• Articolo

Protezione

Quattro tecnologie di protezione che tutte le organizzazioni IT devono adottare

Matt Clapham and Todd Thompson

 

Panoramica:

  • Pannello personale di gestione del rischio
  • Antimalware
  • Rilevamento di anomalie in rete

Nell'ambito della protezione IT, la maggior parte delle organizzazioni affronta ogni giorno gli stessi problemi. Microsoft non fa eccezione. Abbiamo lavorato due anni con il team Risk Management and Compliance di

Microsoft® Managed Solutions (MMS) (vedere "Microsoft ricarica la divisione IT di Energizer" per ulteriori informazioni su MMS).

Al team Risk Management and Compliance è affidato l'incarico di definire, monitorare e correggere l'attitudine al rischio di tutti gli ambienti di MMS (sia per i servizi forniti ai clienti che per il coordinamento dell'infrastruttura). Il responsabile del team, Arjuna Shunn, ha intuito tempestivamente che era necessaria una soluzione tecnologica che garantisse i controlli e il monitoraggio desiderati in modo centralizzato e coerente. Le tecnologie che verranno illustrate nell'articolo sono un risultato diretto delle prime intuizioni del team, associate a due anni di esperienza nell'utilizzo di vari prodotti Microsoft e di terze parti.

Prima di tutto, erano necessarie tecnologie di protezione in grado di garantire i tre principali tipi di controllo: prevenzione, rilevamento e correzione, oltre a funzioni di verifica e reporting. Abbiamo esaminato questa raccolta di strumenti suddividendoli in quattro categorie: pannello personale di gestione del rischio, antimalware, rilevamento di anomalie in rete e gestione della configurazione desiderata. Si è tentato di inserire almeno un rappresentante di ciascuna categoria nelle operazioni di gestione del rischio. La scoperta è stata che sfruttando le tecnologie di ciascuna delle quattro aree, il team di protezione IT può raggiungere un equilibrio ragionevole tra costi ed efficacia.

Le due operazioni principali di gestione del rischio, ovvero gestione delle risposte ai problemi di protezione e gestione della conformità, si sono avvantaggiate di questo approccio, ma la strada da percorrere per ottenere il coordinamento desiderato tra gli strumenti è ancora lunga. Un gruppo coerente di tecnologie può offrire molto di più in termini di efficienza operativa, ma purtroppo sul mercato ancora non esiste un sistema integrato del genere.

Per i team di protezione IT, tuttavia, non tutto è perduto; è solo una questione di tempo prima che i quattro sistemi inizino a operare e interagire insieme con un'efficacia ottimale. Quando questi sistemi opereranno in sintonia, non solo consentiranno il controllo attivo dell'attitudine alla protezione del sistema, ma torneranno anche utili durante i controlli o altre operazioni IT di routine. In questo articolo si descrive la funzione ideale di ciascun sistema, con alcuni utili esempi.

Pannello personale di gestione del rischio

Un pannello personale di gestione di rischio (RMD) è assolutamente necessario. È la singola tecnologia più importante per un team di protezione IT. I rischi correlati a riservatezza, integrità, disponibilità e responsabilità (CIA2) in un'organizzazione sono spesso monitorati da più sistemi e processi diversi, senza un'unica interfaccia che consenta di aggregare i dati, correlare e risolvere le situazioni di rischio. Inoltre, i requisiti normativi specificano livelli di trasparenza dei dati aziendali sempre più difficili da garantire e non esiste alcun sistema semplificato per definire facilmente i criteri, dalla creazione all'esecuzione in azienda. Questa situazione è comprovata dalle difficoltà delle organizzazioni comuni nell'acquisire, correlare, valutare, monitorare/aggiornare e garantire la conformità dei dati. Anche se non rappresenta la soluzione RMD completa qui delineata, System Center Operations Manager 2007, come illustrato nella Figura 1, offre una singola interfaccia per il monitoraggio di più risorse e la raccolta dei relativi avvisi.

Figura 1 System Center Operations Manager 2007 offre una singola interfaccia per la visualizzazione degli avvisi e la gestione delle risorse dell'intera rete

Figura 1** System Center Operations Manager 2007 offre una singola interfaccia per la visualizzazione degli avvisi e la gestione delle risorse dell'intera rete **(Fare clic sull'immagine per ingrandirla)

L'acquisizione dei dati è resa più complessa dall'impossibilità di aggregare e normalizzare i dati provenienti da origini diverse. L'aggregazione di dati è complessa di per se, poiché richiede l'adozione dell'approccio non centralizzato fin troppo comune nella raccolta e nel reporting dei dati. Anche quando si riesce ad aggregare i dati, la normalizzazione continua a porre problemi ancora maggiori perché è estremamente difficile stabilire il quadro operativo comune necessario per supportare la normalizzazione dei dati. Senza la normalizzazione, è impossibile confrontare in modo significativo gli eventi relativi a protezione e integrità che provengono da sistemi diversi.

