Information Security - parte 3


Quasi tutte le aziende si affidano ora alla tecnologia dell'informazione come strumento essenziale per raggiungere i propri obiettivi di business. In tal modo, tuttavia, le aziende devono anche far fronte alle varie minacce e vulnerabilità associate all'ambiente informatico attuale.


Quasi tutte le aziende si affidano ora alla tecnologia dell'informazione come strumento essenziale per raggiungere i propri obiettivi di business. In tal modo, tuttavia, le aziende devono anche far fronte alle varie minacce e vulnerabilità associate all'ambiente informatico attuale.
Una minaccia può essere definita come qualsiasi evento che possa impedire o inibire la capacità di un'organizzazione di raggiungere i suoi obiettivi. Ad esempio, nelle operazioni commerciali quotidiane, uno sciopero dei dipendenti presso un corriere espresso durante la notte potrebbe essere considerato una minaccia, poiché potrebbe influire sulla capacità dell'azienda di ricevere o inviare materiali necessari per particolari funzioni. Nel campo della sicurezza delle informazioni, le minacce possono presentarsi in molte forme:

• Forza bruta: un intruso utilizza un attacco a forza bruta per ottenere una password dell'applicazione e quindi esegue un trasferimento di denaro non autorizzato.

• Disastro naturale: un tornado distrugge un data center in cui sono ospitati i server essenziali.

• Sabotatore aziendale: un sabotatore aziendale sfrutta la crittografia debole su una rete wireless per accedere a informazioni riservate.

• Codice dannoso: un dipendente scarica involontariamente un programma di Trojan Horse che cancella tutti i dati sul disco rigido locale.
Ogni minaccia deve trarre vantaggio da una qualche vulnerabilità, una debolezza della tecnologia o del processo che può essere sfruttata. Ad esempio, un ladro con un set di lock-pick è una minaccia per molte forme di sicurezza perimetrale. Un lucchetto a combinazione, tuttavia, non è vulnerabile a un simile attacco. Nel contesto di un'infrastruttura IT aziendale, uno dei seguenti esempi potrebbe essere considerato una vulnerabilità:

• Bug del software: un nuovo bug del buffer overflow viene rilevato nel programma password fornito con un sistema operativo.

• Password: la lunghezza minima della password per un dominio è impostata su cinque caratteri anziché su otto.

• Punti di accesso wireless: la rete wireless di un'organizzazione è stata distribuita senza la crittografia WEP (Wired Equivalency Protocol) abilitata e con la password di amministrazione predefinita per gli access point intatta.

• Accesso non appropriato: gli utenti eseguono attività di routine sui propri computer mentre sono connessi ad account con accesso amministrativo.
Minacce e vulnerabilità sono strettamente correlate. Non si può influenzare la capacità di un'organizzazione di raggiungere i propri obiettivi senza la presenza dell'altro. Nel caso della prima minaccia di esempio, un intruso non sarebbe stato in grado di ottenere le password con la forza bruta in modo soddisfacente se nella procedura di autenticazione non fosse presente qualche vulnerabilità   Ad esempio, una politica di password che imponeva l'uso di password lunghe e difficili da indovinare non era applicata a livello di applicazione.

Le minacce possono arrivare da qualsiasi luogo, sia all'interno che all'esterno dell'organizzazione. L'obiettivo di una minaccia potrebbe essere il guadagno finanziario, un semplice atto di vandalismo o persino un attacco completamente anonimo eseguito alla cieca da un virus o altro software dannoso. Allo stesso modo,   le potenziali fonti di vulnerabilità sono innumerevoli, che vanno da bug del software e errori dell'utente a qualsiasi circostanza imprevista. Le nuove tendenze delle minacce online, come i worm Internet e gli attacchi alle reti wireless, hanno costretto le organizzazioni a risolvere problemi di sicurezza che in precedenza non avrebbero mai dovuto prendere in considerazione. Complicare gli sforzi di sicurezza è il periodo sempre più breve tra la scoperta di una nuova vulnerabilità e quando viene sfruttata per la prima volta.
Per tutti questi motivi, una strategia efficace per la gestione delle minacce e delle vulnerabilità (TVM) includerà un approccio integrato e proattivo alla protezione.

Una difesa completa comprende quattro attività principali:

• Rilevamento delle minacce: identificazione e isolamento efficaci delle minacce per ridurre al minimo il loro impatto sulle risorse.

• Rilevamento della vulnerabilità: identificazione attiva delle debolezze delle risorse prima che possano essere sfruttate in un attacco.

• Risanamento delle minacce e delle vulnerabilità - Isolamento e risoluzione dei problemi di sicurezza delle risorse una volta identificati.

• Gestione delle informazioni di sicurezza: integrazione, interpretazione e presentazione di informazioni relative alla sicurezza da fonti disparate.

■ Fonti comuni di minacce. Le notizie e i media di intrattenimento popolare di solito dipingono un'immagine romantica di un hacker di Internet. È un ladro - forse un adolescente ribelle - qualcuno che irrompe nei sistemi per il brivido, o la gloria, o per sfruttare informazioni privilegiate. Cambia i suoi voti a volontà e cancella il record della bolletta telefonica scaduta. Intelligente, eppure infelice, la sua motivazione principale è vivere al di fuori dei dettami dell'autorità.

Questo ritratto tende a minimizzare il grande rischio che le imprese di oggi affrontano davvero. Il fatto che il governo registri i database potrebbe essere soggetto ad attacchi è ovvio. Ma quanto è probabile che uno di questi individui che cercano il brivido vorrebbe andare dopo (ad esempio) le registrazioni delle risorse umane del magazzino di spedizione di un importante importatore di attrezzature per la produzione di alluminio?
Come spesso accade, tuttavia, la verità degli attacchi informatici non corrisponde alla sua rappresentazione di Hollywood. La realtà è che ogni impresa è a rischio e un attacco potrebbe essere lanciato contro qualsiasi sistema, non importa quanto apparentemente banale. Per capire perché questa vulnerabilità è così pervasiva, è importante considerare ogni potenziale fonte di attacco e ogni tipo di aggressore. La percezione popolare racconta solo una parte della storia.

MINACCE ESTERNE DANNOSE

Le minacce dannose sono caratterizzate principalmente dal desiderio di fare del male, sia per le risorse di un'azienda, la sua immagine pubblica, o più spesso al sistema informatico stesso. Il danno in questo caso di solito significa danno letterale, come ad esempio l'eliminazione di una pagina Web, la cancellazione di file o l'abbattimento di un intero sistema. Può anche significare qualsiasi atto che mina o è contrario alle norme e agli standard di sicurezza di un'azienda. Ad esempio, ottenere un accesso amministrativo non autorizzato a un server può essere caratterizzato come un atto dannoso.
Le azioni degli hacker di sistema che hanno catturato l'immaginazione di Hollywood rientrano generalmente nella categoria delle minacce esterne dannose. Nella vita reale, i perpetratori di minacce esterne dannose sono spesso programmatori esperti, amministratori di sistema o semplici appassionati con una comprensione molto profonda del funzionamento interno dei sistemi informatici. La loro motivazione a compromettere le reti aziendali è solitamente il brivido della scoperta o del completamento di una sfida. In alcuni casi, è noto che anche hacker di questo tipo rivelano eventuali vulnerabilità scoperte alle società in questione, in modo che possano essere corretti. Sebbene questa divulgazione non possa giustificare le azioni degli hacker, le aziende hanno almeno qualche speranza di portare tali incidenti a una risoluzione più o meno amichevole.

Sfortunatamente, questi hacker sono di gran lunga la minoranza. Gli incidenti di oggi sono più spesso il lavoro di aggressori semiskilled, usando l'equivalente di un martello piuttosto che un bisturi. Questi aggressori sono noti come kiddy di script, così chiamati perché fanno affidamento su script o programmi scritti da qualcun altro per sfruttare vulnerabilità note, senza necessariamente nemmeno capire come funzionano gli script.

Raramente sono motivati ​​dalla curiosità; piuttosto, il loro obiettivo è il semplice vandalismo, o l'equivalente digitale di un giro sui sistemi informatici di qualcun altro. Cercano la notorietà nell'informatica underground - in altre parole, lo fanno per essere in grado di dire che l'hanno fatto. Per questo motivo, qualsiasi sistema esposto su Internet potrebbe cadere sotto il mirino di uno script kiddie, a condizione che il sistema sia abbastanza facile da comprometterlo.

MINACCE ESTERNE PER GUADAGNO FINANZIARIO

Sebbene le azioni di qualsiasi aggressore esterno possano essere appropriatamente caratterizzate come malevole, è importante distinguere tra quelle motivate dal desiderio di fare del male e quelle il cui obiettivo è il guadagno finanziario. Negli ultimi anni sono stati segnalati numerosi furti di Internet di alto profilo, che spesso hanno comportato ingenti somme. Il profilo degli aggressori in questi casi varia molto, da individui canaglia a cartelli criminali ben organizzati.
Le istituzioni finanziarie non sono le uniche organizzazioni a rischio di attacchi motivati ​​dal denaro. Ad esempio, il database dei record dei clienti di qualsiasi azienda potrebbe essere un obiettivo prezioso, se espone i dati delle carte di credito che potrebbero essere utilizzati in seguito per acquisti fraudolenti. In tal caso, la società stessa non può subire perdite finanziarie immediate a causa dell'attacco. La risultante perdita di buona volontà dei clienti, tuttavia, potrebbe essere significativa, così come la potenziale responsabilità finanziaria, nel caso in cui la società venisse trovata negligente nella mancata protezione dei dati dei clienti. Altri obiettivi di attacchi motivati ​​dal punto di vista finanziario potrebbero includere sistemi di registrazione degli ordini, record di fatturazione, database di spedizione e di ricezione e informazioni sui prezzi dei prodotti online.

È improbabile che questo tipo di aggressore sia spaventato dalla minaccia di azioni penali ai sensi delle leggi sulla sicurezza dei dati, o da essere dissuaso dalle contromisure di base. L'obiettivo di questi attacchi è il profitto. Probabilmente gli autori si sono già rassegnati a commettere un crimine e, nel caso di un attacco ben organizzato, avranno già identificato gli exploit che permetteranno loro di raggiungere i loro obiettivi il più rapidamente possibile. È quindi imperativo che la risposta aziendale a questi attacchi sia rapida, completa e coinvolga le autorità esterne appropriate nelle primissime fasi.

DIPENDENTI INTERNI

Non tutti gli attacchi hanno origine al di fuori di un'azienda. In effetti, secondo il Computer Security Institute (CSI) / Federal Bureau of Investigation (FBI) 2003 Crime informatico e indagine sulla sicurezza, il 77% degli intervistati riteneva che i dipendenti insoddisfatti fossero la probabile fonte di attacchi.
Gli attacchi interni passano troppo spesso inosservati fino a quando il danno non viene eseguito perché le loro attività non corrispondono ai modelli documentati che caratterizzano attacchi esterni dannosi. Mentre gli aggressori esterni devono porre l'assedio a una rete aziendale attraverso la forza bruta o sotterfugi, i dipendenti licenziati i cui account non vengono eliminati in modo tempestivo non avranno difficoltà a ottenere l'accesso. Lo stesso è vero se il loro accesso è stato revocato solo parzialmente, ad esempio se il loro accesso ai file server locali è stato disabilitato, ma i loro account di accesso su terminali di accesso remoto o punti di accesso WLAN (WLAN) non lo erano.
I potenziali motivi di questi aggressori sono numerosi. Possono nutrire rancore nei confronti di un ex datore di lavoro e desiderano arrecare danno o compiere atti di vandalismo. Possono essere motivati ​​da guadagni finanziari diretti attraverso appropriazione indebita. Oppure, potrebbero semplicemente voler utilizzare le risorse aziendali per il proprio guadagno, ad esempio l'accesso a un database dei contatti di vendita. Qualunque sia la ragione, la minaccia che i dipendenti insoddisfatti pongono all'impresa non è inferiore a quella degli attacchi esterni.

SPIONAGGIO AZIENDALE

I computer aziendali sono spesso noti come sistemi di informazione, quindi non dovrebbe sorprendere che le informazioni siano spesso il vero bersaglio negli attacchi di Internet. Le informazioni riservate di un'azienda potrebbero essere utili a più parti, ma non più ai concorrenti di quella società. Lo spionaggio aziendale è una parte molto reale del panorama imprenditoriale di oggi, e l'avvento di Internet ha solo aumentato il numero di vie per spie per ottenere l'accesso ai dati sensibili.
La classica rappresentazione dello spionaggio aziendale è un agente che irrompe in un laboratorio segreto per rubare i piani per un progetto di ricerca e sviluppo silenzioso. Ma lo spionaggio della vita reale non deve essere nulla di così drammatico da essere ugualmente dannoso. Un incidente potrebbe essere qualcosa di semplice come scaricare un white paper per un prodotto ancora da annunciare da un file server che è stato configurato con una protezione password inadeguata. Oppure, in casi più estremi, un utente malintenzionato potrebbe ottenere l'accesso alle informazioni di contatto dei clienti, ai record delle vendite, alle proiezioni finanziarie o persino alle informazioni sui salari dei dipendenti, ognuna delle quali potrebbe rivelarsi catastrofica nelle mani di un concorrente.
Gli attacchi motivati ​​dallo spionaggio possono spesso essere difficili da individuare, poiché le loro attività generalmente corrispondono a quelle di altri attacchi che hanno origine all'esterno. Inoltre, la maggior parte degli attacchi legati allo spionaggio sono effettuati da agenti indipendenti i cui modelli di attacco non forniscono indizi sui loro effettivi datori di lavoro. Mentre molte aziende risponderebbero a sospetti di spionaggio aziendale chiudendo semplicemente i loro sistemi compromessi e bloccando efficacemente l'aggressore, un'alternativa è consentire all'hacker di   continuare gli exploit e monitorare l'attacco nel tentativo di scoprire le sue origini. In tal caso, la società potrebbe fornire all'utente malintenzionato informazioni errate o tracciare i suoi schemi di attacco per apprendere da questo comportamento.
Ogni volta che si verifica un attacco, le aziende dovrebbero prestare particolare attenzione a quali risorse sono state compromesse e quali potrebbero essere le conseguenze per l'organizzazione nel caso in cui le informazioni contenute in tali risorse cadessero nelle mani sbagliate.

