Predictive Security Conference 2015
6
POST EVENT ROUND-UP Predictive Security Conference 2015 Focus sul continuum degli attacchi: dalla Threat-centric Security alla Retrospective Security Sponsored by: Cisco Giancarlo Vercellino Marzo 2015 IDC opinion Nel momento in cui una parte sempre maggiore delle transazioni economiche si spostano sulle tecnologie della Terza Piattaforma che abilitano nuovi modelli, la Sicurezza IT diventa da priorità esclusivamente tecnica a priorità di business. La protezione dei dati sensibili e la conformità normativa vengono sempre più evidenziati come gli imperativi fondamentali nell'agenda strategica dei manager dell'Europa Occidentale: più che mai, la sicurezza è percepita come una infrastruttura essenziale per le iniziative di business da parte dei decisori europei. Le ultime notizie degli attacchi rivolti direttamente a tecnologie hardware fondanti (ad es. il caso Gemalto, il malware Freak, la vicenda legata all'Equation Group, etc.) rappresentano un colpo senza precedenti all'intero impianto strutturale del Web e delle Tecnologie dell'Informazione e della Comunicazione come le conosciamo oggi. L'ingresso di nuovi attori come le organizzazioni criminali, gli hacktivisti e le agenzie governative, insieme all'industrializzazione del malware e all'ingegnerizzazione di nuove strategie di attacco persistente, mostrano i limiti dei tradizionali sistemi di Sicurezza IT basati su firma. Che fare? Secondo Cisco, il modo migliore per affrontare le future minacce sarà quello di disporre di una infrastruttura intelligente capace di raccogliere e analizzare dati rilevanti per la Sicurezza IT. Il rapporto sintetizza le principali evidenze e discussioni emerse durante la Predictive Security Conference, tenutasi a Milano in data 11 marzo 2015, organizzata da IDC Italia in collaborazione con Cisco e altri sponsor, durante la quale si è registrata l'attiva partecipazione di circa un centinaio di leader della Sicurezza IT provenienti dalle aziende italiane. Big Data come tecnologia abilitante per la Security Intelligence Big Data significa molto quando sei Cisco e ogni giorno a livello globale stai monitorando miliardi di richieste attraverso le reti, ispezionando 93 miliardi mail, 200 mila indirizzi IP, oltre un milione di campioni di malware, oltre 33 milioni di dispositivi e 28 milioni di connessioni (Cisco 2014 Annual Security Report): l'ammontare di dati che entrano nella telemetria di Cisco è semplicemente più grande di qualsiasi altro attore della Sicurezza. Cisco aveva bisogno di strumenti di analisi in tempo reale e una piattaforma capace di integrare i dati dispersi in centinaia di siti operativi a livello mondiale: questa è la ragione
-
Upload
cisco-italia -
Category
Documents
-
view
167 -
download
1
Transcript of Predictive Security Conference 2015
POST EVENT ROUND-UP
Predictive Security Conference 2015 Focus sul continuum degli attacchi: dalla Threat-centric Security alla Retrospective Security
Sponsored by: Cisco
Giancarlo Vercellino Marzo 2015
IDC opinion
Nel momento in cui una parte sempre maggiore delle transazioni economiche si spostano sulle tecnologie della Terza Piattaforma che abilitano nuovi modelli, la Sicurezza IT diventa da priorità esclusivamente tecnica a priorità di business. La protezione dei dati sensibili e la conformità normativa vengono sempre più evidenziati come gli imperativi fondamentali nell'agenda strategica dei manager dell'Europa Occidentale: più che mai, la sicurezza è percepita come una infrastruttura essenziale per le iniziative di business da parte dei decisori europei. Le ultime notizie degli attacchi rivolti direttamente a tecnologie hardware fondanti (ad es. il caso Gemalto, il malware Freak, la vicenda legata all'Equation Group, etc.) rappresentano un colpo senza precedenti all'intero impianto strutturale del Web e delle Tecnologie dell'Informazione e della Comunicazione come le conosciamo oggi. L'ingresso di nuovi attori come le organizzazioni criminali, gli hacktivisti e le agenzie governative, insieme all'industrializzazione del malware e all'ingegnerizzazione di nuove strategie di attacco persistente, mostrano i limiti dei tradizionali sistemi di Sicurezza IT basati su firma. Che fare? Secondo Cisco, il modo migliore per affrontare le future minacce sarà quello di disporre di una infrastruttura intelligente capace di raccogliere e analizzare dati rilevanti per la Sicurezza IT. Il rapporto sintetizza le principali evidenze e discussioni emerse durante la Predictive Security Conference, tenutasi a Milano in data 11 marzo 2015, organizzata da IDC Italia in collaborazione con Cisco e altri sponsor, durante la quale si è registrata l'attiva partecipazione di circa un centinaio di leader della Sicurezza IT provenienti dalle aziende italiane.
