Focus on LION Cybersecurity
Le recenti disposizioni normative in materia GDPR nonché le esigenze di tracciabilità degli accessi da parte degli amministratori di sistema e più in generale le esigenze di una intelligence in grado di correlare le informazioni provenienti da una moltitudine di dispositivi, sta spingendo molte aziende ad adottare sistemi di log retention o meglio ancora di sistemi SIEM (Security Information and Event Management).
I primi si limitano a conservare i log dei vari dispositivi presenti, tipicamente utilizzando servizi centralizzati. I secondi, oltre a mantenere i log grezzi, trattano questi dati in maniera sistematica per rilevare potenziali minacce.
Sono quindi sistemi più complessi, costituiti da varie funzioni logiche:
- Motori di parsing e normalizzazione che devono interpretare le informazioni provenienti da una moltitudine di dispositivi diversi e normalizzarle affinché campi dati simili tra loro siano confrontabili
- Motori di correlazione che devono correlare informazioni tra loro diverse, con l’obiettivo rilevare potenziali minacce. La correlazione degli eventi è una componente molto importante ai fini della sicurezza, in quanto permette di riscontrare minacce non evidenti dai singoli dati di partenza
Un prodotto SIEM è tanto più efficace quanto più:
- è in grado di interfacciarsi alla moltitudine dei dispositivi e servizi presenti presso le organizzazioni
- è dotato di articolate regole di correlazione che permettono di rilevare le potenziali minacce
Un prodotto SIEM, per essere efficace, deve essere affiancato da un team di specialisti competenti che possano configurarlo opportunamente ed intervenire prontamente per l’analisi e la gestione degli incident di sicurezza.
Il servizio LION CyberSecurity, parte dei servizi della suite Lion, è rivolto ai clienti che desiderano demandare a Lantech Longwave la gestione della sicurezza della loro infrastruttura costituita da ambienti multivendor ed eterogenei, in modalità collaborativa e con copertura H24.
Il servizio viene erogato attraverso il SOC (Security Operation Center), costituito da specialisti con competenze tecniche qualificate, da infrastrutture hardware/software e da processi collaudati.
È rivolto ai clienti che hanno come obiettivo:
- di raccogliere i log da vari devices e la loro correlazione
- di analizzare e rilevare potenziali threat
- di poter contare su attività di consulenza e supporto su eventi specifici di sicurezza
- di archiviare i log per adempiere alla normativa sull’accesso degli amministratori di sistema
- di dotarsi di uno strumento di appoggio per richieste GDPR
- di poter contare su un team di specialisti disponibili anche nei momenti in cui non sono disponibili risorse interne
Il servizio si propone di effettuare:
- Correlazione degli eventi volta a rilevare potenziali minacce e supportare il cliente nelle attività di remediation
- Analisi di tipo comportamentale legata agli scostamenti da una baseline dinamicamente costruita per evidenziare possibili anomalie rispetto al funzionamento usuale dell’infrastruttura
- Analisi di tipo contestuale che lega il livello di rischio agli asset aziendali (risk priorization) in modo da essere maggiormente proattivi sulle segnalazioni più impattanti sul business
- Archiviazione dei dati raccolti in formato grezzo (RAW data) sia per compliance aziendale che per fini legali in caso di audit.
- Realizzazione di report periodici, generati dall’analisi e tracciamento dei log e dalla correlazione delle informazioni raccolte.
La gestione della sicurezza è un processo complesso, costituto da prodotti, servizi e processi.
Solo il giusto equilibrio permette di essere efficaci nella lotta contro le minacce rivolte alle aziende.
A cura di
Simone Cecchinato - Presales Consultant