SPIONAGGIO ESTERO

Gli attacchi derivanti dallo spionaggio straniero sono meno comuni di quelli motivati ​​dal profitto o da semplici intenzioni malevole, ma devono comunque essere presi sul serio. Ad esempio, negli Stati Uniti, il Dipartimento della Sicurezza Nazionale degli Stati Uniti ha espresso la preoccupazione che la guerra informatica potrebbe essere utilizzata come tattica di terrorismo contro gli Stati Uniti. Sebbene il furto di informazioni sensibili possa essere una parte di questa minaccia, gli attacchi DoS (Denial of Service) contro infrastrutture vitali, finanziarie e commerciali sono ugualmente probabili.
Le organizzazioni con stretti legami con il governo non sono le uniche a rischio di queste minacce. Molti governi hanno stretti legami con l'industria e potrebbero potenzialmente aiutare gli sforzi di spionaggio di aziende di spicco contro i loro concorrenti in altri paesi. A volte una rete aziendale può essere compromessa semplicemente come gateway per un'altra rete, ad esempio quella di un cliente o di un partner governativo.
Se si sospetta lo spionaggio straniero, una società dovrebbe prima avviare le stesse procedure di sicurezza che sarebbero seguite per qualsiasi altro attacco. È particolarmente importante, tuttavia, che le autorità competenti vengano contattate anche in questi casi, poiché un incidente localizzato può di fatto essere parte di una più ampia minaccia alla sicurezza nazionale.

FURTO D'IDENTITÀ

Una tendenza inquietante è stata il marcato aumento del furto di identità, in cui i criminali hanno accesso a informazioni identificative su un individuo allo scopo di atteggiarsi a quella persona. Il profitto è il solito motivo, ad esempio, richiedere una carta di credito con un nome ipotetico. A seconda delle informazioni raccolte, tuttavia, un utente malintenzionato potrebbe guadagnare molto di più: i biglietti aerei, ad esempio, l'accesso a materiali riservati o persino una posizione fidata in un'azienda. Danneggiare la reputazione di un individuo o di un'entità è un'altra motivazione per il furto di identità. Ad esempio, un dipendente scontento potrebbe impersonare un ex capo per commettere azioni illegali o immorali che danneggerebbero la reputazione del capo e della società.
La raccolta e il riferimento incrociato delle informazioni di identificazione personale è diventata una pratica comune, il che significa che il numero di vie per il furto di identità è in aumento. Qualsiasi sistema che memorizzi o dia accesso a tali informazioni potrebbe essere soggetto ad attacchi, inclusi i database dei clienti, le informazioni sui contatti di vendita o persino i registri dei dipendenti.
Valutare gli effettivi rischi finanziari che le società affrontano dal furto di identità è spesso difficile. Quando un database aziendale viene compromesso, la società stessa non può subire perdite dirette. Qualsiasi organizzazione, tuttavia, può essere vittima di frodi derivanti dal furto di identità. Per questo motivo, è importante che le aziende riconoscano questo crescente malessere sociale e facciano la loro parte per arginarne la diffusione prima che diventi pandemica.

■ Codice malevolo. Sebbene tutte le minacce siano in definitiva il lavoro degli esseri umani, gli incidenti individuali spesso si verificano attraverso processi automatizzati.

Il codice malevolo, di solito scritto per recuperare informazioni sensibili, danneggiare i sistemi o commettere atti di vandalismo, è oggi troppo diffuso su Internet. La maggior parte degli attacchi che risultano dal codice malevolo sono completamente anonimi - solo molto raramente possono essere rintracciati nelle loro fonti - e vengono lanciati senza un chiaro obiettivo. Infatti, in molti casi il loro scopo è quello di influenzare il maggior numero possibile di bersagli casuali. Tuttavia, alcune applicazioni di codice dannoso sono scritte specificamente per singoli target. Ad esempio, gli attacchi DDoS (distributed denial of service), che possono essere distribuiti sotto forma di virus, possono essere indirizzati a un indirizzo IP o rete e vengono spesso utilizzati per attaccare un singolo sistema.

ATTACCHI A LIVELLO DI SISTEMA

Il software di sistema dannoso può essere diviso approssimativamente in tre categorie: cavalli di Troia, virus e worm di Internet.

Cavalli di Troia

Questo tipo di minaccia prende il nome dal celebre episodio dell'Iliade di Omero in cui i greci si nascondevano nella città di Troia nascosti all'interno di un cavallo di legno, che avevano presumibilmente lasciato in dono all'inizio della giornata. Questo scenario descrive alla perfezione le modalità con cui i programmi di cavalli di Troia funzionano nei computer aziendali. Il software si presenta all'utente come un'applicazione innocente come uno screen saver, un'utilità o un intrattenimento divertente. Una volta eseguito, tuttavia, agisce sul suo vero obiettivo, che potrebbe essere quello di eliminare o sovrascrivere i file. I cavalli di Troia introducono una cosiddetta backdoor nel sistema compromesso, consentendo all'aggressore di controllare a distanza il PC di un utente. Ad esempio, l'utente malintenzionato potrebbe utilizzare la porta posteriore per accedere alla rete aziendale inosservata.
I programmi cavallo di Troia si basano su sotterfugi e inganni per ingannare l'utente nell'eseguire erroneamente questi. A differenza dei virus, non si auto-replicano, si comportano da soli senza l'intervento dell'utente o si spostano da una macchina all'altra senza essere copiati manualmente

I virus

Il software antivirus può iniziare come un cavallo di Troia, ma una volta eseguito il codice dannoso, il suo potenziale pericolo è molto maggiore. Oltre a tutti gli effetti dannosi che possono avere, i virus possono anche tentare di infettare altri file o dischi con il loro codice, rendendo i virus difficili da sradicare una volta che sono stati attivati. Il ciclo di vita di un virus tipico ha diverse fasi:

• Stealth: la maggior parte dei virus prende provvedimenti per nascondersi dall'utente, ad esempio attaccandosi ai file preesistenti, crittografandosi per mascherare le proprie firme o modificare i messaggi dal sistema operativo host che altrimenti potrebbero rivelare la loro presenza. L'obiettivo è assicurarsi che il codice virale venga eseguito inconsapevolmente il più spesso possibile.

• Auto-replicazione: come un virus biologico, l'obiettivo principale di un virus informatico è quello di infettare nuovi host. Ogni volta che viene eseguito, il codice virale cercherà nuovi file o dischi in cui può inserire copie di se stesso. Pertanto, rimuovere un virus da un sistema infetto è raramente semplice come eliminare i primi file infetti rilevati; altri esisteranno quasi sempre.

• Attivazione: mentre alcuni virus sono opportunistici e attivati ​​quando possibile, molti altri aspettano fino a una certa data e ora, o fino a quando non vengono soddisfatte determinate condizioni interne del sistema, prima che la parte dannosa del loro codice abbia effetto. Teoricamente, un virus potrebbe rimanere inattivo per giorni, mesi o anche anni. • Payload: talvolta chiamato warhead, questo codice viene eseguito quando viene attivato un virus. In molti casi i suoi effetti saranno simili a quelli del codice dannoso contenuto nel software Trojan-horse.
In una tattica comune, i virus si attaccano ai programmi o al codice di sistema eseguiti di frequente. I virus sembrano quindi completamente non nascosti, senza intervento diretto dell'utente. Ad esempio, un virus potrebbe modificare il sistema operativo host in modo che il codice virale venga eseguito ogni volta che vengono inseriti nuovi dischi.
I virus precedenti erano file di programma specifici del sistema operativo e solo infetti. Ma l'avvento di applicazioni scriptable che hanno i loro linguaggi macro (come Microsoft Office) ha introdotto una nuova minaccia: il virus macro. Questi virus possono infettare varie piattaforme, poiché si collegano ai file di documenti anziché ai binari eseguibili. Sono anche facili da creare e diffondere, perché i documenti vengono scambiati molto più spesso dei programmi. I virus macro hanno sostituito i virus del settore di avvio come l'infezione del sistema responsabile del maggior numero di danni ogni anno.

Worms

Una sottocategoria di virus, i worm hanno la capacità aggiuntiva di consapevolezza della rete. Mentre la maggior parte dei software antivirus cerca nel disco rigido locale file e programmi da infettare, i worm esplorano anche la rete locale o persino Internet. Spesso penetrano nelle nuove macchine sfruttando vulnerabilità note nel software di rete o sfruttando i comuni errori di configurazione. Alcune delle epidemie virali più perniciose degli ultimi anni, come Blaster, Code Red e Nimda, sono state dei vermi.

ATTACCHI BASATI SU BROWSER

Virus e worm sono minacce consolidate. Ma mentre i programmatori ostili continuano a cercare nuove vulnerabilità da sfruttare, i browser Web sono diventati obiettivi comuni. All'inizio, questo approccio può sembrare contro intuitivo; per la maggior parte degli utenti, un browser Web è semplicemente un modo per navigare e visualizzare i contenuti, nient'altro. Ma il ruolo del browser   ha ampliato, e i browser di oggi sono motori complessi in grado di eseguire una vasta gamma di linguaggi di programmazione e codici di istruzioni, ognuno dei quali potrebbe fornire i mezzi per un attacco di successo. Esempi inclusi:

• JavaScript: talvolta chiamato ECMAScript, questo linguaggio è un componente primario del linguaggio dinamico Hypertext Markup Language (DHTML) e una caratteristica di base di ogni browser oggi ampiamente utilizzato. Molti siti Web richiedono la presenza di JavaScript per visualizzare correttamente le loro complesse interfacce utente.

• VBScript: l'equivalente Microsoft di JavaScript, VBScript è supportato in Internet Explorer di Microsoft.

• Plug-in: la maggior parte dei browser supporta le architetture di estensibilità e molte estensioni plug-in implementano linguaggi di programmazione personalizzati. Gli esempi includono ActionScript (in Flash di Macromedia), Lingo (in Shockwave per Director di Macromedia) e Curl.

• Java: anche se la loro popolarità è diminuita leggermente dagli anni '90, le applet Java forniscono ancora un mezzo per eseguire complesse applicazioni GUI (graphical user interface) dall'interno del browser.

• Controlli ActiveX: questa tecnologia Microsoft consente agli utenti di Windows di scaricare e installare i componenti del software di sistema e le librerie di codici su Internet.

• Componenti .NET: nel 2001 Microsoft ha introdotto .NET, una piattaforma di sviluppo che tenta di risolvere molte critiche dei precedenti modelli di sviluppo, tra cui ActiveX, COM (Component Object Model) e DCOM (Distributed COM). Alla fine del 2003, i componenti del browser basati su .NET sono rari, ma la maggior parte del nuovo sviluppo per la piattaforma Windows dovrebbe utilizzare questa tecnologia nel prossimo futuro.
Ognuno di questi strumenti è stato progettato per aiutare a prevenire la diffusione di codice dannoso. Ad esempio, JavaScript semplicemente non ha alcuna possibilità di scrivere sul disco locale, formattare le unità o eliminare i file. La sua capacità di accedere ai contenuti attraverso diversi domini Internet o finestre del browser è stata intenzionalmente limitata.
Il modello di sicurezza Java limita il potenziale distruttivo delle applet con la sua sandbox, che scherma attentamente tutto il codice prima che venga eseguito. Non sarà consentita l'esecuzione di un'applet che contiene codice potenzialmente dannoso, ad esempio codice che elimina file o scrive sul disco locale. A seconda del modello di sicurezza della versione Java in uso, tuttavia, potrebbero esserci diversi modi per allentare le restrizioni del modello sandbox e consentire alle applet Java di accedere a più funzionalità potenzialmente dannose. Le applicazioni stand alone basate su Java (quelle che non vengono eseguite all'interno di un browser Web) non dispongono di un controllo di sicurezza sandbox e sono soggette a vulnerabilità a livello di applicazione.
Il modello di sicurezza ActiveX di Microsoft si basa essenzialmente sul giudizio umano. Quando viene offerto un controllo ActiveX per il download, all'utente viene presentata una finestra di dialogo che viene utilizzata per certificare l'applicazione. Ad esempio, la finestra di dialogo potrebbe indicare che l'applicazione che l'utente sta per eseguire è stata sviluppata da XYZ Corporation, chiedendo all'utente di verificare l'applicazione per stabilire la fiducia. Se l'utente seleziona Sì, il controllo verrà scaricato, installato ed eseguito automaticamente.
Questo requisito di certificare e accettare i controlli ActiveX può diventare un rischio in sé e per sé, poiché gli utenti sono condizionati a selezionare l'opzione di fiducia sempre senza leggere le specifiche sul controllo annotato nella finestra di dialogo. Questo condizionamento per accettare automaticamente i controlli ActiveX senza domande può essere sfruttato da un utente malintenzionato.

La piattaforma .NET di Microsoft prende in prestito molte idee da Java, incluso un ambiente di macchina virtuale per l'esecuzione di codice (chiamato Common Language Runtime) e un modello di sicurezza ben progettato e basato su Internet. Come le applet Java, la maggior parte dei componenti conformi a .NET ha poche possibilità di danneggiare il computer host. A differenza di Java, tuttavia, .NET offre ai programmatori l'opzione di dichiarare il loro codice non attendibile, consentendo un accesso simile a quello dei controlli ActiveX.
Gli sviluppatori delle tecnologie Microsoft e Java supportano una pratica chiamata firma del codice, che mira a stabilire l'autenticità dei componenti del codice scaricati attraverso l'uso delle firme digitali. Di nuovo, tuttavia, questa funzione identifica solo le origini del codice; non fornisce una vera guida.
Pertanto, nessuna tecnologia basata su browser dovrebbe essere considerata sicura. Tuttavia, sarebbe irrealistico aspettarsi di proteggere completamente gli utenti finali da qualsiasi minaccia basata sul browser; il contenuto eseguibile sul Web è diventato troppo comune. Al contrario, le aziende spesso implementano firewall e misure di filtro dei contenuti, insieme a un programma di formazione degli utenti per un accesso Web sicuro.
Infine, qualsiasi tecnologia basata su browser può essere sicura solo quanto il browser stesso. Anche se progettato pensando alla sicurezza, un plug-in non può essere veramente sicuro se l'interfaccia plug-in del browser host non lo è. Allo stesso modo, una Java Virtual Machine o un interprete JavaScript buggato rappresentano lo stesso rischio. Pertanto, gli amministratori della sicurezza devono rimanere a conoscenza delle attuali notifiche di sicurezza del browser e standardizzare su un browser noto per essere stabile e robusto, aggiornandolo solo quando le nuove versioni hanno dimostrato di essere affidabili.