Per garantire l'automazione necessaria, il pannello personale di gestione del rischio deve avere accesso ai dati provenienti da origini diverse dalle tecnologie di protezione descritte qui. Molti dati non relativi alla protezione possono essere utilizzati per determinare l'attitudine complessiva al rischio. Informazioni come i registri dei router, il controllo dei cespiti, lo stato delle patch, gli utenti attualmente connessi, i report sulle prestazioni e i dati di gestione delle modifiche possono tutte fornire indicazioni pertinenti a chi investiga sui motivi di un problema. Quindi l'intero sistema dee poter accedere a tutti questi dati. È normale che anche la più Microsoft-centrica delle infrastrutture aziendali comprenda delle tecnologie non Microsoft, dunque un RMD deve poter accettare dati provenienti da tecnologie non Microsoft tramite una qualche interfaccia comune.

Quando è possibile acquisire e normalizzare i dati, il passaggio successivo consiste nel metterli in correlazione. L'obiettivo finale consiste nel mettere in correlazione una serie di eventi, come un evento di anomalie in rete, un evento prodotto da un antivirus e un evento di variazione della configurazione, in un blocco di dati relativo al rischio interpretabile e immediatamente utilizzabile. La creazione di una logica di correlazione che consenta di produrre una serie di avvisi significativi relativi al rischio richiede una grande quantità di lavoro manuale. Con le tecnologie attualmente disponibili, tale logica di correlazione è, nel migliore dei casi, difficile da conseguire.

Anche la valutazione dei dati richiede molto lavoro manuale. Nei casi in cui si riesce a correlare i dati, l'analista deve comunque esaminare i dati messi in correlazione per determinarne l'efficacia. L'efficacia dei dati messi in correlazione è direttamente proporzionale all'efficacia delle regole su cui è basata la correlazione. Per valutare il rischio per l'ambiente IT, è quindi necessaria un'ulteriore analisi umana dei dati messi in correlazione. Un quadro complessivo di gestione del rischio chiaro e codificato potrebbe aiutare a ridurre l'entità dell'intervento manuale necessario per ottenere una valutazione prima di un'azione efficace. Senza questo quadro operativo, lo sviluppo di una serie pratica di regole di correlazione in una determinata implementazione è molto complesso.

Ammesso che un sistema riesca a raggiungere il punto di valutazione del rischio, il passaggio successivo è il monitoraggio e aggiornamento automatizzato. Oggi, questa operazione è realmente disponibile soltanto all'interno dell'organizzazione e solo per una serie limitata di tecnologie, come la gestione di patch o antivirus. Il monitoraggio e aggiornamento automatizzato condotto dal sistema RMD garantisce all'amministratore IT un'eccezionale opportunità di mantenere il sistema IT su un livello di rischio accettabile. Quando vengono individuati più rischi simultaneamente, la logica di correlazione deve consentire di definire le priorità per le risposte agli eventi in base ai dati di classificazione dei cespiti.

Infine, garantire la conformità ai vari requisiti normativi costituisce una sfida enorme per i reparti IT e, come già anticipato, il sistema deve supportare tale funzionalità. Un sistema centralizzato di gestione del rischio correlato ai criteri potrebbe rappresentare un grande vantaggio per la produzione di report e prove di conformità. Ma i criteri devono essere necessariamente più significativi di qualche "dove" o "perché". Per facilitare il monitoraggio e aggiornamento automatizzato, i criteri devono essere tradotti in una serie di standard che il pannello personale può monitorare, applicare e verificare.

Il pannello personale di gestione del rischio ideale può dunque essere definito come un modo per fornire un'interfaccia centralizzata per la valutazione dell'integrità dell'organizzazione, della conformità a criteri e normative e dei processi di gestione del rischio. È possibile conseguire questo risultato combinando le informazioni da più prodotti e fonti di protezione in un'unica visualizzazione coerente relativa al rischio. Una buona soluzione RMD deve consentire di:

  • Aggregare, normalizzare e mettere in correlazione i dati da origini diverse
  • Fornire raccolta di informazioni e valutazione del rischio automatizzate
  • Mappare i requisiti normativi in base ai criteri e supportarne il controllo e il reporting
  • Costituire un quadro unificato che può essere modificato in modo da rispondere alle esigenze dell'organizzazione.

