’Engineering EMC; in pratica 4 giorni lavorativi prima di poter aggiungere capacità ad un Server.

clip_image006Alcuni anni e un paio di architetture più avanti, dalla architettura Direct Matrix (i sistemi DMX) all’attuale architettura denominata Virtual Matrix (i sistemi VMAX), la gestione dei sistemi Enterprise di EMC è cambiata radicalmente; il Bin File esiste ancora ma oramai ogni tipo di modifica alla configurazione può essere effettuato dall’utente, senza intervento da parte del supporto EMC; sarebbe altresì impensabile poter gestire un sistema, in grado di scalare fino ad oltre 4PB, con le stesse modalità sopra descritte.

Nel frattempo funzionalità quali Virtual Provisioning e Automated Tiering (FAST – Fully Automated Storage Tiering - in casa EMC) hanno fatto capolino, consentendo ai sistemi storage di gestire in modo ottimale il ciclo di vita del dato, garantendo il rispetto dei livelli di servizio e preoccupandosi di movimentare porzioni di volumi (i cosiddetti Chunk) tra tipologie disco diverse all’interno del sistema.

Veniamo ai giorni nostri e in particolare all’annuncio dello scorso 8 Luglio:

clip_image008

VMAX3, la prima “Enterprise Data Service Platform”

Si tratta di nuovi sistemi che introducono funzionalità rivoluzionarie ed innovative, sviluppata intorno alla nuova Dynamic Virtual Matrix, una architettura in grado di garantire la rilocazione delle risorse elaborative (CPU o capacità computazionale) dove necessario in quel momento (Front End, Back End o servizi interni).
Un nuovo ambiente operativo, Hypermax OS, che consente di gestire servizi quali File Gateway, Strumenti di Backup e di Management, direttamente all’interno del sistema stesso.

VMAX3 è più potente rispetto ai sistemi della generazione precedente, grazie ad un numero maggiore di Core, e una banda di interconnessione che utilizza il protocollo Infiniband è in grado di garantire di una scalabilità capacitiva senza compromessi.

Un sistema che conserva le caratteristiche di modularità che hanno determinato il successo delle versioni precedenti, capace di scalare fino a 16 Controller, 16TB di DRAM Cache, 384 Core, BackEnd SAS e Bus PCI Gen 3.0 a sostenere fino a 5760 Drive.

A funzionalità quali SRDF, per la replica remota, e la nuova versione completamente ridisegnata del Software per la replica locale, denominata TimeFinder SnapVX, si aggiunge ProtectPoint, ovvero una nuova funzionalità in grado di stravolgere il concetto di Backup, grazie alla possibilità di integrare la piattaforma EMC Data Domain direttamente connessa al sistema.

clip_image010
Ma la rivoluzione è rappresentata dalla facilità d’uso con la quale è stato ripensato questo nuovo sistema.

clip_image012L’amministratore di sistema non avrà più a che fare con:
  • Quale tipologia di protezione RAID è più adatta al mio carico di lavoro?
  • È meglio utilizzare Stardard o Virtual Provisioning?
  • Quale dimensione devono avere i Data Volume del Virtual Provisioning?
  • Dovrei definire Metavolume concatenati o striped??
Con l'attuale generazione di VMAX, dipendentemente dalla tipologia di configurazione che l’utente richiede, potrebbe essere necessario considerare fino a 18 differenti opzioni prima per completare il provisioning della capacità richiesta, al netto della definizione di una eventuale replica locale o remota; con VMAX3 queste opzioni si riducono a 5!!!

clip_image014Si tratta di una semplificazione che rende più efficace e rapido il processo di provisioning; il sistema verrà consegnato già pre-configurato, solamente in modalità Virtual Provisioning e con i pool già definiti ed allocati.

L’amministratore sarà chiamato a decidere la quantità di capacità richiesta, il livello di servizio (SLO) che si vuole garantire all’applicazione e i criteri di disponibilità del dato, in altre parole la definizione di repliche locali e/o remote; il sistema sarà in grado di rispondere alla richiesta precisando se i criteri specificati possono essere garantiti e, in tal caso, definire in autonomia i dettagli della configurazione e presentare la capacità allocata al server.

Tra le novità più significative, come accennato precedentemente, la nuova versione di TimeFinder, denominata SnapVX, e ProtectPoint.

clip_image016SnapVX rappresenta di fatto la revisione totale della suite SW per la replica locale dei dati con lo scopo di ridurre gli impatti sull’intera infrastruttura, garantire una scalabilità più ampia e facilitarne l’uso.
SnapVX può ora supportare Snapshot Targetless; questo significa che le Snapshot non utilizzano un indirizzo (LUN ID), con conseguente riduzione dell’utilizzo di Cache per la gestione dei metadati, fino a quando la copia non deve essere acceduta. In termini di Scalabilità questo si traduce nella possibilità, ad oggi, di generare fino a 256 Snap per ogni volume. Inoltre, l’utente potrà assegnare un proprio identificativo alla sessione di Snap, assegnando criteri di Expiration sia in fase di creazione o in un momento successivo, nonché effettuare Snap di un intero gruppo di volumi con un singolo comando, senza dover conoscere le associazioni tra Source e Target.


clip_image018ProtectPoint rappresenta la prima vera integrazione diretta tra Storage e infrastruttura di Backup (in questo caso Data Domain), consentendo di effettuare attività di Backup e Restore, attraverso tecniche di Point in Time Copy consistenti, direttamente dal sistema Storage. Tramite una connessione diretta Fibre Channel all’infrastruttura di Backup, sarà possibile minimizzare gli impatti e ridurre la complessità dei processi di backup, consentendo di effettuare salvataggi più frequenti in linea con i livelli di servizio che oggi divengono sempre più stringenti.