■ Minacce negli ambienti distribuiti

Gli ambienti di elaborazione oggi abilitati a Internet utilizzano modelli di calcolo distribuito basati su rete piuttosto che architetture client / server. Tecnologie come CORBA (Common Object Request Broker Architecture), Enterprise JavaBeans, Microsoft .NET, grid computing e servizi Web sono la prova di questa tendenza. Nuove categorie di applicazioni come strumenti di collaborazione, sistemi di storage condivisi e applicazioni peer-to-peer estendono questi concetti al desktop.
Lo spostamento verso il computing in rete è uno sviluppo entusiasmante, ma presenta anche nuove sfide alla sicurezza. Gli stessi concetti di calcolo distribuito che le aziende ora utilizzano a loro vantaggio possono anche essere rivolti contro di loro, rendendo possibile montare attacchi da remoto, in modo anonimo e su larga scala.Poiché Internet connette molti dei computer del mondo, gli attacchi possono essere lanciati da località di tutto il mondo, instradati attraverso altri paesi per nascondere le loro tracce e infine diretti contro qualsiasi macchina su Internet.
La complessità e l'occultamento di tali attacchi possono ostacolare notevolmente la capacità di un'organizzazione di fermarli, nonché di identificare le loro origini. Invece di concentrarsi su una singola macchina o rete locale (LAN), i team di risposta agli incidenti di sicurezza ora devono considerare se gli eventi distanti nel tempo o nello spazio sono correlati, o addirittura parte dello stesso attacco.

ORIGLIARE E IMPERSONARE

Ogni volta che i computer lavorano insieme per raggiungere un compito comune, devono coordinare i loro sforzi trasmettendo messaggi attraverso la rete. Con l'aumentare del numero di canali di comunicazione machine-to-machine, aumenta anche il numero di opportunità per un utente malintenzionato di monitorare o interrompere il processo di messaggistica. Le forme di attacco più popolari sono le seguenti:

• Attacco di replica: un utente malintenzionato cattura un messaggio inter-sistema legittimo allo scopo di inviare di nuovo lo stesso messaggio in un secondo momento. Ad esempio, l'utente malintenzionato potrebbe registrare un messaggio che indica che il pagamento per un servizio è stato verificato, quindi riprodurre quel messaggio sul computer ricevente quando non è stato effettuato alcun pagamento effettivo.

• Attacco di sessione: un utente malintenzionato attende che un utente legittimo stabilisca una sessione con un servizio di rete e intercetti il ​​token di autenticazione risultante (ad esempio un cookie). L'attaccante usa quindi quel token per mascherarsi come utente legittimo, dirottando la sessione. L'utente malintenzionato non deve conoscere alcuna password di rete o di servizio per completare tale attacco.

• Attacco man-in-the-middle: un utente malintenzionato insinua una macchina non autorizzata nel canale di comunicazione tra due computer, innanzitutto reindirizzando i percorsi di instradamento della rete e mascherando la macchina non autorizzata come mittente o destinatario di un messaggio legittimo. Una volta che questi passaggi sono stati compiuti, l'utente malintenzionato può scegliere di intercettare e registrare i messaggi prima di passarli al destinatario previsto o generare nuovi messaggi fraudolenti che verranno percepiti come autentici.

• Annotazione password: un utente malintenzionato utilizza un dispositivo hardware o un'utilità software che consente di monitorare tutto il traffico di rete e identificare e registrare i messaggi contenenti password non crittografate.

• Lo spoofing dell'indirizzo IP (Internet Protocol): una tecnica in cui gli aggressori mascherano il traffico proveniente da un indirizzo attendibile per accedere alla rete o alle risorse protette.
Il significato di questi attacchi negli ambienti di calcolo distribuiti è grave, poiché le conseguenze potrebbero includere l'esecuzione di codice dannoso, l'immissione di ordini non autorizzati o la corruzione dei risultati di calcolo. L'unica soluzione efficace è sviluppare canali di comunicazione sicuri intermachine. Di per sé, i protocolli dei servizi Web come il SOAP (Simple Object Access Protocol) non sono intrinsecamente sicuri. Ma più o meno allo stesso modo in cui gli accessi degli utenti possono essere resi più sicuri, questi protocolli possono essere aumentati con livelli di sicurezza aggiuntivi, incorporando la crittografia e l'autenticazione forte mediante le firme digitali.

NEGAZIONE DEL SERVIZIO

In termini di base, Denial of Service (DoS) si riferisce a qualsiasi atto intenzionale progettato per interrompere la normale funzione di un sistema o impedire l'accesso alle risorse di calcolo. Gli attacchi DoS possono presentarsi in molte forme e gradi di sofisticazione. Esempi tipici includono:

• Tagliare il cavo che fornisce l'accesso a Internet.

• Inondare un server con pacchetti ping falsi per soffocare la larghezza di banda della sua rete.

• Scrittura di volumi di dati falsi su un server per riempire lo spazio su disco.

• Trying un computer in esecuzione di codice che produce un ciclo infinito.

• Riempimento della memoria di sistema attraverso richieste di applicazioni ripetute.

• Modifica delle impostazioni del router o del firewall per disabilitare le connessioni esterne.

• Blocco di altri sistemi tramite un cosiddetto attacco di blacklisting, ad esempio, in cui il firewall della società A bloccherebbe il traffico legittimo dalla società B.

Un evento occasionale raramente si qualifica come un vero attacco DoS. Un attacco DoS basato sulla rete di successo è in genere inaspettato, rapido e travolgente. Per questo motivo, molti attacchi DoS sono automatizzati, utilizzando script pre-scritti progettati per eseguire ripetutamente lo stesso evento dannoso (ad esempio, inondare un server di posta con centinaia di falsi messaggi di posta elettronica falsi).
La risposta di un'organizzazione a un attacco DoS dovrebbe dipendere dalla natura dell'attacco stesso. La regolazione delle impostazioni del firewall o del router per bloccare il traffico dall'indirizzo offensivo può essere sufficiente per deviare la maggior parte degli attacchi basati sulla rete. Inoltre, molti attacchi DoS comuni si basano su bug pubblicizzati o altre vulnerabilità nel sistema operativo e nel software server. Gli incidenti DoS spesso possono essere evitati - o almeno rimossi - aggiornandosi su tutte le patch più recenti per software e dispositivi di rete in uso in tutta l'azienda estesa.

DENIAL OF SERVICE CONDIVISO

La proliferazione di connessioni Internet a banda larga ad alta velocità e sempre attive ha amplificato la minaccia degli attacchi DoS, poiché innumerevoli utenti sia su reti domestiche che su reti aziendali possono ora diventare partecipanti a un singolo evento DoS. Spesso la loro partecipazione è completamente inconsapevole.
Il tipico attacco DDoS (distributed denial of service) viene lanciato come payload di un virus o di un worm Internet autoreplicante che viene solitamente installato come cavallo di Troia. Il codice maligno si auto-replica il più spesso possibile, con l'obiettivo di diffondersi su quanti più punti della rete può. Quindi, in un momento prestabilito, il payload del virus si attiverà, avviando l'attacco DoS. Un carico utile potrebbe trasmettere un flusso di pacchetti di rete non validi a un singolo indirizzo specifico (l'obiettivo dell'attacco). Se il worm si è propagato attraverso la rete con successo, lo stesso attacco DoS verrà lanciato simultaneamente da innumerevoli posizioni sulla rete, ciascuna mirata allo stesso obiettivo.
A causa della loro natura distribuita, gli attacchi DDoS possono essere difficili da combattere. Sebbene regolare le impostazioni del firewall o del proxy possa in genere bloccare un singolo attacco DoS lanciato da una singola fonte identificabile, un attacco che proviene da punti su Internet è una questione diversa. Inoltre, il volume di traffico di rete coinvolto in tali attacchi li rende ancora più paralizzanti. In molti casi, i proprietari dei sistemi che partecipano all'attacco coordinato potrebbero non essere consapevoli del loro coinvolgimento o potrebbero non disporre delle conoscenze necessarie per rimuovere il worm responsabile dai loro sistemi.
A causa di questi fattori, una risposta efficace a un attacco DDoS deve essere uno sforzo coordinato. Il personale di sicurezza di località geograficamente distanti deve spesso collaborare per chiudere eventuali vulnerabilità di sicurezza che potrebbero consentire la propagazione dell'attacco. Il coinvolgimento precoce di entità esterne come i fornitori di antivirus e le autorità di contrasto è quindi essenziale.

■ Top vulnerabilità

Affinché una minaccia possa essere realizzata, un utente malintenzionato deve sfruttare una o più vulnerabilità. La presenza di vulnerabilità non deve essere limitata ai sistemi informatici; difetti nelle procedure di sicurezza o nei processi aziendali potrebbero facilmente diventare conduttori per gli attacchi. Molte fonti di exploit portano a violazioni della sicurezza, sulla rete, sul perimetro aziendale , su una piattaforma di calcolo o di comunicazione o in un'applicazione o in un database. Gli esempi includono software buggy; scarsa progettazione, implementazione e pratiche del sistema; mancata applicazione delle politiche di sicurezza; intercettazioni; standard e politiche di autenticazione deboli; e controlli di accesso compromessi.

SOFTWARE DIFFETTOSO

I programmatori esperti sanno che è praticamente impossibile eliminare completamente i bug nel software di produzione. Errori umani, condizioni impreviste o interazioni impreviste con altri software o sistemi operativi possono trasformare una vulnerabilità software benigna in una vulnerabilità sfruttabile. Esempi di minacce comuni relative a software imperfetto includono:

• Overflow del buffer: se alimentato più dati del previsto, l'applicazione scriverà oltre i limiti della memoria assegnata, potenzialmente sovrascrivendo il codice del programma e facendo sì che il sistema esegua istruzioni arbitrarie.

• Perdite di memoria: poiché le richieste vengono applicate all'applicazione, consuma sempre più memoria, eventualmente utilizzando risorse di sistema e causando un arresto anomalo del sistema.

• Scarsa convalida dei dati: un'applicazione che si aspetta che un tipo di input accetti un altro senza verificarlo. Ad esempio, un motore di ricerca che si aspetta un input linguale inglese potrebbe erroneamente accettare istruzioni arbitrarie di linguaggio di query strutturata (SQL), che vengono quindi eseguite dal database (questo tipo di attacco è noto come SQL injection).

• Librerie in conflitto: un'applicazione installa una versione diversa di una determinata libreria di codici (ad esempio, una libreria di collegamento dinamico Windows [DLL]) rispetto a quella richiesta da un'altra applicazione, creando vulnerabilità impreviste.

Man mano che un'applicazione cresce in complessità, aumenta la probabilità che contenga difetti sfruttabili. L'unica soluzione è che il personale IT e di sicurezza applichi diligentemente le ultime patch per il software in uso sui propri sistemi. Molti venditori ora aiutano a facilitare questo processo con la fornitura di software semi-automatico, Internet consegnato e sistemi di aggiornamento dei componenti del sistema operativo, ad esempio Microsoft Windows Update o Red Carpet per Red Hat Linux.

PROGETTAZIONE, IMPLEMENTAZIONE E PRATICHE DEL SISTEMA POVERO

Una cattiva progettazione del sistema può involontariamente introdurre seri problemi di sicurezza che possono essere deliberatamente presi di mira dagli aggressori. In questo caso, un sistema fa riferimento a qualsiasi componente specifico dell'infrastruttura IT di un'organizzazione, sia una singola applicazione, un singolo computer o più macchine che lavorano in tandem in un ambiente distribuito. A causa della complessità degli ambienti di elaborazione odierni e del numero di tecnologie in uso, può presentarsi un'ampia varietà di vulnerabilità, ad esempio:

• Punti di accesso non autorizzati: un utente su una rete può installare un modem dial-in o una porta di accesso WLAN senza l'autorizzazione o la conoscenza dell'amministratore di rete.

• Sistema operativo compromesso: un sistema operativo può essere compromesso a causa della scarsa progettazione del modello di sicurezza.

Ad esempio, il modello di protezione in Windows NT consente a molti utenti di utilizzare un account con privilegi amministrativi per tutte le loro attività quotidiane. Inoltre, gli attuali schemi di aggiornamento del software e i metodi di consegna dei documenti condizionano gli utenti a scaricare ed eseguire prontamente il software con una convalida scarsa o inesistente dell'autenticità dell'aggiornamento. Presi insieme, questi due fattori possono essere una combinazione pericolosa.

• Sistema operativo non aggiornato: un sistema operativo installato potrebbe non avere correzioni di errori cruciali, poiché il sistema è stato recentemente ripristinato da un nastro di backup che non includeva gli aggiornamenti più recenti.

• Servizi non necessari: i sistemi potrebbero eseguire servizi non necessari e indesiderati. Ad esempio, un server di posta elettronica potrebbe essere configurato in modo non corretto con la condivisione di file abilitata oppure il firewall del software potrebbe consentire in modo errato l'accesso Web quando è necessario solo il trasferimento di posta elettronica. • Privilegi non appropriati: a un gruppo di utenti potrebbero essere assegnati privilegi che dovrebbero essere limitati a un membro di quel gruppo.
Poiché il controllo delle configurazioni operative richiede molto lavoro se eseguito manualmente, un buon framework di sicurezza include strumenti di gestione della configurazione sensibili alla sicurezza che possono applicare automaticamente le configurazioni desiderate o gli amministratori di allerta quando vengono rilevate variazioni dalle configurazioni note.
Altri incidenti di sicurezza non si verificano perché la tecnologia di sicurezza di un'azienda oi suoi standard sono inadeguati, ma perché gli individui responsabili semplicemente non li implementano. Gli esempi includono firewall software installati ma non abilitati o che utilizzano canali non sicuri per gli accessi amministrativi quando sono disponibili alternative crittografate. Gli amministratori dovrebbero avere cura di rivedere tutte le misure di sicurezza a loro disposizione e di farne uso il maggior numero possibile.

MANCATA ESECUZIONE DELLE POLITICHE DI SICUREZZA

Molte violazioni della sicurezza avvengono perché le politiche di sicurezza non sono rigorosamente applicate o non vengono applicate affatto. I dipendenti devono essere rimproverati in modo uniforme e coerente per non aver rispettato le politiche di sicurezza e devono essere stabilite chiare conseguenze per le violazioni ripetute. Un modello di tale fallimento è un problema organizzativo che sconfigge quasi sempre le misure di sicurezza, indipendentemente dalle tecnologie impiegate.