Il pannello personale deve inoltre consentire di organizzare e visualizzare i dati in modo significativo, evidenziando, ad esempio, i problemi più frequenti in base al tipo o al sistema di origine, i problemi ancora in sospeso, i problemi risolti e così via. Deve infine consentire di visualizzare maggiori dettagli su ciascuna riga di report. Quando si esamina un evento, deve essere facile accedere a tutti i dati correlati. In tal modo è possibile migliorare la qualità e la rapidità del processo decisionale.

Un RMD risulta utile anche agli amministratori dei team che non si occupano di protezione. Poiché il pannello personale presuppone un punto di vista olistico sull'ambiente, un RMD può funzionare da osservatorio centralizzato sullo stato corrente per tutto lo staff. Il pannello personale può, ad esempio, avvisare il team di messaggistica su un attacco di tipo Denial of Service in corso sul gateway SMTP. Se agli occhi del team di gestione del rischio questo appare come un problema di protezione, il team di messaggistica sarà più propenso a trattarlo come un problema di disponibilità. Sebbene non può essere responsabile della circoscrizione e risoluzione di tale problema, è probabile che il team di messaggistica consideri preziose informazioni come queste che riguardano gli oggetti dell'attività di gestione del team.

Tecnologie antimalware

Un sistema antimalware completo è importante per la protezione dell'infrastruttura da minacce impreviste che si nascondono dietro pezzi di codice e azioni degli utenti. Sono attualmente disponibili due diversi tipi di strumenti per la protezione contro il malware: antivirus e antispyware. Windows® Defender, ad esempio, illustrato nella Figura 2, fa parte della seconda categoria. I prodotti di entrambe le categorie prevengono, rilevano e correggono efficacemente i diversi tipi di infezione. Tuttavia, è solo questione di tempo prima che questi due tipi di protezione vengano sintetizzati in una soluzione unica, con l'utilizzo di un solo stack antimalware su ciascun sistema.

Figura 2 Windows Defender protegge il client dallo spyware

Figura 2** Windows Defender protegge il client dallo spyware **(Fare clic sull'immagine per ingrandirla)

Una soluzione antimalware completa deve monitorare il sistema in tempo reale ed eseguire analisi periodiche. Deve inoltre fornire report sul malware conosciuto (compresi virus, spyware e rootkit) e sconosciuto, in base ai tipici comportamenti a rischio. Una robusta tecnologia antimalware sorveglia tutti i punti di ingresso classici (compresi file system, Registro di sistema, shell, browser, e-mail e applicazioni connesse) con una stretta integrazione con sistema operativo e applicazioni.

Inoltre, una soluzione antimalware deve gestire molto più della semplice protezione degli host. È infatti necessario che agisca sui servizi di messaggistica e collaborazione comuni, spesso utilizzati per il passaggio di file infetti, come SharePoint® e la messaggistica istantanea. Una soluzione di questo tipo deve inoltre garantire una prevenzione automatizzata bloccando le operazioni in corso (conosciute e sospette), oltre all'accurata analisi dei dati utente per la rimozione di elementi quali i virus delle macro che si nascondono nei documenti utente e che non hanno ancora infettato il sistema.

È ovvio che una soluzione antimalware senza aggiornamenti è inutile. Sul sistema devono essere sempre presenti le firme e i sistemi di rimozione aggiornati, per tenere testa anche alle minacce più recenti. Se viene rilevata una nuova minaccia, il produttore deve adottare ulteriori protezioni prima della successiva ora zero. Una soluzione antimalware di facile utilizzo è anche configurabile e aggiornabile in modo centralizzato.

È ovvio che una protezione di questo livello non deve essere ottenuta a scapito delle prestazioni. Se le prestazioni peggiorano, diminuisce anche la produttività. Gli utenti potrebbero anche tentare di disattivare la soluzione antimalware, creando scenari di protezione del tutto assente.

Non deve, infine, essere trascurata l'importanza delle tecnologie ausiliarie che facilitano il compito del sistema antimalware. I firewall, la limitazione dei privilegi utente e altre strategie consentono di migliorare anche la protezione da codice dannoso e azioni degli utenti.

Rilevamento di anomalie in rete

Mentre l'antimalware sorveglia i sistemi, il rilevamento delle anomalie in rete (NAD) monitora i percorsi comuni, valutando alcuni indicatori ben noti di comportamenti sospetti e riportando tali informazioni al RMD per il monitoraggio e l'aggiornamento. Un firewall, ad esempio, come illustrato nella Figura 3, va inserito in questa categoria. I comportamenti sospetti potrebbero essere del traffico tipico di alcuni attacchi (come worm o Denial of Service) o dei dati che corrispondono a un determinato modello (come dei codici fiscali) e che vengono inviati tramite messaggi di e-mail.