Molti sono gli aspetti architetturali che, con questa nuova piattaforma, sono stati rivisitati; per questo motivo ulteriori funzionalità saranno annunciate attraverso rilasci successivi di Sistema Operativo.

Per qualsiasi ulteriore informazione non esitate a contattare il personale tecnico e/o commerciale di EMC oppure, se preferite, potere scrivere direttamente al sottoscritto: stefano.panigada@emc.com.

clip_image019Stefano Panigada. @ottoroluk
























Forum PA 2014 - Considerazioni Post Evento

 
Come consuetudine degli ultimi anni, EMC ha nuovamente confermato la propria partecipazione al FORUM PA (tenutosi a Roma dal 27 al 29 maggio), che rappresenta il principale evento dedicato alla Pubblica Amministrazione, ormai arrivato alla venticinquesima edizione.
Il FORUM PA 2014 ha avuto una grande affluenza di visitatori, tra cui moltissimi dipendenti che lavorano nel settore pubblico; di seguito sono riportati alcuni dati riguardanti la partecipazione ai principali Convegni organizzati, allo scopo di evidenziare l’interesse dei visitatori:
  • Convegno inaugurale in sessione plenaria: 1.879 partecipanti
  • Congresso Sanità: oltre 400 intervenuti
  • Congresso Big Data: oltre 450 presenze
 
Nel corso del convegno inaugurale, i diversi attori nel mondo della Pubblica Amministrazione hanno provato a riassumere attraverso 12 aggettivi, quello che gli stakeholder si aspettano dalla PA e che tutti vorrebbero.
 
Sicura ed Efficace, sono stati gli aggettivi utilizzati Michele Liberato - Presidente di EMC Italia e membro del Board di EMC International - per caratterizzare una PA auspicata.

Di seguito vogliamo riportare quanto il Presidente Liberato ha dichiarato a seguito del suo intervento nella sessione la plenaria mattutina della prima giornata:
 
La tecnologia è l’elemento che da solo sarebbe in grado di ovviare ai ritardi e alle lacune storiche del nostro Paese. In particolare, l’ICT aiuterebbe ad avviare un concreto processo di ottimizzazione dei costi e delle risorse pubbliche da impiegare; sarebbe il fattore chiave in grado di attuare quello snellimento dei processi e della burocrazia che stiamo aspettando ormai da troppo tempo. Migliorerebbe, inoltre, la qualità dei servizi erogati a imprese e cittadini, modernizzandoli e rendendoli più vicini agli standard europei. In questo contesto l’Italia ha un’opportunità unica e irripetibile. Caratterizzata storicamente da una limitata propensione all’innovazione, ma con un tessuto imprenditoriale forte e capace, il nostro Paese deve riuscire oggi a fare leva sui suoi ritardi e recuperare il gap con le altre nazioni, iniziando a implementare da subito le nuove tecnologie, oggi mature, che non sono state impiegate nel passato. Inoltre, la PA ha la necessità di invertire con decisione un trend che ha caratterizzato gli ultimi vent’anni: se l’utilizzo della tecnologia storicamente è sempre stato guidato dall’offerta, ovvero dalle soluzioni proposte dai vendor, adesso deve essere la domanda – proveniente dalle numerose figure qualificate che lavorano nella PA – a iniziare un percorso virtuoso in grado di guidare l’offerta”.
 
“Infine, nelle politiche di digitalizzazione della PA italiana – continua Liberato – non bisogna dimenticare un elemento fondamentale, ovvero gli investimenti in sicurezza informatica. Credo, infatti, che sia di primaria importanza la necessità di garantire elevati livelli di sicurezza, sia con riferimento ai sistemi informativi pubblici, sia in relazione agli scambi di comunicazioni con gli utenti. Le Pubbliche Amministrazioni, infatti, producono e archiviano una grande quantità di informazioni e documenti che devono essere resi disponibili in modalità digitale e soprattutto protetti”.
Le tecnologie odierne di EMC e RSA abilitano la Pubblica Amministrazione verso quello che potrebbe essere definito come “Secure Software Defined DataCenter”; queste tecnologie sono oggi  quanto mai necessarie per il processo di ottimizzazione dei costi e delle risorse pubbliche da impiegare, garantendo al contempo elevati livelli di sicurezza.
All’interno del Blog “EMCGEEK” di EMC Italia, è possibile trovare interessanti approfondimenti riguardo le tendenze e le nuove soluzioni tecnologiche che stanno riscuotendo il maggior interesse da parte dei Clienti; soluzioni innovative come ViPR, ScaleIO, Elastic Cloud Storage (ECS) e RSA Security Analytics sono solo alcune delle soluzioni proposte per raggiungere uno degli obiettivi più sfidanti dei prossimi anni: creare un Secure Software Defined DataCenter.
A tal proposito vi rimandiamo ai seguenti link:
 

giovedì 17 luglio 2014

Orchestrazione e gestione di un Security Operations Center avanzato

Mettere a fattor comune persone, processi e tecnologie all’interno di un Security Operations Center, può risultare complesso. Solo considerando coloro che si occupano di sicurezza informatica all’interno di un’organizzazione, esistono diversi ruoli funzionali (che possono essere poi ricoperti anche dalla stessa persona o gruppo di persone). Questi dovranno non solo interagire con il reparto IT ma anche con tutta una serie di entità quali ad esempio risorse umane, Finance e Legal presenti in ogni organizzazione. Tale interazione inter e intra funzionale avviene solitamente attraverso dei processi più o meno definiti. Infine ogni entità, al fine di raggiungere la propria mission, fa leva su uno o più strumenti tecnologici.