INTERCETTAZIONE

Le misure di sicurezza più comuni possono essere compromesse se un utente malintenzionato acquisisce la capacità di acquisire e registrare le interazioni tra un utente autorizzato e un sistema informatico. Le utilità software che consentono agli aggressori di registrare clandestinamente ogni battuta o movimento del mouse immesso da un utente sono ampiamente disponibili. Un altro tipo di software utilizzato per intercettazioni consente il microfono su un computer portatile e quindi trasmette le sue registrazioni. Una volta installato, un intruso può utilizzare questi strumenti per acquisire password, accessi alla rete o altri token di autenticazione che potrebbero consentire un ulteriore accesso alla rete. Per questo motivo, gli amministratori devono rimanere vigili contro l'uso di software non autorizzato installato sui computer degli utenti e devono monitorare l'attività di rete non autorizzata o non programmata che potrebbe indicare che i segnali vengono inviati a un potenziale intruso.
Un altro scenario di intercettazione potrebbe coinvolgere un utente malintenzionato interno che ha accesso fisico ai sistemi. In questo caso, l'hacker può connettere un piccolo dispositivo hardware tra il computer e la tastiera che registra le battiture fatte. Poiché il dispositivo non può essere rilevato da un'utilità software o tramite la scansione in rete, rappresenta un rischio significativo di intercettazione.

POLITICHE E STANDARD DI AUTENTICAZIONE DEBOLE

I sistemi operativi, i programmi applicativi e persino i dispositivi hardware come i router vengono regolarmente preconfigurati con nomi di account e password predefiniti. Questi valori predefiniti sono vulnerabili agli attacchi e le politiche di un'azienda dovrebbero imporre che vengano modificati immediatamente dopo l'installazione. Ma anche le password specificate dall'utente possono essere vulnerabili se possono essere decifrate con congetture istruite o con un attacco a forza bruta usando un dizionario elettronico o un altro elenco di parole. Tali attacchi possono essere anticipati da standard di password che prevedono password lunghe che richiedono numeri, lettere maiuscole e punteggiatura. L'uso della tecnologia biometrica come la scansione delle impronte digitali utilizzata con le password (autenticazione forte) può anche proteggere da tali attacchi.
È necessario prestare attenzione quando si pubblicano informazioni sui singoli utenti su pagine Web aziendali, intranet o servizi di directory come il dito UNIX. Spesso gli hacker useranno queste informazioni per identificare i nomi utente e indovinare le password. Gli utenti dovrebbero essere ulteriormente istruiti a non lasciare alcuna traccia scritta delle loro password nelle loro aree di lavoro.
Quando si progettano i sistemi di autenticazione per le applicazioni, occorre prestare attenzione per implementare il sistema in modo tale da scoraggiare gli attacchi con password. Ad esempio, poiché gli utenti occasionalmente perdono un tasto durante la digitazione della propria password, sono spesso consentiti due tentativi di accesso non riusciti (con un breve ritardo tra ogni tentativo). Tuttavia, dopo il terzo login fallito, l'utente potrebbe essere costretto a contattare l'amministratore di rete per una nuova password.
In tale implementazione, il sistema non dovrebbe annunciare agli utenti se è stato inserito il nome utente o la password errati, in quanto questo messaggio fornirebbe informazioni agli aggressori. I tentativi di accesso non riusciti devono essere registrati in modo che gli amministratori possano individuare dove si possono verificare potenziali intrusioni. Infine, tutti i token di autenticazione che verranno trasmessi attraverso la rete dovrebbero essere protetti con una crittografia forte.

COMANDI DI ACCESSO COMPROMESSO

Le password complesse e i robusti sistemi di autenticazione hanno scarso effetto se l'accesso agli account utente viene gestito in modo improprio. I dipendenti attuali e precedenti scontenti possono facilmente trarre vantaggio dalla loro capacità di entrare nei locali aziendali per infliggere danni alle risorse informatiche aziendali, rubare o danneggiare dati sensibili. L'accesso per i dipendenti licenziati deve essere prontamente e completamente revocato, compreso l'accesso alla posta elettronica, gli accessi alla rete, l'accesso agli strumenti collaborativi e l'accesso alle risorse dial-in come banche modem e punti di accesso WLAN .
Come qualsiasi altra informazione sensibile, gli elenchi di controllo di accesso (ACL) possono essere essi stessi gli obiettivi degli attacchi alla sicurezza. In molti casi, lo scopo del primo attacco sarà quello di stabilire una porta sul retro che possa essere utilizzata per penetrare ulteriormente l'impresa in un secondo momento. Con un ACL in mano, un utente malintenzionato può pianificare i metodi per aggirare le restrizioni o persino per modificare gli elenchi per semplificare un attacco. Questi elenchi e le directory degli utenti dovrebbero essere protetti e tutti gli accessi a queste directory (autorizzate o meno) dovrebbero essere registrati per l'analisi.

■ Attività di rilevamento delle minacce primarie

Mentre l'obiettivo per gli amministratori IT e il personale addetto alla sicurezza dei sistemi dovrebbe sempre essere quello di eliminare le vulnerabilità non appena vengono scoperte, sarebbe irrealistico aspettarsi che qualsiasi rete possa rimanere perpetuamente impermeabile all'attacco. Ad un certo punto nel tempo, è probabile che qualsiasi rete contenga vulnerabilità non scoperte. Pertanto, è necessario un approccio proattivo per individuare gli attacchi e le minacce in arrivo. Il piano d'azione raccomandato prevede quattro attività principali:

• Monitoraggio delle intrusioni: il monitoraggio delle intrusioni è un'attività di sicurezza progettata per rilevare e talvolta prevenire le minacce, riducendo al minimo il loro impatto sui sistemi di elaborazione e su altre risorse informative. Si possono tentare attacchi malevoli contro beni essenziali al fine di compromettere la riservatezza, l'integrità o la disponibilità della risorsa. I sistemi di monitoraggio delle intrusioni possono essere suddivisi in due categorie: monitoraggio reattivo, in genere provincia di sistemi di rilevamento delle intrusioni (IDS) o monitoraggio proattivo, come previsto dai sistemi di prevenzione delle intrusioni (IPS).

• Rilevamento di programmi dannosi: questa attività monitora le tecnologie per virus, worm, cavalli di Troia e codice che introducono buchi nell'ambiente (come il software di back-door). Questa area di rilevamento delle minacce è la più matura nel mercato dei prodotti TVM. Le famiglie di prodotti includono antivirus, filtro Web, filtraggio del contenuto e applicazioni di filtraggio della posta elettronica. Molti di questi prodotti includono funzionalità di rilevamento e correzione.

• Analisi delle attività di registro: un modo per ottenere una comprensione più ampia di come funzioni particolari della rete è raccogliere informazioni registrate da sistemi diversi, normalizzarle, accumulare le informazioni in un archivio dati (spesso un database relazionale) e quindi correlare eventi basati su euristica, modelli di comportamento noti o regole stateful. Questa attività, nota come analisi delle attività di registro, consente di rilevare più di minacce esterne. In effetti, può essere particolarmente utile per rilevare i tentativi di intrusione lanciati all'interno di un'organizzazione e spesso ignorati dai dispositivi di sicurezza perimetrale (come firewall e IDS). L'analisi delle attività di registro è un primo passo verso la correlazione degli eventi, in cui i registri sono raccolti e il loro contenuto analizzato nel suo insieme.

• Rilevazione della tecnologia illecita: l'obiettivo di questa attività è rilevare dispositivi e applicazioni che appaiono inaspettatamente nel dominio di gestione della sicurezza. Tali dispositivi potrebbero essere un'aggiunta legittima che non riesce a seguire le corrette procedure di controllo delle modifiche (come un router configurato in modo errato) o un dispositivo non autorizzato che compromette direttamente un asset di informazioni (ad esempio, un punto di accesso WLAN installato da un dipendente non autorizzato). Gli strumenti di rilevamento della tecnologia Rogue vengono utilizzati per identificare dispositivi, sistemi e applicazioni e possono essere utilizzati sia internamente che esternamente.

RILEVAMENTO DEL PROGRAMMA DANNOSO

Per qualsiasi organizzazione, la prevenzione è la prima linea di difesa contro il codice dannoso. Gli utenti dovrebbero essere informati sui rischi posti da virus, worm e così via e incoraggiati a prendere misure preventive appropriate. In particolare, dovrebbero evitare l'apertura indiscriminata degli allegati ricevuti via e-mail, il download di codice o di applet da fonti non attendibili o l'installazione di software piratato, in quanto tutti questi possono essere fonti primarie di infezione virale.
Affidarsi a questi metodi manuali è una scarsa garanzia di sicurezza, tuttavia. La vera prevenzione richiede contromisure attive che reagiscono alla velocità del codice malevolo stesso. Gli incidenti di virus sono attacchi automatici; software antivirus e di filtraggio dei contenuti in grado di fornire alle imprese difese appropriatamente automatizzate.

Programma antivirus

Oggi virus e worm rappresentano una minaccia sempre presente per le aziende. Uno studio del 2002 condotto dall'International Computer Security Association (ICSA) ha mostrato che il 100 percento delle aziende intervistate ha avuto almeno un incontro di virus negli ultimi 12 mesi. Nello stesso sondaggio, il 74% degli intervistati ritiene che il problema generale del virus sia peggiorato dall'anno precedente.
Poiché la furtività è una caratteristica comune dei software antivirus, l'unico mezzo veramente efficace per individuare e difendersi da questi attacchi è l'utilizzo di contromisure software specifiche. Il software antivirus è disponibile in diverse forme:

• Scanner di firme: questi dispositivi analizzano la memoria di sistema, i dischi e i file e ne confrontano il contenuto con un database di firme di virus conosciute. A causa della proliferazione di nuovi virus, questi database devono essere frequentemente aggiornati per rimanere aggiornati. Per facilitare gli aggiornamenti, molti fornitori forniscono sistemi di aggiornamento automatici basati su rete (ad esempio, la funzionalità di aggiornamento in tempo reale di Symantec). Il software di scansione può essere eseguito su richiesta o impostato per operare in background, scandendo ogni nuovo documento, programma o allegato e-mail non appena viene aperto o scritto sul disco. Quest'ultimo metodo è più sicuro, ma influisce in qualche modo sulle prestazioni della workstation host e potrebbe essere incompatibile con la normale funzione di alcune applicazioni

. • Scanner euristici: questi scanner eseguono analisi statistiche sulle istruzioni effettive del programma contenute nei file eseguibili per valutare la probabilità che possano presentare comportamenti simili a virus. Poiché non si basano su elenchi di firme note, gli scanner euristici potrebbero rilevare anche virus finora sconosciuti. La loro incidenza di falsi positivi (falsi allarmi) è in genere superiore a quella degli scanner di firme, tuttavia.

• Scanner di checksum: anziché fare affidamento su un database statico di firme di virus conosciute, uno scanner antivirus di checksum compilerà il proprio elenco di firme (chiamati codici di controllo di ridondanza ciclica (CRC) o checksum) per i file attualmente presenti sul disco. Nelle esecuzioni successive, confronta l'elenco conosciuto con lo stato corrente dell'unità, segnalando eventuali irregolarità. Sebbene efficace, questa misura antivirus non è completa, in quanto non è in grado di rilevare virus in nessun file appena arrivato né può controllare la presenza di virus in memoria. Tuttavia, la scansione del checksum può fornire una linea di difesa aggiuntiva se combinata con altri metodi di scansione. • Blocco dei comportamenti: questi strumenti tentano di monitorare l'ambiente di sistema in tempo reale, cercando istruzioni di programma che potrebbero avere effetti dannosi e interrompere l'elaborazione prima che il danno possa verificarsi.

Sfortunatamente, i metodi ben conosciuti per l'override di questo software causano un alto tasso di errore, ma i bloccanti del comportamento possono ancora essere utili come parte di una soluzione antivirus completa.
Una volta identificati i file infetti, il software può adottare varie misure per correggere il problema, dalla rimozione del codice virale per file, alle riparazioni a livello di sistema operativo più complesse sul disco stesso. Quando il rimedio appropriato non è chiaro, la maggior parte del software può essere impostato per segnalare anomalie e suggerire i passaggi successivi. In casi estremi, la riparazione di un file infetto potrebbe essere impossibile e il file deve essere messo in quarantena in un'area di memoria sicura designata, in attesa di eliminazione.
I vermi o altri virus diffusi su Internet sono casi speciali e il loro rimedio richiede misure aggiuntive. È necessario disinfettare anche tutti i sistemi con cui il computer infetto potrebbe essere stato in contatto, inclusi i file server e altre workstation sulla LAN. Le best practice suggeriscono anche di informare i clienti, i fornitori e altri partner i cui sistemi potrebbero essere stati esposti durante tale epidemia. Sebbene imbarazzante, tale divulgazione potrebbe essere preferibile alla perdita di avviamento sofferta a causa della diffusione di virus.

Sistemi di filtraggio dei contenuti

Un mezzo efficace per mantenere il contenuto indesiderato fuori dalle reti aziendali - contenuto che include spam, materiali offensivi, virus, worm o altri software non autorizzati - consiste nel distribuire una qualche forma di sistema di filtro dei contenuti. L'esempio più semplice abilita semplici regole di filtro nel software client di posta elettronica per bloccare i messaggi indesiderati. Questo metodo ha un'efficacia limitata, tuttavia, e attribuisce la responsabilità del filtraggio nelle mani dei singoli utenti finali.
Soluzioni più complete implementano il filtro a livello di server o di rete, utilizzando software o appliance hardware specializzate. Questa forma di filtraggio è simile ma non uguale a quella eseguita da un firewall. Anziché bloccare completamente il traffico di rete come un firewall, i filtri mirano ad analizzare in modo intelligente i messaggi in arrivo o le richieste di URL (Uniform Resource Locator) (utilizzando software antivirus o altre tecniche) e bloccare qualsiasi traffico ritenuto contrario alle politiche aziendali. Questo traffico può includere non solo e-mail, ma siti Web, messaggistica istantanea, chat room e altri servizi. I filtri possono funzionare in diversi modi:

• Filtro per indirizzo: blocco del traffico da determinati domini o URL; ad esempio, rifiutando di ritrasmettere messaggi di posta elettronica dai server di spammer noti o bloccando l'accesso a siti Web pornografici noti. Costruire e mantenere elenchi di tali fonti può essere un processo ingombrante. Fortunatamente, numerosi produttori di software di filtraggio e organizzazioni indipendenti mettono a disposizione le proprie liste a cui gli amministratori possono iscriversi. Tuttavia, un rischio di questo approccio è che il contenuto legittimo potrebbe essere bloccato maliziosamente attraverso un tale elenco. Ad esempio, un utente malintenzionato potrebbe perpetrare un attacco DoS semplicemente forgiando prove e riportando un sito Web o un indirizzo e-mail ai servizi di elenco. I servizi elenco quindi bloccherebbero tutti i contenuti verso e dall'entità mirata.