Figura 3 Un firewall è una parte importante di una soluzione di rilevamento di anomalie in rete

Figura 3** Un firewall è una parte importante di una soluzione di rilevamento di anomalie in rete **(Fare clic sull'immagine per ingrandirla)

Malgrado gli sforzi profusi nella gestione IT, in tutte le grandi reti aziendali verrà inevitabilmente rilevato un episodio occasionale di malware. Il NAD costituisce un sistema di avviso tempestivo che può aiutare ad accelerare la risoluzione del problema. Inoltre, le funzionalità di monitoraggio dei dati del NAD e la possibilità di individuare e bloccare la divulgazione di informazioni riservate sono strumenti utili per proteggere le informazioni in ambienti in cui sia fondamentale evitare la perdita di dati e garantire la conformità alle normative.

Come con le tecnologie antimalware, per non comprometterne l'efficacia, il NAD deve essere costantemente adattato alla serie più recente di minacce e ai tipi di dati sensibili. Inoltre, un buon sistema NAD deve essere in grado di riconoscere le anomalie reali, in modo da minimizzare il numero di falsi positivi. In caso contrario, gli amministratori inizieranno a ignorare i report che provengono dal NAD, presupponendo che si tratti solo di altri falsi allarmi.

Dopo un periodo di regolazione e addestramento, il sistema NAD sarà in grado di riconoscere e monitorare i modelli tipici di utilizzo del traffico. Questo è importante, poiché i nuovi tipi di malware e di altri attacchi spesso rivelano la propria presenza con un cambiamento nei modelli di utilizzo. I dispositivi impiegati per il collegamento in rete assumono un ruolo significativo nel sistema NAD, giacché la soluzione deve elaborare i dati provenienti da router, switch e firewall. Gli allarmi del NAD possono quindi essere elaborati dal motore di correlazione del RMD.

È interessante la possibilità di integrare i rilevatori di anomalie in rete nel software antimalware o nel firewall dell'host, creando un diaframma di protezione che tutti i computer interessati aiutano a mantenere integro, bloccando gli attacchi prima che si diffondano.

Gestione della configurazione desiderata

Una delle sfide più pressanti che i reparti IT affrontano quotidianamente nelle grandi organizzazioni consiste nel conservare le configurazioni appropriate dei sistemi. I buoni motivi per conservare le configurazioni di sistema sono molti: facilità di gestione, semplificazione della scalabilità, garanzia di conformità, chiusura contro varie forme di intrusione e aumento della produttività, solo per nominarne alcuni. Molti di questi si ripercuotono sul livello complessivo di protezione.

La gestione della configurazione desiderata è un'area largamente ignorata nella maggior parte delle aziende, a causa della complessità che implica e dei costi di avvio. Gli studi tuttavia confermano che, nel lungo termine, la manutenzione dei sistemi consente di ridurre i costi e migliorare l'affidabilità. Una soluzione di monitoraggio della configurazione desiderata (DCM) può aiutare.

Un buon sistema DCM deve eseguire automaticamente l'analisi della rete, per verificare che i nuovi sistemi vengano distribuiti come desiderato e che i sistemi già esistenti restino conformi ai criteri definiti. Sia che verifichi che venga distribuita la patch più recente o che riduca al minimo il numero di utenti che hanno privilegi di dominio, una soluzione DCM completa deve configurare i sistemi, analizzarli e fornire informazioni su quanto ciascuna configurazione sia prossima all'ideale. Le correzioni possono essere semplici (come applicare una patch ai nuovi sistemi in rete al momento dell'installazione) o forzosa (come imporre delle impostazioni per i client e-mail degli utenti). La chiave consiste nel definirle sulla base dei criteri e delle esigenze di conformità dell'organizzazione. Un DCM può collaborare anche all'identificazione e rimozione di infezioni da malware, poiché i tipi più semplici vengono facilmente rilevati nei risultati dell'analisi.

Il DCM è uno dei principali fornitori di dati al motore di correlazione del RMD e offre dettagli importanti sullo scostamento dell'host in questione rispetto alla configurazione normale. La tempestività dei dati può fare la differenza tra uno o cinque eventi di allarme, quindi un cespite deve essere analizzato con una frequenza proporzionale al proprio valore; ad esempio, un cespite poco importante può essere analizzato anche solo mensilmente, mentre un cespite di rilevanza media deve essere analizzato ogni settimana e uno di importanza critica ogni giorno.

