La specialista dell’intrusion detection vara la strategia Dynamic Threat Protection che esalta le caratteristiche proattive e preventive della propria piattaforma. Annunciati nuovi prodotti e la prima appliance della società statunitense.
24 aprile 2003 Internet Security Systems ha varato la nuova strategia Dtp (Dynamic Threat Protection) con il rilascio del nuovo modulo Fusion 2.0, componente di spicco di SiteProtector (da gennaio nella versione 2.0), la console di gestione del sistema di intrusion detection della società statunitense, e con la nuova release di Internet Scanner. «Le minacce stanno crescendo, le vulnerabilità aumentando e così pure la complessità dei sistemi. In questo mondo dinamico, è necessario adottare una protezione altrettando dinamica per proteggere l’azienda», ha affermato Peter Stremus, direttore marketing Emea di Iss.
Se un Ids è per definizione reattivo, in quanto reagisce al rilevamento di un’intrusione, allora il salto di qualità è ovviamente la prevenzione. Sono due le caratteristiche innovative con cui Iss ha reso ancor più proattivo il proprio Ids: l’arricchimento del motore di correlazione (Fusion, appunto) e il virtual patching.
Queste sono solo le ultime novità di una piattaforma multi livello che integra il controllo di rete, server e desktop per una protezione completa e una risposta rapida e proattiva ad attacchi e abusi.
Grazie alle sonde RealSecure, infatti, il sistema di Iss mette a punto una serie di azioni automatiche, che consentono di rispondere immediatamente a eventi pericolosi per il sistema informativo. Ma il vero punto di forza della Dtp è la gestione centralizzata fornita da SiteProtector. È grazie a questo, infatti, che la grande quantità di dati che vengono registrati dalle sonde e dagli agenti distribuiti possono essere studiati e trasformati in informazioni utili per la definizione di policy di sicurezza. «Organizzazioni, come per esempio una banca – ha dichiarato Stremus – arrivano a registrare anche 20mila eventi al giorno. Con il nostro motore di correlazione, possono facilmente identificare quei pochi importanti sui quali intervenire tempestivamente».
In particolare, Fusion sfrutta la tecnologia di correlazione degli attacchi sviluppata da X-Force, il pool di esperti di Iss, che consente di classificare gli eventi in funzione della loro probabilità di successo, incrociando gli eventi con le vulnerabilità individuate dagli scanner. La dashboard consente, inoltre, di visualizzare le informazioni in base ai criteri più disparati, organizzando i dati in funzione delle caratteristiche peculiari di ciascuna azienda. Come ci ha fatto vedere Johan Beckers, direttore Technology Solutions Emea di Iss, è per esempio possibile ricavare statistiche su base geografica, individuando l’origine dei principali problemi magari in una filiale remota e circoscrivendo subito il punto di intervento. La combinazione di intrusion detection e vulnerability assessment fornisce anche un utile strumento per misurare il reale livello di sicurezza della propria azienda. In Europa, per esempio, sta crescendo l’impiego di tali sistemi da parte delle assicurazioni, che possono valutare i rischi e stabilire i premi delle polizze.
Evidentemente, fondamentale risulta essere la scansione del sistema alla ricerca delle vulnerabilità. Compito di Internet Scanner, giunto alla versione 7.0, che consente di effettuare un assessment automatico, controllando tramite una singola interfaccia reti distribuite geograficamente e organizzativamente. Lo scanner di Iss è in grado di raccogliere e analizzare una grande quantità di dati, fornendo metriche di alto livello e analisi multidimensionali. Tra le novità della versione 7.0, Fabio Panada, technical manager di Iss Italia, ci ha segnalato l’introduzione di un nuovo modulo di discovery, basato sull’open source Nmap, che consente di realizzare un discovery gratuito della rete globale, prima di scegliere su quali server effettuare la vulnerability assessment vera e propria. A questo si aggiunge un nuovo sistema di licencing, non più basato sull’indirizzo IP, ma sul numero di host: «In pratica – ci ha spiegato Panada – è come una sorta di scheda telefonica prepagata, dalla quale scalo il costo di assessment di ciascun host che vado a controllare». Il risultato è un miglior controllo dei costi.
Il nuovo policy editor, inoltre, è stato studiato in modo da definire le politiche in funzione solo dei sistemi operativi presenti realmente sul sistema: «Per esempio, si evitano i check Windows, se ci sono solo server Unix e viceversa», ha precisato Panada.