• Filtro per contenuto: blocca il traffico in base a determinati tipi di contenuto. Ad esempio, quando arriva un messaggio di posta elettronica contenente un allegato contenente codice eseguibile, il filtro può eseguire la scansione del file utilizzando un software antivirus prima di passarlo al server di posta locale. Un'altra opzione potrebbe essere quella di eliminare automaticamente le immagini o il codice HTML / JavaScript dai messaggi di posta elettronica in arrivo.

• Filtro per parole chiave: consente di schermare i contenuti in base a un cosiddetto elenco di parole o frasi comunemente associato a spam o argomenti offensivi. Più recentemente, alcuni sistemi di filtraggio hanno iniziato a utilizzare una tecnica chiamata filtraggio bayesiano. Questa tecnica utilizza una combinazione di analisi statistica e intervento umano per imparare dai contenuti bloccati, migliorare le possibilità di successo dei filtri e ridurre il numero di falsi positivi nel tempo.

• Tecniche avanzate: alcuni filtri sfruttano tecniche di filtraggio ancora più sofisticate ora in fase di sviluppo. Ad esempio, un certo numero di aziende ha sviluppato filtri in grado di analizzare le immagini grafiche per il loro contenuto, rifiutando un'immagine se restituisce un'alta probabilità di contenere materiale pornografico. La maggior parte di queste tecnologie sono relativamente immature, sebbene la domanda per esse sia elevata, in particolare nell'industria di hosting dei contenuti.
Il contenuto sospetto identificato da un filtro può essere automaticamente bloccato, ma esistono anche altre opzioni. La maggior parte dei filtri può essere configurata per segnalare il traffico sospetto a un amministratore per l'approvazione manuale o semplicemente per registrare gli incidenti per una revisione successiva. I mittenti di e-mail bloccate possono essere informati dell'azione intrapresa e i messaggi bloccati possono essere messi in quarantena in un'area di attesa anziché eliminati a titolo definitivo. Il contenuto deve quindi essere controllato manualmente dagli amministratori. Per combattere lo spam, una tecnica consiste nell'avere il sistema di posta elettronica di inviare una e-mail di rimbalzo al mittente del messaggio. Questo messaggio sembra essere generato dal sistema di posta elettronica, informando il mittente che il destinatario non esiste. Alcuni mittenti di spam saranno quindi ingannati nel rimuovere l'indirizzo e-mail corrispondente dai loro database.Questa funzione è incorporata nella maggior parte dei client di posta elettronica e può essere abilitata anche su alcuni server di posta elettronica.

In molti casi, la cancellazione automatica del contenuto filtrato non è una risposta adeguata. I falsi positivi sono un problema perenne, ad esempio, anche se la selezione di messaggi di posta elettronica contenenti la parola Viagra potrebbe essere consigliabile per la maggior parte delle organizzazioni, sarebbe del tutto inappropriata per un'azienda farmaceutica. O il contenuto legittimo può essere inavvertitamente bloccato, ad esempio i filtri dei contenuti che non consentono agli utenti di accedere ai siti web governativi e di comunità per la Contea di Sussex perché gli URL contengono la parola sesso. Allo stesso modo, le soluzioni basate sulla Bayesiana sono state conosciute per bloccare il sito Web al documento e alla società di servizi commerciali Kinko (kinkos.com) perché deducono che il contenuto è correlato alla parola kinky.

Inoltre, le implicazioni legali dell'utilizzo del software di filtraggio non sono ancora chiare. Una compagnia può essere ritenuta negligente per non aver installato i filtri? Oppure stabilire una politica di filtraggio aumenta solo la responsabilità dell'azienda quando passa attraverso i contenuti indesiderati? A causa di questi fattori, le aziende sono invitate a consultare a fondo gli esperti, inclusi IT, gestione aziendale e risorse legali, prima di implementare qualsiasi sistema di filtro dei contenuti.

LOG ACTIVITY ANALYSIS

Attacchi di alto profilo come buffer overflow, stringhe di formato, DoS e SQL injection derivano dalle abilità degli estranei malintenzionati di sfondare la rete di un'organizzazione e la sicurezza del perimetro.

Ma i dispositivi di sicurezza come i firewall e gli IDS sono spesso di scarso aiuto nel rilevare le incursioni lanciate all'interno di un'organizzazione, a causa di due fattori. Innanzitutto, questi dispositivi vengono generalmente installati solo su perimetri di rete (ad esempio, le connessioni Internet e dei partner ). In secondo luogo, le tecnologie utilizzate da questi dispositivi per rilevare gli attacchi, principalmente la corrispondenza dei modelli e l'analisi del protocollo, non riescono a rilevare gli attacchi che non corrispondono alle firme note o mimano una connessione normale (ad esempio, un dipendente terminato il cui account è ancora attivo). Di conseguenza, per rilevare questo tipo di minaccia, le aziende devono anche concentrare gli sforzi di sicurezza a livello di asset, incluse applicazioni, workstation, server e così via. Uno degli strumenti più importanti in questo processo è l' analisi delle attività di registro .

Identificazione di eventi significativi La maggior parte delle risorse tecnologiche è in grado di generare registri di eventi di sistema significativi. Gli eventi che possono essere registrati includono le informazioni di autenticazione dell'utente, gli errori, l'accesso ai dati e le funzioni amministrative, nonché le notifiche generali sullo stato del sistema.

Le impostazioni di controllo specifiche disponibili su un dispositivo e i normali schemi per i registri eventi dipendono dal tipo di tecnologia. Ad esempio, un server di autenticazione sarebbe configurato per registrare molti più eventi di autenticazione di un file server. Viceversa, un file server registrerebbe più eventi di accesso ai file e alle directory rispetto a un server di autenticazione. Tuttavia, nella maggior parte dei casi le impostazioni di controllo devono essere configurate in modo simile su tutte le risorse di un'organizzazione, poiché le informazioni pertinenti a una tecnologia saranno pertinenti anche per gli altri.

Gli eventi di autenticazione acquisiti su un file server sono ancora pertinenti, ad esempio, poiché qualsiasi evento di autenticazione non riuscito potrebbe indicare un tentativo di accesso non autorizzato. Allo stesso modo, qualsiasi evento di file e directory registrato da un server di autenticazione dovrebbe essere studiato, perché il trasferimento dei file non è la funzione abituale di tale dispositivo. Registri eventi correttamente configurati conformi a una politica di controllo standardizzata possono aiutare sia nella risoluzione dei problemi che nel rilevamento delle minacce.

Altrettanto importante anche se spesso trascurato è l'accuratezza delle impostazioni dell'orologio interno dei dispositivi all'interno dell'azienda. Le corrette impostazioni dell'orologio sono indispensabili quando si cerca di associare le voci del registro segnalate da diversi sistemi e tracciare la sequenza di eventi in un attacco. Un modo per garantire la coerenza è configurare ogni dispositivo per ottenere l'impostazione dell'ora da un server NTP (Network Time Protocol) comune.
Il volume puro dei messaggi registrati da server configurati correttamente può essere un problema a sé stante. Più registri generati da più dispositivi in ​​tutta l'azienda possono aggiungere rapidamente fino a terabyte di dati. Senza una strategia di archiviazione ben progettata che consente un facile accesso e analisi dei registri archiviati, tutte le informazioni raccolte potrebbero essere inutili.

Un approccio consiste nel mantenere un singolo server centrale syslog in cui vengono periodicamente inviati tutti i registri per l'archiviazione. Le organizzazioni più grandi potrebbero preferire mantenere posizioni di archiviazione diverse per diversi tipi di log; ad esempio, i log generati dai server che eseguono Windows potrebbero essere separati dai registri delle macchine UNIX.

Grandi volumi di dati di registro richiedono inoltre alle organizzazioni di considerare il modo migliore di utilizzare questi dati per rilevare in modo proattivo l'intrusione. Revisionare regolarmente ogni registro generato da ogni sistema non sarebbe fattibile. Determinare quali registri analizzare può essere il compito più difficile dell'analisi delle attività di registro. Nessuna soluzione standard esiste, poiché i sistemi e i log ritenuti cruciali varieranno da un'azienda all'altra. L'unico modo per valutare correttamente una s è stata raccolta in un archivio centrale, l'analisi può iniziare. Oltre a quei sistemi essenziali che sono stati contrassegnati per una revisione periodica e proattiva, è necessario rivedere tutti i registri che si discostano dal normale schema di registro, ad esempio le istanze di più eventi di autenticazione acquisiti da un router o da un server di database.
Identificare quali voci del registro segnalano un attacco può essere difficile. Richiede la conoscenza di molti tipi diversi di attacchi (e nuovi vengono ideati quasi quotidianamente), nonché una conoscenza approfondita dell'ambiente IT che ha generato i log. In molti casi, le aziende si iscrivono a un servizio di informazioni sulla sicurezza che può aiutare gli amministratori a identificare gli eventi di intrusione.
A prescindere dalle risorse, l'obiettivo essenziale è identificare gli eventi che dovrebbero creare preoccupazione. Esempi di questi tipi di eventi includono:

• Accesso rapido non riuscito

• tentativi di accesso ripetuti dallo stesso indirizzo IP

• Attività di accesso inusuali da account amministrativi Successivamente, le organizzazioni devono definire processi che consentano un'adeguata escalation degli eventi identificati. Le seguenti domande e preoccupazioni devono essere coperte:
• Chi sono i contatti interni appropriati?

• I sistemi devono essere messi in quarantena?

• I clienti dovrebbero essere avvisati?

• Quando dovrebbero essere contattate le autorità esterne?

Senza adeguate procedure di escalation, un'organizzazione non sarà in grado di rispondere in modo efficiente ed efficace a un evento identificato.
Le categorie di rischio definite possono aiutare questo processo. Questi non devono essere più complicati delle etichette che classificano le minacce di alta, media e bassa priorità. Le minacce ad alta priorità potrebbero richiedere chiamate immediate alle autorità esterne; le minacce a media priorità potrebbero richiedere un'azione interna immediata; e le minacce a bassa priorità potrebbero essere risolte il giorno seguente.
Infine, a un certo punto i log devono essere cancellati e archiviati. Le normative governative potrebbero richiedere che alcuni registri vengano archiviati per un certo periodo di tempo. Tuttavia, anche senza regolamento, i registri dovrebbero essere archiviati per un certo periodo di tempo, perché i registri delle attività passate potrebbero aiutare a indagare su un incidente in corso. È necessario definire e testare regolarmente un criterio di backup, eliminazione e archiviazione per i file di registro.
L'analisi delle attività di registro è la prima parte di un processo molto più ampio: la correlazione degli eventi, che è il processo di analisi degli eventi tra le risorse. L'analisi del registro deve essere eseguita correttamente affinché la correlazione degli eventi sia efficace.

SCOPERTA DELLA TECNOLOGIA ROGUE

Le tecnologie canaglia sono minacce che di solito derivano dalle azioni dei dipendenti interni. Le organizzazioni possono minimizzare questo rischio standardizzando su un set di dispositivi informatici e configurazioni di sistema pre-approvati che possono essere monitorati attivamente per le vulnerabilità. Ogni volta che i dipendenti installano hardware e software aggiuntivi (per uso aziendale o personale) oltre a ciò che è stato formalmente specificato, possono compromettere queste politiche, anche senza volerlo.
Ad esempio, i dipendenti possono installare modem o implementare punti di accesso per reti wireless senza previa approvazione e senza riguardo per le politiche aziendali. Il software di rete peer-topeer, le estensioni del browser o il software di chat installati dai dipendenti per uso personale possono rivelarsi altrettanto pericolosi. Particolarmente preoccupante è il rischio che la tecnologia canaglia venga utilizzata dalla dirigenza di livello superiore. Un dirigente potrebbe implementare una tecnologia canaglia come la WLAN senza temere alcuna conseguenza negativa per violazione della politica di sicurezza, perché la struttura organizzativa potrebbe non avere nessuno che imponga la politica ai livelli superiori. Una tale struttura può introdurre hardware o software rogue che è difficile da rilevare e rimuovere.
Poiché questi dispositivi e applicazioni non approvati non sono gestiti o monitorati dai gruppi IT o di sicurezza dell'organizzazione, eventuali nuove vulnerabilità che possono introdurre possono essere sfruttate impunemente, senza la conoscenza di nessuno dei due gruppi. Poiché la popolarità della rete wireless è aumentata, è diventato un problema particolare in questo senso.
Identificare, esporre e controllare questi dispositivi non autorizzati è essenziale per una corretta applicazione delle policy di sicurezza di rete stabilite. Esistono varie forme di software che possono aiutare in questo processo. Un tipo semplicemente porta-scansiona un intervallo di indirizzi IP per tipi noti di traffico di rete. Tale software è spesso incluso nei pacchetti ESM (enterprise systems management) o nei sistemi di rilevamento delle vulnerabilità. I sistemi di gestione delle risorse basati su agenti sono un'altra opzione. Questi sistemi installano su ogni workstation utente una piccola applicazione che viene eseguita durante l'accesso, creando un catalogo di tutto il software installato sul sistema locale. Le aziende possono anche creare script personalizzati che consentono loro di confrontare gli attributi dei sistemi installati con gli attributi delle configurazioni approvate.
Ad esempio, un'azienda che desidera rilevare e disabilitare l'uso delle applicazioni di chat potrebbe impiegare diverse tecniche. Innanzitutto, la società potrebbe monitorare il proprio server proxy e rilevare le connessioni a siti Web come AOL.com, da cui l'utente deve scaricare il client AIM Instant Messenger (AIM) per utilizzare il servizio di messaggistica istantanea. Inoltre, poiché un software come AIM utilizza Secure HTTP (SHTTP) per connettersi a un server di messaggistica, la società può impostare il proxy per bloccare tale traffico. Infine, poiché tutti i browser inviano una stringa di identificazione quando richiedono un sito Web da un server Web, la società potrebbe semplicemente consentire l'accesso di una sola stringa di identificazione tramite il proxy.
Sebbene queste tecniche e questi strumenti possano aiutare a rilevare le tecnologie canaglia, non rappresentano una soluzione completa al problema. Spesso, le applicazioni di rete canaglia come client di chat e software peer-to-peer trasmettono il loro traffico utilizzando le stesse porte e protocolli di rete utilizzati dai browser Web standard. Questo approccio viene spesso utilizzato per consentire alle applicazioni di funzionare attraverso i firewall, che di solito schermano il traffico su altre porte. Sfortunatamente, questo scenario è esattamente ciò che la maggior parte delle organizzazioni non vuole. In effetti, il traffico di queste applicazioni canaglia è mascherato da traffico Web legittimo, rendendo difficile la rilevazione tramite mezzi automatici.