Big Data come tecnologia abilitante per la Security Intelligence Big Data significa molto quando sei Cisco e ogni giorno a livello globale stai monitorando miliardi di richieste attraverso le reti, ispezionando 93 miliardi mail, 200 mila indirizzi IP, oltre un milione di campioni di malware, oltre 33 milioni di dispositivi e 28 milioni di connessioni (Cisco 2014 Annual Security Report): l'ammontare di dati che entrano nella telemetria di Cisco è semplicemente più grande di qualsiasi altro attore della Sicurezza. Cisco aveva bisogno di strumenti di analisi in tempo reale e una piattaforma capace di integrare i dati dispersi in centinaia di siti operativi a livello mondiale: questa è la ragione
per cui nel 2011 Cisco ha cominciato a impiegare Hadoop come strumento primario di analisi dati. La prima sfida da affrontare era l'enorme quantità di dati disponibili all'interno della sua organizzazione, suddivisi tra diversi gruppi e distribuiti in diversi data center: considerato il tasso di crescita esponenziale delle informazioni prodotte a livello mondiale era assolutamente impensabile adottare una strategia di centralizzazione dei dati, solo una piattaforma distribuita come Hadoop poteva risolvere il problema di condividere le informazioni disperse. La seconda sfida era quella di favorire la collaborazione a livello analitico di migliaia di esperti di sicurezza, come se potessero lavorare simultaneamente sullo stesso (enorme) campione di dati: ancora una volta, Hadoop si è rivelata la soluzione ideale. Oggi i risultati sono evidenti: la Security Intelligence di Cisco consente di bloccare 4,8 miliardi di siti malevoli ogni giorno e anche i test di sicurezza sono diventati più efficaci. L'analisi del malware, insieme con le informazioni di intelligence sulle minacce, sta raggiungendo un nuovo livello di sofisticazione attraverso le piattaforme di Big Data. Ci sono almeno quattro diversi casi d'uso che hanno beneficiato dell'automazione introdotta con le nuove piattaforme di analytics, in modo tale che i metodi tradizionali di indagine basati su risorse esperte intervengono soltanto quando si dispone di un insieme rilevante di dati pre-analizzati (ripuliti dal rumore e dai falsi positivi):
• stream processing è una forma di rilevazione basata su schemi conosciuti, ma attraverso i Big Data Cisco è in grado di aggiornare le informazioni in tempo quasi reale con una base di confidenza costruita su un volume enorme di dati raccolti in tutto il mondo attraverso la propria rete operativa;
• batch processing si riferisce a strumenti di analisi e modellizzazione tipici del machine learning impiegati per consentire ai data scientists di trovare nuovi modelli emergenti nei dati;
• interactive processing è una forma di rilevazione euristica che coniuga l'individuazione automatica con l'esperienza dei ricercatori per determinare il livello potenziale di rischio di minacce sconosciute;
• graph processing è una tecnica di visualizzazione per analizzare più facilmente la correlazione tra diversi campioni di dati e diverse dimensioni di analisi.