L'installazione di un DCM è inoltre parte fondamentale di un buon meccanismo di protezione degli accessi alla rete (NAP), poiché consente al sistema di verificare che tutti i sistemi connessi siano configurati in modo corretto e di bloccare i sistemi nuovi o sconosciuti fino alla convalida. Inoltre, un DCM deve ricercare vulnerabilità di configurazione (come elenchi di controllo degli accessi deboli su una condivisione) in modo che gli amministratori possano intraprendere le azioni più appropriate.

Non è corretto pensare che un DCM possa essere applicato solo a host come client o server. Anche i dispositivi di connessione in rete e la directory principale possono essere inclusi in un DCM. Se è disponibile una struttura di rete ben conosciuta, dovrebbe essere semplice per il sistema DCM ideale applicare gli standard per i dispositivi associati. Le potenzialità sarebbero davvero enormi. Invece di modificare manualmente le configurazioni dei router, l'implementazione può essere gestita da un DCM oppure è possibile associare una serie di impostazioni di Criteri di gruppo standard a una serie particolare di server o client. Il DCM può monitorarli ed emettere un avviso quando le impostazioni del dominio vengono modificate.

I dati raccolti dal DCM devono essere abbastanza affidabili da essere utilizzati in un controllo IT. Una buona soluzione DCM deve poter accedere alla gestione delle modifiche e ai controlli di conformità alle normative, in modo che i problemi di controllo possano essere risolti in modo tempestivo e continuo. Una delle routine di controllo in Microsoft, ad esempio, consiste nel verificare che non venga modificata l'appartenenza dell'amministratore locale sui server MMS. L'applicazione di questa regola è un esempio perfetto di utilizzo del DCM.

Anche se il reparto IT non è pronto ad adottare un sistema DCM a correzione automatica, una variazione nota come controllo della configurazione desiderata può essere comunque distribuita e offrire notevoli vantaggi. Anche questa variazione produce report e avvisi sui problemi di configurazione, ma non si ottengono le stesse economie di scala poiché le fasi di monitoraggio e aggiornamento sono in gran parte manuali. È importante sottolineare, tuttavia, che notifiche e dati necessari per un RMD saranno disponibili per la correlazione.

Attenzione, però: l'ambito di un DCM, in una qualsiasi delle forme appena descritte, deve essere definito sui soli elementi meno importanti della configurazione associati ai dati standard raccolti sui cespiti. In caso contrario si potrebbe influire negativamente sulla flessibilità necessaria al team IT. Se le guide di configurazione DCM diventano obsolete, il DCM diventerà rapidamente un costo operativo piuttosto che uno strumento utile. È dunque fondamentale tenere sempre aggiornata la configurazione ottimale dei cespiti. Inoltre, è consigliabile che il sistema DCM comprenda gli aggiornamenti regolari dei criteri di configurazione, in base alle procedure consigliate per il cespite o l'applicazione in questione.

Conclusioni

Che lo si crei ex-novo all'interno dell'organizzazione oppure lo si acquisti da un produttore affidabile, il pannello personale è essenziale ed è destinato a costituire lo strumento primario del team per la risoluzione dei problemi. Anche le applicazioni antimalware sono essenziali, poiché aiutano a proteggere il sistema dai rischi che si moltiplicano ogni giorno che passa. Il rilevamento delle anomalie in rete è sul punto di passare dal semplice rilevamento delle firme di malware e di intrusioni negli host a funzioni più complesse di rilevamento delle divulgazioni di dati, che possono aiutare a evitare le prossime violazioni della rete. La gestione della configurazione desiderata, sebbene sia uno strumento nuovo, diventerà presto un pilastro del monitoraggio e della manutenzione delle configurazioni. Indipendentemente dal fornitore, è necessario procurarsi almeno uno strumento di ciascuna di queste quattro categorie.

Da quanto si è visto fino ad ora, nessun singolo produttore (Microsoft compreso) offre una soluzione unica e completa che assolva a ciascuna delle quattro funzioni. La selezione di prodotti che soddisfano le proprie esigenze specifiche dipende dal singolo utente. Lo scopo dell'articolo è semplicemente diffondere la consapevolezza di ciò che è necessario, degli obiettivi da perseguire e delle soluzioni ideali.

Matt Clapham è Security Engineer nel gruppo Infrastructure and Security della divisione IT di Microsoft. In precedenza ha lavorato per due anni nel team Microsoft Managed Solutions Risk Management and Compliance.

Todd Thompson è Security Engineer nel gruppo Infrastructure and Security della divisione IT di Microsoft. In precedenza ha lavorato per due anni nel team Microsoft Managed Solutions Risk Management and Compliance.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.