Anche l'hardware non autorizzato può essere difficile da rilevare perché gli strumenti di scansione hanno una capacità limitata di distinguere tra dispositivi legittimi e non autorizzati. Ad esempio, molti portatili ora sono dotati sia di modem che di adattatori WLAN integrati. Un agente software rileverà questi dispositivi e li contrassegnerà come possibili tecnologie canaglia, ma non sarebbe in grado di distinguere tra componenti utilizzati attivamente e quelli installati ma mai utilizzati.
Pertanto, la prima linea di difesa contro l'uso di tecnologie canaglia è una politica di sicurezza chiaramente definita e pubblicata che descrive in dettaglio ciò che l'organizzazione considera l'hardware e il software rogue, nonché le conseguenze dell'installazione e dell'utilizzo di dispositivi e applicazioni non autorizzati (che possono variare da un rimprovero formale alla risoluzione, a seconda della gravità dell'infrazione). Come per le altre politiche aziendali, i dipendenti devono firmare e accettare la politica di sicurezza della rete per iscritto. Se utilizzati con firewall, proxy dell'applicazione, controlli di sistema di routine e configurazioni sicure che non possono essere modificati dall'utente finale, il rigoroso rispetto di tale politica è il modo più efficace per le organizzazioni di mantenere il controllo sulle tecnologie in uso sulle loro reti.

■ Vulnerabilità primaria

Attività di rilevamento Identificare le minacce che possono mettere a rischio un'organizzazione è solo una parte di una strategia di sicurezza completa. Le aziende devono anche identificare attivamente le debolezze delle risorse che potrebbero essere sfruttate in un attacco.
Ogni risorsa aziendale ha attributi che la rendono vulnerabile in qualche modo, sia che si tratti di un server, di un cliente, di un sito Web, di dati transazionali o di un processo aziendale. Alcune vulnerabilità potrebbero essere il risultato di debolezze nelle tecnologie che controllano la risorsa, come un bug di overflow del buffer nel software applicativo che esegue il sito web di un'azienda. Altri sono semplicemente dovuti alla natura intrinseca del bene stesso, come la necessità che i dati riservati restino privati. Table10 fornisce una panoramica di alcune vulnerabilità aziendali comuni.
Sebbene un'impresa non possa controllare l'esistenza di vulnerabilità, può controllare il modo in cui sceglie di gestirle. Politiche, standard e tecnologie di sicurezza correttamente implementati possono aiutare a limitare il rischio identificando proattivamente i punti deboli nelle risorse aziendali. L'obiettivo di questa attività, chiamato rilevamento delle vulnerabilità, è consentire alle organizzazioni di rimediare alle vulnerabilità prima che possano essere sfruttate da un attacco. Prima che le organizzazioni possano intraprendere il rilevamento delle vulnerabilità, devono prima sviluppare una comprensione di dove potrebbero esistere le loro vulnerabilità, indipendentemente dalla loro tecnologia, processo, ambiente o qualche altro potenziale punto di errore. Questa comprensione generale dovrebbe informare le politiche e gli standard di sicurezza dell'organizzazione.
Solitamente le organizzazioni implementano i programmi di rilevamento delle vulnerabilità in fasi, a partire dalle risorse più necessarie (identificate durante la valutazione del rischio o il processo di classificazione delle attività) e estendendo l'ambito a risorse meno essenziali man mano che l'ambiente generale diventa più controllato. Gestire l'ambito del progetto in questo modo è spesso essenziale per il suo successo, poiché limita la quantità di dati grezzi generati dalle attività di rilevamento delle vulnerabilità a un livello che può fornire informazioni utilizzabili.
Il processo di rilevamento delle vulnerabilità consiste in tre attività principali:

• Test di conformità: lo scopo di questa attività è riesaminare continuamente le attività mirate per conformità con gli standard e le politiche di sicurezza stabiliti. Avendo definito ciò che considerano come limiti accettabili per la conformità, le imprese possono utilizzare sia tecniche automatizzate che manuali per misurare se le loro tecnologie e procedure rientrano in questi limiti. Se la conformità non viene soddisfatta, è necessario identificare le modifiche necessarie ai sistemi (o potenzialmente a politiche e standard) che consentiranno la conformità.

• Scansione della vulnerabilità: i processi di scansione delle vulnerabilità identificano punti deboli nelle risorse tecnologiche e nei processi aziendali, con l'intento di controllare meglio la sicurezza degli ambienti di un'organizzazione. Diverse tecniche possono realizzare questa identificazione. Un metodo prevede lo svolgimento di studi periodici di attacco e penetrazione contro risorse specifiche, come sistemi operativi, firewall, database e applicazioni. Un altro approccio consiste nell'effettuare test di vulnerabilità e configurazione su base continuativa utilizzando strumenti di scansione automatici. • Analisi della disponibilità delle operazioni: l'attività finale del rilevamento delle vulnerabilità cerca di risolvere i punti deboli delle risorse che non sono soggetti agli attacchi convenzionali. Invece, si concentra sulla resilienza operativa delle risorse, incluse attività come la manutenzione dei sistemi ad alta disponibilità; backup, ripristino,e servizi di rotazione del nastro; business continuance e servizi di disaster recovery; e capacità continua e dinamica del sistema e ingegneria delle prestazioni.

PROVE DI CONFORMITÀ

I test di conformità possono verificarsi a molti livelli dell'azienda. Il suo obiettivo principale è garantire che le organizzazioni si conformino alle proprie politiche e standard di sicurezza stabiliti. Un'organizzazione potrebbe scegliere di misurare la conformità rispetto a qualsiasi numero di criteri, come ad esempio:

• Politiche di sicurezza contro i requisiti normativi

• Standard aziendali contro le politiche di sicurezza

• Procedure documentate contro le politiche di sicurezza

• Procedure come praticate contro procedure documentate • Controlli tecnici contro le politiche di sicurezza

• Integrazione di sistemi di informazione contro controlli tecnici

• Politica di sicurezza organizzativa contro specifiche procedure dipartimentali o di sistema

• Inventario delle eccezioni di rischio contro le eccezioni dei criteri documentati

Allo stesso modo in cui la creazione e l'implementazione di policy di sicurezza aziendali richiedono un metodo ben definito, così le aziende devono definire il proprio approccio ai test di conformità. Un efficace programma di test di conformità ha cinque caratteristiche fondamentali: indipendenza, pianificazione, raccolta delle prove, reportistica, follow-up.
La mancata inclusione di uno qualsiasi di questi criteri durante l'elaborazione delle procedure di test può compromettere i risultati del processo di test, limitando così la sua utilità.

Indipendenza

I test di conformità hanno valore solo se i risultati del test sono imparziali. Per garantire che un test di conformità mantenga la sua integrità e obiettività, la persona o il gruppo che conduce il test deve essere indipendente dalla risorsa testata.
Nel senso più stretto, l'indipendenza può essere definita come priva di qualsiasi interesse finanziario diretto o materiale nell'attività oggetto di test. In termini semplici, ciò significa che i tester non dovrebbero essere coinvolti in decisioni operative o finanziarie. Inoltre, dovrebbero essere responsabili di un dipartimento diverso dal dipartimento che sta conducendo il test, per evitare qualsiasi tipo di influenza o pressione manageriali che potrebbe distorcere l'analisi dei risultati del test.
Ad esempio, in un'azienda tipica il gruppo di sicurezza potrebbe essere responsabile del mantenimento della politica di sicurezza e dei controlli tecnici da testare, mentre il reparto IT gestisce i sistemi informativi. In tal caso, né il gruppo di sicurezza né il reparto IT devono eseguire i test di conformità. Invece, la società dovrebbe ricorrere a un'altra entità interna, come un dipartimento di auditing informatico o forse uno specialista esterno.

Pianificazione

Affinché un test di conformità abbia successo, un'organizzazione deve innanzitutto specificare chiaramente gli obiettivi e lo scopo del test, sotto forma di un piano di test. Il processo di pianificazione inizia esaminando le politiche di sicurezza stabilite dell'organizzazione e le procedure che ha implementato per conformarsi ad esse.
Lavorando da questa fondazione, l'organizzazione deve decidere quali risorse specifiche testare (comprese politiche, strumenti, standard, procedure e tecnologie), con quale frequenza testarle e quali aree e reparti devono essere inclusi ed esclusi dai test. Inoltre, deve considerare come adeguare eventuali modifiche necessarie nelle politiche di sicurezza che i test potrebbero identificare, nonché come rivalutare e perfezionare il proprio approccio di test attraverso i test successivi. Le priorità di selezione variano in base agli obiettivi di ciascun test.
Ad esempio, un obiettivo primario potrebbe essere quello di testare tutti i sistemi ad alto rischio, come quelli che sono rivolti verso Internet o che contengono informazioni classificate. Altri obiettivi potrebbero includere la verifica di tutti i restanti sistemi a basso rischio esclusi dai precedenti test di conformità, o sistemi di test che sono gestiti da fornitori esterni. In molti casi, una società sceglierà di implementare un programma di test di conformità per fasi; ad esempio, i server Windows il primo anno, i sistemi Solaris l'anno successivo e così via.
L'organizzazione deve poi specificare i tipi di prove da raccogliere, che determineranno gli strumenti e le tecniche utilizzate per raccoglierle. Ad esempio, la politica aziendale potrebbe stabilire che tutte le password all'interno dell'azienda debbano avere almeno otto caratteri. Un processo di verifica della conformità per questa politica potrebbe comportare l'utilizzo di uno strumento software per esaminare una particolare risorsa (ad esempio un server) per determinare se le password effettive memorizzate su di essa rispettano il requisito di lunghezza minima. Un altro processo potrebbe coinvolgere il rilevamento di impostazioni di configurazione specifiche per confermare che la politica è stata applicata a livello di codice, utilizzando l'ispezione manuale o script o programmi automatici.
Nel determinare il tipo e l'approccio della raccolta delle prove, le organizzazioni devono anche considerare i rischi coinvolti. Nel corso della raccolta di prove per un test di conformità, ai tester potrebbe essere concesso l'accesso amministrativo a dati riservati o protetti che risiedono su sistemi. Questa pratica crea di per sé una nuova vulnerabilità che dovrebbe essere chiaramente valutata e compresa dall'azienda.

Raccolta di prove

I testimoni di conformità devono registrare prove specifiche a supporto dei risultati e delle conclusioni. Quando si raccolgono prove, i tester devono considerare i seguenti requisiti:

• Persuasività: i test devono esercitare un buon giudizio professionale per decidere se le prove raccolte sosterranno i risultati riportati in modo persuasivo o causeranno semplicemente confusione. Una tecnica utile è quella di classificare specifici punti probatori dal più persuasivo al meno persuasivo.

• Rilevanza: le prove dovrebbero essere logiche e dovrebbero supportare gli obiettivi e gli obiettivi stabiliti durante la pianificazione del test.

• Obiettività - Né i risultati dei test né le conclusioni tratte da essi dovrebbero essere colorati dalle opinioni personali o dai pregiudizi dei tester. Prova   che ha integrità e rimane obiettivo fornisce un supporto molto più forte per i risultati dei test.

• Libertà da pregiudizi: la neutralità dovrebbe esistere nelle prove. Per quanto possibile, i test non dovrebbero favorire alcun particolare fornitore, processo o metodo.
Le prove possono essere raccolte in molte forme:

• Documentario: una forma permanente di prova, come procedure scritte, diagrammi di flusso o file di registro.

• Report analitici derivati ​​dal confronto e controllo accurato di dati, questionari, testimonianze o documenti.

• Evidenza fisica ottenuta attraverso l'osservazione diretta di persone, proprietà ed eventi.

• Dichiarazioni di testimonianze rilasciate dallo staff possono confermare i risultati dei test, ma questa forma di evidenza richiede solitamente una conferma.
Ad esempio, quando un'azienda sta testando i suoi controlli tecnici per la conformità con le sue politiche di sicurezza, vorrà raccogliere i registri di controllo tecnico e le dichiarazioni di politica di sicurezza come prova dei risultati dei test. Ulteriori prove potrebbero essere raccolte utilizzando una varietà di mezzi, tra cui l'esame fisico, l'intervista, la revisione analitica, la mappatura delle procedure e così via.
Quando raccolgono dati di test relativi ai sistemi IT, la maggior parte delle organizzazioni vorranno mantenere le proprie scoperte in un formato elettronico come un foglio di calcolo o un database. Quando si esaminano le prove in una forma così malleabile, tuttavia, occorre prestare attenzione per garantire che i documenti esaminati non vengano modificati durante il processo di revisione e siano in realtà i documenti utilizzati nell'organizzazione. Ad esempio, un modo in cui un'organizzazione potrebbe garantire l'integrità dei dati sarebbe ottenere documenti probatori firmati su CD-ROM direttamente dal responsabile del reparto sicurezza. Quindi è possibile utilizzare una copia di questi documenti durante il test, mentre l'originale è stato conservato in un luogo sicuro.
Nella maggior parte dei casi, i test di conformità dei sistemi informatici hanno requisiti di raccolta dati che richiedono l'uso di strumenti automatizzati. Questi strumenti raccolgono tutte le impostazioni e le autorizzazioni del registro, le autorizzazioni del file system e le impostazioni di configurazione della sicurezza per una determinata applicazione. Sono disponibili numerosi strumenti commerciali per ambienti basati su Windows. Le aziende con ambienti UNIX spesso sviluppano i propri strumenti interni di raccolta delle prove, sebbene alcuni strumenti di benchmark di sicurezza basati su UNIX siano disponibili presso le organizzazioni di sicurezza e i fornitori di freeware.

Segnalazione

Dopo il completamento del test di conformità, i tester devono creare un rapporto che riepiloghi e dettagli sui risultati. Per aumentare la probabilità che i risultati dei test vengano attuati, i risultati devono essere presentati in un formato conciso che sia di facile lettura e comprensione. Il rapporto dovrebbe identificare gli obiettivi e lo scopo, il periodo di copertura, la natura e l'estensione del test effettuato. Un report di riepilogo tipico potrebbe essere costituito dalle seguenti sezioni:

• Background: la natura, lo scopo e la funzione delle risorse o delle politiche che sono state testate.

• Obiettivi: gli obiettivi del test e quali presupposti ha stabilito di verificare.

   Approccio di prova : i metodi, gli strumenti e le procedure seguiti durante il test, nonché i motivi per cui il test è stato progettato in questo modo. • Risultati raccolti: un riepilogo delle prove materiali prodotte durante il test.