Di solito, questi casi d'uso interagiscono strettamente tra loro. Quando gli esperti di sicurezza individuano strutture dati ambigue e potenzialmente pericolose attraverso l'interactive processing, i data scientist traggono beneficio da queste indagini semiautomatiche aggiornando le reti di apprendimento attraverso l'elaborazione in batch. Dopo l'individuazione di nuove potenziali minacce attraverso l'analisi interattiva o in batch, allora è generata una nuova firma di identificazione che viene implementata nelle attività di stream processing per rilevare e bloccare le minacce in tempo reale.
Un nuovo paradigma nella Security Intelligence: la Retrospective Security Come evidenziato nel corso della Conferenza e durante il Focus Group, dopo le acquisizioni di Cognitive Security, Sourcefire e Threat Grid, Cisco ha raggiunto un traguardo considerevole sviluppando una struttura organizzativa chiamata Global Security Sales Organization (GSSO) composta di oltre 5.000 FTE e dotata di strumenti e risorse capaci di rispondere alle esigenze di sicurezza di qualsiasi utente sia per il mobile che per
il cloud a livello globale, coordinando in modo sistematico diverse tecnologie sotto un medesimo approccio sistemico per affrontare i rischi più complessi, dai malware zero-day più avanzati agli APT: Cisco chiama questo approccio "Threat-centric security". Questo modello mostra quanto sia fondamentalmente evoluto il paradigma della Sicurezza negli ultimi anni. Fino a qualche anno fa, la maggior parte della Sicurezza IT più tradizionale si concentrava principalmente sulla protezione point-in-time, vale a dire il rilevamento, il blocco e la difesa durante l'attacco di malware con firma identificabile. Negli ultimi anni lo scenario è cambiato radicalmente con la produzione su scala industriale di malware (fino a centinaia di migliaia di nuovi esempi ogni giorno, includendo gli zero-day e le varianti polimorfiche) e lo sviluppo di strategie di attacco multistadio (il processo dietro gli APT sta diventando uno standard anche per la criminalità organizzata, non soltanto per le agenzie governative). Mentre nuovi attori entrano nell'arena della guerra informatica, nuovi livelli di intelligenza analitica e potenza di calcolo sono necessari per prevenire le infezioni di malware impiegando tecniche statistiche come l'analisi comportamentale, la correlazione multifattoriale e l'apprendimento automatico su enormi volumi di metadati raccolti e analizzati attraverso le piattaforme di Big Data.
FIGURA 1
Security Intelligence: l'approccio di Cisco centrato sul continuum degli attacchi
Source: Cisco, 2014
Questo è solo l'inizio della Security Intelligence, perché il modello "centrato sulle minacce" aggiunge una dimensione ulteriore di analisi, quella posteriore agli incidenti e agli attacchi, ovvero, ciò che Cisco chiama Retrospective Security. Nonostante l'enorme quantità di informazioni disponibili a livello globale che è possibile utilizzare per comporre un approccio predittivo, è necessario accettare che alcune forme di malware ingegnerizzati per attacchi altamente specifici saranno sempre in grado di passare attraverso le maglie di qualsiasi dispositivo di sicurezza, perfino superando il termine utile di rilevamento nelle sandbox. Questo è il punto in cui la Retrospective Security entra in gioco, ponendosi l'obiettivo di
realizzare la massima la visibilità possibile sulle minacce e un processo di controllo continuo che consente di chiudere il loop tra processi di identificazione, contenimento e ripristino della sicurezza. L'approccio di Cisco basato sul continuum degli attacchi consente alle aziende di evolvere da un approccio puntuale a un approccio continuo nel tempo, che razionalizza in misura congiunta le fasi precedenti, concomitanti e successive degli attacchi. Come evidenziato nel corso della Conferenza e durante il Focus Group, Cisco ha la possibilità di presentare una value proposition basata su un vero e proprio radicamento globale delle sue infrastrutture di rete: le reti sono la fonte di tutti i dati, si interfacciano con tutti i dispositivi, indirizzano tutte le richieste, controllano tutti i flussi di informazioni, danno forma al traffico sul web e raggiungono tutti gli utenti a livello globale.