• Conclusioni: analisi dei risultati del test; ad esempio: "Il firewall ha filtrato adeguatamente il traffico in entrata e in uscita. Tuttavia, sono state rilevate carenze relative alla traduzione degli indirizzi IP come definito dalla sezione 1.1.1 della politica di sicurezza delle informazioni. "

• Riconoscimenti: chi ha eseguito il test, chi ha fornito altre prove materiali o materiali di base e chi può fornire ulteriori informazioni.
Una volta che il rapporto è stato completato e i suoi risultati riconosciuti, le organizzazioni generano un piano d'azione per rispondere ai risultati del test. In definitiva, questo piano d'azione è la parte più importante del processo di test. (Vedi Figura37 a pagina164 per esempio piani di azione.) Come minimo, il piano d'azione dovrebbe consistere di quanto segue

• Eventuali nuovi controlli da attuare e le tecniche da utilizzare: identificati in modo organizzativo, fisico o logico. • Date previste per l'implementazione dei controlli.

• Chi è responsabile dell'attuazione dei controlli definiti.

• Chi era responsabile dello sviluppo dei piani di implementazione.
Un piano d'azione potrebbe anche comportare modifiche alle politiche di sicurezza di un'organizzazione o un'eccezione documentata alle politiche. Si consideri, ad esempio, un'azienda con uno standard tecnico che stabilisce che il servizio FTP (File Transfer Protocol) deve essere disabilitato sui server con connessione Internet, ma che ha anche un'applicazione aziendale che richiede FTP. In questo caso, il manager della linea di business dovrebbe fornire una spiegazione del motivo per cui FTP non può essere disabilitato in questa istanza (un'eccezione alla politica). Il gestore dovrebbe capire il rischio che questo introduce e potrebbe fare una dichiarazione esplicita che il gruppo in questione sta accettando tale rischio. Allo stesso modo, il dipartimento di sicurezza potrebbe condurre una valutazione per determinare se il rischio è accettabile.La società probabilmente svilupperebbe anche un piano di progetto su come l'applicazione potrebbe essere cambiata o sostituita in modo che l'FTP possa essere disabilitato, aderendo così alla politica esistente. Documentare tali eccezioni alla politica consente alle aziende di tracciare queste eccezioni nel tempo e di gestire centralmente il rischio.

Azione supplementare

Il completamento di un singolo test di conformità non è la fine del processo, anche dopo che un piano d'azione è stato redatto e messo in moto. Sono necessari test di follow-up per valutare lo stato e l'efficacia delle misure raccomandate nel piano d'azione. I risultati del test di follow-up possono rispondere a domande importanti come:

• Sono state implementate le misure correttive raccomandate?

• In che misura sono stati implementati?

• I nuovi controlli funzionano correttamente?

• I nuovi controlli sono efficaci?

• Quale impatto hanno i nuovi controlli sull'asset?

• Saranno necessari ulteriori test di conformità?

I test di follow-up avvengono dopo l'implementazione dei controlli tecnici raccomandati e / o delle modifiche delle policy. Le prove vengono raccolte da una risorsa e quindi i nuovi dati vengono verificati rispetto ai problemi in sospeso dal test di conformità originale. Il follow-up del sistema tecnico può richiedere l'uso di strumenti automatizzati per raccogliere le prove richieste e verificare i risultati con quelli ottenuti prima dell'attuazione del piano d'azione.

SCANSIONE VULNERABILITÀ

La scansione delle vulnerabilità è il processo di identificazione e valutazione dei punti deboli in un determinato ambiente aziendale. Offre una visione completa di tutte le risorse tecnologiche, incluse applicazioni, server, workstation ed elementi di rete, e valuta quanto è suscettibile l'attacco all'ambiente. Guardando a come le singole risorse si adattano all'ambiente più ampio, la scansione delle vulnerabilità può aiutare le organizzazioni a individuare collegamenti deboli nelle loro infrastrutture IT.
Troppo spesso, le organizzazioni sono preoccupate di prevenire i cosiddetti buchi nel loro ambiente. Si concentrano sulle principali vulnerabilità che potrebbero portare direttamente all'accesso non autorizzato, senza riuscire a risolvere le piccole vulnerabilità in sistemi meno essenziali che possono anche rappresentare punti di partenza per gli attacchi. Le relazioni di fiducia, i privilegi di accesso singolo non garantiti e gli account utente configurati in modo errato sono solo alcuni esempi di vulnerabilità minori che rendono facile per un utente malintenzionato saltare da una macchina all'altra finché non trova il bersaglio che cerca.
Per condurre una scansione completa delle vulnerabilità, le aziende di solito adottano un approccio duplice. In primo luogo, analizzano le vulnerabilità comuni che possono influire sulle singole risorse. Successivamente, analizzano i loro ambienti unici per identificare la loro vulnerabilità agli attacchi altamente personalizzati.

I test di vulnerabilità dovrebbero essere un processo proattivo. Le aziende dovrebbero sviluppare procedure per eseguire periodicamente test di vulnerabilità come parte del ciclo di vita dello sviluppo dell'applicazione e, in particolare, durante la progettazione e la distribuzione di nuove applicazioni. Ad esempio, quando si distribuiscono applicazioni basate sul Web, un'azienda potrebbe utilizzare scanner automatici per identificare le vulnerabilità comuni. Diversi studi recenti hanno dimostrato che più tardi nel ciclo di vita dell'applicazione viene scoperto un errore, più costoso sarà rimediare. Identificare eventuali punti deboli durante lo sviluppo dell'applicazione facilita la correzione dei difetti prima della distribuzione.
Le best practice dettano l'uso di molte tecniche di scansione delle vulnerabilità. Ad esempio, gli strumenti di scansione automatici possono identificare i punti deboli, mentre i test di penetrazione (talvolta chiamati attacchi etici) possono simulare i percorsi che un utente malintenzionato potrebbe utilizzare e dimostrare il potenziale di accesso non autorizzato.

.
Scansione automatica

Strumenti Gli strumenti di scansione Asset eseguono il polling di un ambiente IT aziendale a intervalli regolari, controllando le informazioni di configurazione di ciascun asset su un database di vulnerabilità note. Riferiscono incoerenze in un dato momento e forniscono dettagli sull'area di interesse identificata, incluse le potenziali conseguenze di una violazione della sicurezza relativa alla vulnerabilità e le misure per correggerla o ridurla al minimo.
Poiché i reparti IT di tutto il mondo scoprono ogni giorno nuove vulnerabilità, i fornitori di scanningtool devono continuamente aggiornare i propri prodotti affinché rimangano efficaci. Molti fornitori forniscono un servizio di aggiornamento automatico per questo scopo. Allo stesso modo, le organizzazioni devono eseguire scansioni regolarmente per rilevare i cambiamenti nei loro ambienti.
Esistono due tipi di strumenti di scansione delle vulnerabilità. Gli strumenti basati sulla rete sono applicazioni che possono sondare una o più risorse sulla rete locale da una posizione di monitoraggio centralizzata. I prodotti basati su host, d'altra parte, vengono installati ed eseguiti direttamente sul server o su un'altra risorsa da monitorare. Gli strumenti basati sulla rete sono i più utilizzati nelle organizzazioni; tuttavia, gli strumenti basati su host hanno generalmente la capacità di fornire valutazioni più dettagliate e approfondite perché possono sondare la risorsa in modo più approfondito.
Altri fattori influenzano anche la selezione di uno strumento di scansione delle vulnerabilità, compresa la qualità e la completezza del suo database di vulnerabilità e la frequenza e facilità con cui può essere aggiornato. Le funzionalità di reporting variano anche tra i prodotti. Le piccole organizzazioni potrebbero essere soddisfatte con i report basati sul Web. Le organizzazioni più grandi potrebbero richiedere l'integrazione con i sistemi di correlazione degli eventi o di trouble-ticketing. Per gli ambienti in cui i sistemi devono essere operativi 24 ore su 24, nel qual caso non ci saranno tempi di inattività in cui pianificare le scansioni, anche le prestazioni dello strumento di scansione sono una considerazione. (In questi casi, l'organizzazione potrebbe aver bisogno di test approfonditi di potenziali scanner in un ambiente di laboratorio).
Poche organizzazioni scopriranno che un singolo strumento soddisfa tutte le loro esigenze. Ad esempio, è improbabile che lo stesso strumento sia appropriato per la scansione di applicazioni Web e database. Inoltre, alcune organizzazioni scelgono di scansionare la stessa tecnologia utilizzando più prodotti (ad esempio due scanner di rete) per raccogliere più dati, nella speranza di ottenere un'analisi più completa dei loro ambienti.
La scansione delle vulnerabilità non è infallibile. Una limitazione è che uno strumento è buono solo come il suo database di vulnerabilità. Se un'azienda utilizza una versione precedente di uno strumento o se il fornitore mantiene lo strumento in modo insufficiente, potrebbe non verificare tutte le vulnerabilità più recenti.

Un'altra limitazione degli strumenti di scansione è che il modo in cui operano a volte produce risultati indesiderati o indesiderati, ad esempio il processo di scansione potrebbe causare un arresto anomalo del sistema.
Il numero di fornitori, i numeri di versione, le impostazioni e le configurazioni personalizzate disponibili per i dipartimenti IT si traducono letteralmente in migliaia di tipi di sistemi. Sebbene la maggior parte degli strumenti di scansione delle vulnerabilità siano progettati per causare il minor numero possibile di interruzioni dei sistemi, nessuno strumento è garantito che sia completamente privo di problemi.
Infine, i risultati restituiti da questi strumenti sono a volte così voluminosi che gli amministratori non sono in grado di identificare e risolvere correttamente le vere vulnerabilità. Gli strumenti possono anche produrre falsi positivi a causa di criteri scadenti utilizzati durante il controllo delle vulnerabilità. L'unico modo per risolvere queste carenze è personalizzare i criteri di test, disabilitare i test che sono noti per essere irrilevanti o inappropriati in un determinato ambiente e ricontrollare manualmente le vulnerabilità identificate. Ad esempio, le organizzazioni possono scegliere di non testare i loro sistemi per la vulnerabilità agli attacchi DoS perché non vogliono rischiare che i loro sistemi diventino non disponibili sotto il carico imposto dal test. Allo stesso modo, la scansione di alcune vulnerabilità potrebbe provocare un arresto anomalo del sistema, nel qual caso anche la scansione particolare dovrebbe essere disabilitata.

Test di penetrazione di sicurezza

Un altro modo per identificare le vulnerabilità che sono più complesse è attraverso il processo manuale noto come test di penetrazione o hacking etico. In generale, i test di penetrazione della sicurezza cercano di simulare un attacco utilizzando gli stessi strumenti e le stesse tecniche che un utente non autorizzato impiegherebbe. Per questo motivo, il test di penetrazione è più completo rispetto alla scansione di vulnerabilità.
I risultati di un test di penetrazione sono in genere più concreti rispetto a quelli prodotti dalla scansione delle vulnerabilità. I test di penetrazione non solo identificano potenziali vulnerabilità, ma confermano anche la loro esistenza e dimostrano l'effetto che potrebbero avere sull'azienda. Ad esempio, un tipico test di penetrazione attraverso un sistema potrebbe rivelare uno dei seguenti exploit:

• Ottenuto l'accesso agli account amministrativi su 25 dei 30 sistemi.

• Manipolato l'applicazione Web per modificare il prezzo dei farmaci e acquistarli con uno sconto.

• Era in grado di accedere e leggere l'e-mail del CEO.

• È stato in grado di spegnere la linea di assemblaggio del produttore dell'auto.

Alcune aziende stabiliscono intervalli di tempo per i test per determinare quanti danni un hacker potrebbe fare in un determinato periodo, ad esempio una settimana. Altre aziende hanno obiettivi specifici o tipi di attacco che vogliono testare. Ad esempio, i metodi di test di penetrazione sono particolarmente efficaci nel testare la resistenza di un'organizzazione agli attacchi che utilizzano l'ingegneria sociale, che è la tecnica di sovvertire i controlli tecnici attraverso l'interazione umana, come indurre un dipendente a rivelare una password sensibile.
A livello di base, le fasi di un test di penetrazione comprendono la valutazione delle minacce, il test del sondaggio, l'intrusione e la valutazione dell'esposizione.

Valutazione della minaccia.

Durante questa fase, le organizzazioni determinano quali minacce esistono e quali vogliono modellare nel corso del loro test di penetrazione. Ad esempio, il test modellerà la minaccia di un hacker esterno che desidera intromettersi? O modellerà la minaccia di azioni non autorizzate eseguite da uno sviluppatore di applicazioni non autorizzati all'interno dell'organizzazione?

Test dell'indagine.

Successivamente, l'azienda deve valutare l'ambiente tecnico per identificare le vulnerabilità che potrebbero essere sfruttate. Gli scanner di vulnerabilità svolgono qui un ruolo importante, così come altre tecniche, come il rilevamento dei siti web degli hacker per ottenere informazioni sugli exploit attuali.

Intrusione.

Avendo raccolto l'intelligenza necessaria, i tester possono iniziare l'effettivo tentativo di sfruttare le potenziali vulnerabilità identificate nel passaggio precedente. Entrambi gli strumenti automatici e le tecniche manuali potrebbero entrare in gioco mentre i tester tentano di raggiungere la minaccia modellata durante il processo di valutazione delle minacce.

Valutazione dell'esposizione.

Dopo il tentativo di intrusione, i tester compilano, analizzano e comunicano attentamente i risultati dei loro test alla direzione. L'obiettivo dovrebbe essere quello di fornire più di un voto pass / fail per ogni test eseguito. Dovrebbe essere fatta la gestione per capire quali vulnerabilità e strumenti di exploit sono stati usati, quanto savvy dovrebbe essere un utente non autorizzato a duplicare questi eventi e come la società potrebbe risolvere i problemi per prevenire attacchi simili. Queste raccomandazioni potrebbero essere focalizzate (ad esempio, "installare una determinata patch su macchine che eseguono un particolare sistema operativo") o potrebbero essere più strategiche ("sviluppare un processo di gestione più robusto per gli aggiornamenti software").
Come per tutte le attività di sicurezza, il test di penetrazione non dovrebbe essere un evento occasionale. Le aziende dovrebbero eseguire periodicamente test, soprattutto se l'ambiente tecnico sta cambiando rapidamente. Ogni nuovo sistema o applicazione implementata ha il potenziale per introdurre nuove vulnerabilità.
Infine, le organizzazioni che eseguono test di penetrazione della sicurezza devono considerare i rischi aggiuntivi associati. Innanzitutto, poiché le organizzazioni spesso assumono uno specialista esterno per condurre i test, introducono il rischio di rivelare vulnerabilità di rete a entità esterne. Un dipendente senza scrupoli della società di test, ad esempio, potrebbe utilizzare le informazioni raccolte durante i test per accedere successivamente ai sistemi dell'organizzazione. Un altro rischio introdotto dai test di penetrazione è la possibilità che il test possa danneggiare le applicazioni o influire sulla disponibilità dei sistemi a causa di effetti collaterali indesiderati come un riavvio o un guasto del sistema.