Conclusioni Qualsiasi soluzione di Security Intelligence si pone al di sopra delle architetture e dei comuni sistemi di sicurezza, portando a un nuovo livello di proattività l'analisi delle minacce potenziali, l'analisi contestuale e il reverse engineering degli zero-days, per comprendere chi, come e perché si nasconde dietro le minacce emergenti. Durante la Conferenza e il Focus Group, sono intervenuti partecipanti provenienti da diversi settori: in modo particole, il Settore Pubblico, la Sanità e i Trasporti hanno mostrato un grande interesse rispetto alle nuove soluzioni di sicurezza presentate da Cisco. Sono molti i punti interrogativi e le questioni sollevate durante gli incontri. Alcune delle domande emerse più spesso sono le seguenti: cosa si può fare con le nuove soluzioni di Security intelligence quando si parte da un legacy composto da tante soluzioni diverse, come proteggere i dati in un ambiente cloud e che tipo di dati è necessario muovere sul cloud per alimentare i servizi di Security Intelligence, come utilizzare le nuove tecniche di analisi se i dati non possono oltrepassare i confini aziendali (a causa di regolamenti e politiche pubbliche) e le persone con competenze esperte non sono disponibili all'interno dell'organizzazione (per la ristrettezza dei budget e lo skill shortage). Durante la Conferenza e il Focus Group, il fattore umano è stato più volte evidenziato come il punto debole in qualsiasi architettura della Sicurezza: 'Non si può gestire la sicurezza al livello 8, il livello umano' può sembrare una battuta per tecnici, ma quando si lavora nell'ambito della Sicurezza è esattamente a questo livello che le migliori intenzioni si fanno e si disfano continuamente: è possibile affrontare la sicurezza al livello 1 e 2 impiegando tecnologie allo stato dell'arte, partendo là dove comincia tutto, dalla rete, ma le dinamiche umane non possono essere risolte univocamente dalla tecnologia. Cisco ha sottolineato l'importanza dell'Intelligence anche nelle fasi successive agli attacchi: la complessità del mondo IT ha raggiunto un livello tale che è impossibile rimanere aggiornati su tutte le vulnerabilità dei sistemi e gli sviluppi continui della Sicurezza: dunque è necessario accettare il fatto che una violazione dei sistemi rischia di diventare un evento molto comune, e quasi inevitabile. Secondo Cisco, per ritardare l'irreparabile, sarà sempre più indispensabile procedere da un approccio point-in-time, con un mosaico di tecnologie diverse che lavorano senza orchestrazione, a un approccio basato sul continuum degli attacchi, orchestrando antivirus, firewall e sistemi tradizionali sotto un modello olistico.
Chi è IDC
Fondata nel 1964, IDC (International Data Corporation) è la prima società mondiale specializzata in ricerche di mercato, servizi di consulenza e organizzazione di eventi nei settori IT, TLC e dell'innovazione digitale. Oltre 1.000 analisti in 110 Paesi del mondo mettono a disposizione a livello globale, regionale e locale la loro esperienza e capacità per aiutare i professionisti IT, i dirigenti aziendali e la community degli investitori a prendere decisioni tempestive ed efficaci su acquisti e strategie di business. IDC fa parte del gruppo IDG, società leader a livello mondiale nel settore dell’editoria, della ricerca e degli eventi in ambito tecnologico.
IDC Italy
Viale Monza, 14 20127 Milano, Italia +39.02.28457.1 Twitter: @IDCItaly idcitalia.com/ita/
Copyright Notice
This IDC research document was published as part of an IDC continuous intelligence service, providing written research, analyst interactions, telebriefings, and conferences. Visit www.idc.com to learn more about IDC subscription and consulting services. To view a list of IDC offices worldwide, visit www.idc.com/offices. Please contact the IDC Hotline at 800.343.4952, ext. 7988 (or +1.508.988.7988) or [email protected] for information on applying the price of this document toward the purchase of an IDC service or for information on additional copies or Web rights.
Copyright 2015 IDC. Reproduction is forbidden unless authorized. All rights reserved.