Valutazioni di sicurezza complete

Mentre un team di test di penetrazione può identificare e sfruttare una singola vulnerabilità su un determinato server, potrebbe trascurare ancora altre vulnerabilità. Allo stesso modo, mentre il software di scansione delle vulnerabilità rivelerebbe una vulnerabilità di overflow del buffer sul server, ignorerebbe un criterio password inadeguato che consente agli utenti di selezionare password vuote. Quando un'azienda desidera un'analisi più completa, può scegliere di avviare una valutazione completa della sicurezza come complemento di questi strumenti.
Piuttosto che simulare direttamente un tentativo di accesso non autorizzato, una valutazione della sicurezza prende una visione olistica dell'ambiente, includendo tutto, dai controlli tecnici ai processi aziendali, e tenta di identificare l'intero ambito delle vulnerabilità. Ad esempio, una valutazione dei controlli tecnici di sicurezza potrebbe  confrontare i file di configurazione e le impostazioni di sistema sulle risorse specificate con le best practice del settore. Per le valutazioni di rete, le organizzazioni potrebbero anche esaminare i diagrammi di rete per arricchire la loro comprensione dell'ambiente.
Le valutazioni dei processi aziendali sono simili alle valutazioni sulla sicurezza e sui controlli, sebbene in questo caso l'attenzione non si concentri sulle tecnologie. Laddove una valutazione di sicurezza e controlli possa coprire la politica di password di un sistema, una valutazione del processo aziendale rivelerebbe il fatto che una singola persona può sia approvare i pagamenti ai fornitori e scrivere i controlli. In senso lato, tali processi sono vulnerabilità tanto quanto debolezze nei controlli tecnici, in quanto rappresentano un rischio per l'azienda.
Altre vulnerabilità potrebbero essere il risultato diretto dell'ambiente fisico dell'azienda. È una massima delle procedure di sicurezza dei dati che, se un intruso può ottenere l'accesso fisico a un server, quel server non può essere considerato sicuro. Allo stesso modo, molti altri fattori ambientali possono introdurre rischi, indipendentemente da considerazioni tecnologiche:

• Accesso fisico alle risorse di utilità (gas o energia elettrica)

• Accesso fisico ai prodotti di un'azienda

• Ubicazione dei dipendenti della società

• Porte tagliafuoco che non soddisfano i regolamenti del codice

• Controlli di accesso circoscritti (una porta blindata aperta)

• Guardie di sicurezza non in servizio quando previsto

Come parte di una valutazione di sicurezza completa, è necessario stabilire procedure per riesaminare periodicamente i controlli fisici di un'azienda e determinare se sono presenti eventuali vulnerabilità.

Valutazione dello sviluppo dell'applicazione

Un ultimo elemento di una valutazione della vulnerabilità riguarda i processi di sviluppo delle applicazioni di un'azienda. Ogni volta che le aziende progettano, testano e distribuiscono le applicazioni, devono valutare continuamente il prodotto per le vulnerabilità Durante l'analisi dei requisiti dell'applicazione, il punto in cui le organizzazioni determinano quali funzionalità deve avere l'applicazione, i tecnici devono anche identificare e documentare i requisiti di sicurezza e controllo. Ad esempio, se l'applicazione faciliterà transazioni finanziarie di alto valore per le istituzioni, la crittografia dei dati end-to-end di tutte le trasmissioni potrebbe essere un requisito di controllo cruciale.
Una volta che il progetto è entrato nella fase di progettazione, gli sviluppatori devono costruire questi requisiti di sicurezza e controllo nella progettazione e nell'architettura dell'applicazione. Devono inoltre specificare eventuali prodotti di terze parti (ad esempio, librerie di codici per la crittografia dei dati) che saranno necessari per completare il progetto. Gli ingegneri devono quindi implementare il software di crittografia durante la fase di sviluppo, nonché sviluppare procedure di gestione delle chiavi e qualsiasi altro requisito funzionale necessario.
Sono necessari buoni standard di codifica delle applicazioni. Molte vulnerabilità delle applicazioni sono il risultato di tecniche di codifica scadenti, come il mancato validare l'input dell'utente prima di agire su di esso. Le organizzazioni dovrebbero riflettere sulla stesura di standard di codifica sicuri e sull'applicazione del rispetto degli sviluppatori prima di intraprendere qualsiasi progetto di sviluppo dell'applicazione. Gli ingegneri verificheranno la funzionalità dell'applicazione durante la fase di test di sviluppo, ma un'impresa attenta alla sicurezza dovrebbe incoraggiare anche il collaudo simultaneo dei controlli di sicurezza. Questa fase di codifica è il momento ideale per iniziare il processo di scansione delle vulnerabilità, oltre alle normali revisioni del codice per verificare la conformità con gli standard di codifica sicura.
Prima della distribuzione, gli sviluppatori dovrebbero essere tenuti a fornire non solo il codice dell'applicazione stesso, ma anche a implementare e documentare tutti i controlli e le procedure di sicurezza raccomandati. Ad esempio, se uno dei controlli di sicurezza dell'applicazione è una password, occorre documentare il processo di risoluzione delle password dimenticate come risultato tecnico.
Facilitare l'integrazione della sicurezza nel ciclo di vita dello sviluppo dell'applicazione non è sempre un compito facile, spingendo molte organizzazioni a creare il ruolo di un architetto della sicurezza delle applicazioni. Queste persone collaborano con i team di sviluppo delle applicazioni per lavorare in ogni fase del ciclo di vita del progetto e garantire che le applicazioni siano progettate, sviluppate e distribuite in modo sicuro.
Gestione delle informazioni sulle vulnerabilità Prima di iniziare le attività di scansione e valutazione delle vulnerabilità, le aziende devono considerare cosa succede alle informazioni scoperte. L'ovvia preoccupazione è come agire su tali informazioni per rimediare alle vulnerabilità. Tuttavia, un'altra considerazione importante è il controllo dell'accesso a queste informazioni sensibili.
Idealmente, le organizzazioni avranno già stabilito standard di classificazione dei dati e requisiti di controllo associati che possono essere applicati alle informazioni sulla sicurezza dei dati. Ad esempio, tutti i dati che potrebbero causare gravi danni alla società se divulgati a persone non autorizzate dovrebbero essere classificati come riservati. Le copie elettroniche di tali rapporti devono essere crittografate, protette da password o comunque soggette a controlli tecnici, mentre le copie cartacee devono essere triturati prima dello smaltimento e così via.

ANALISI DELLA DISPONIBILITÀ OPERATIVA

Un altro componente importante del rilevamento delle vulnerabilità è l'analisi della disponibilità delle operazioni, il processo di mantenimento della resilienza operativa dei sistemi di un'azienda e la garanzia che i sistemi rimangano disponibili e possano essere facilmente recuperati in caso di fermo macchina non programmato. La concorrenza globale e le comunicazioni quasi istantanee sono solo due dei fattori per cui la disponibilità è così importante per l'odierna impresa moderna. Mentre una vera economia globale di 24 ore potrebbe non essere ancora la realtà, la massima disponibilità è sempre più importante per un numero crescente di aziende. I candidati tipici per la progettazione di sistemi ad alta disponibilità includono:

• Reti: connessione a provider di servizi Internet (ISP), LAN e WAN.

• Server delle applicazioni: distribuzione di server farm per distribuire l'elaborazione tra diversi server delle applicazioni.

• Server Web: memorizzazione nella cache o bilanciamento del carico di richieste HTTP (Hypertext Transfer Protocol) frontali o HTTPS o distribuzione su server farm.

• Database: raggruppamento, replica e distribuzione di archivi dati.

Qualsiasi numero di fattori può avere un impatto negativo sulla disponibilità dei sistemi aziendali. Una cattiva gestione delle risorse, procedure operative inadeguate e persino disastri naturali possono far cadere intere reti. Allo stesso modo, un incidente di sicurezza imprevisto può avere conseguenze disastrose per le applicazioni di oggi sempre attive.

Gli ingegneri verificheranno la funzionalità dell'applicazione durante la fase di test dello sviluppo, ma un'impresa attenta alla sicurezza dovrebbe anche incoraggiare la verifica simultanea dei controlli di sicurezza. Questa fase di codifica è il momento ideale per iniziare il processo di scansione delle vulnerabilità, oltre alle normali revisioni del codice per verificare la conformità con gli standard di codifica sicura.
Prima della distribuzione, gli sviluppatori dovrebbero essere tenuti a fornire non solo il codice dell'applicazione stesso, ma anche a implementare e documentare tutti i controlli e le procedure di sicurezza raccomandati. Ad esempio, se uno dei controlli di sicurezza dell'applicazione è una password, occorre documentare il processo di risoluzione delle password dimenticate come risultato tecnico.
Facilitare l'integrazione della sicurezza nel ciclo di vita dello sviluppo dell'applicazione non è sempre un compito facile, spingendo molte organizzazioni a creare il ruolo di un architetto della sicurezza delle applicazioni. Queste persone collaborano con i team di sviluppo delle applicazioni per lavorare in ogni fase del ciclo di vita del progetto e garantire che le applicazioni siano progettate, sviluppate e distribuite in modo sicuro.
Gestione delle informazioni sulle vulnerabilità Prima di iniziare le attività di scansione e valutazione delle vulnerabilità, le aziende devono considerare cosa succede alle informazioni scoperte. L'ovvia preoccupazione è come agire su tali informazioni per rimediare alle vulnerabilità. Tuttavia, un'altra considerazione importante è il controllo dell'accesso a queste informazioni sensibili.
Idealmente, le organizzazioni avranno già stabilito standard di classificazione dei dati e requisiti di controllo associati che possono essere applicati alle informazioni sulla sicurezza dei dati. Ad esempio, tutti i dati che potrebbero causare gravi danni alla società se divulgati a persone non autorizzate dovrebbero essere classificati come riservati. Le copie elettroniche di tali rapporti devono essere crittografate, protette da password o comunque soggette a controlli tecnici, mentre le copie cartacee devono essere triturati prima dello smaltimento e così via.

ANALISI DELLA DISPONIBILITÀ OPERATIVA

Un altro componente importante del rilevamento delle vulnerabilità è l'analisi della disponibilità delle operazioni, il processo di mantenimento della resilienza operativa dei sistemi di un'azienda e la garanzia che i sistemi rimangano disponibili e possano essere facilmente recuperati in caso di fermo macchina non programmato. La concorrenza globale e le comunicazioni quasi istantanee sono solo due dei fattori per cui la disponibilità è così importante per l'odierna impresa moderna. Mentre una vera economia globale di 24 ore potrebbe non essere ancora la realtà, la massima disponibilità è sempre più importante per un numero crescente di aziende. I candidati tipici per la progettazione di sistemi ad alta disponibilità includono:

• Reti: connessione a provider di servizi Internet (ISP), LAN e WAN.

• Server delle applicazioni: distribuzione di server farm per distribuire l'elaborazione tra diversi server delle applicazioni.

• Server Web: memorizzazione nella cache o bilanciamento del carico di richieste HTTP (Hypertext Transfer Protocol) frontali o HTTPS o distribuzione su server farm.

• Database: raggruppamento, replica e distribuzione di archivi dati.
Qualsiasi numero di fattori può avere un impatto negativo sulla disponibilità dei sistemi aziendali. Una cattiva gestione delle risorse, procedure operative inadeguate e persino disastri naturali possono far cadere intere reti. Allo stesso modo, un incidente di sicurezza imprevisto può avere conseguenze disastrose per le applicazioni di oggi sempre attive.

La disponibilità delle operazioni può essere vista come un modello di processo a ombrello che include numerose aree e sistemi di messa a fuoco, quali: • I motori del flusso di lavoro

• Modellazione dei processi aziendali

• Ambienti di rete

• Sistemi operativi

• Server delle applicazioni

• Server Web

• Call center

• Ambienti di pianificazione delle risorse aziendali (ERP) / gestione delle relazioni con i clienti (CRM) / portale

• Sistemi mainframe / legacy

• Telecomunicazioni / sistemi telefonici

• Sviluppo di applicazioni personalizzate

• Sistemi e-mail / groupware

Unione di gestione dei sistemi aziendali e gestione della sicurezza

In passato, la gestione della sicurezza della tecnologia aziendale è stata spesso considerata una disciplina unica che richiede le proprie tecnologie e processi. Questo punto di vista ha iniziato a cambiare mentre il World Wide Web e Internet si sono integrati nelle attività commerciali di tutti i giorni, e ora la linea tra ESM tradizionale e gestione della sicurezza si sta offuscando. Queste due operazioni hanno iniziato a ricadere in un ruolo più ampio di operazioni IT, di cui le operazioni di sicurezza rappresentano solo un obiettivo. La grande organizzazione aziendale odierna richiede un quadro ESM globale per gestire efficacemente i sistemi ei processi aziendali e le operazioni di sicurezza della tecnologia sono diventate una componente importante di tale struttura.
L'attenzione dei sistemi ESM tradizionali è stata la gestione delle prestazioni e la disponibilità di sistemi primari, reti e applicazioni. Ma negli ultimi tre o quattro anni, l'ESM si è evoluto dalla gestione dell'ambiente a livello di infrastruttura a una visione più olistica dell'organizzazione. Invece di gestire risorse tecnologiche specifiche, l'obiettivo è gestire i processi aziendali in modo più efficace.
Ad esempio, supponiamo che un router o un server applicazioni importanti non siano disponibili. È uno scenario di crisi? È abbastanza critico che i membri del personale IT dovrebbero essere chiamati alle 3:00 per riparare il sistema? La risposta dipende dalla progettazione dell'ambiente IT. Se l'infrastruttura di gestione di un'azienda non è in grado di fornire una comprensione solida e attuale dell'effetto downstream di un'interruzione, il management superiore potrebbe non essere in grado di prendere la decisione giusta. Una vista dell'impatto di un'interruzione dal punto di vista dei processi aziendali può aiutare a meglio informare le decisioni su come gestire i problemi man mano che si presentano.
Lo stesso vale per le soluzioni di monitoraggio della sicurezza. Inizialmente concepita, questa categoria si concentrava sulla gestione di componenti dell'infrastruttura quali firewall, IDS, autorizzazioni del sistema operativo e monitoraggio della vulnerabilità a livello di applicazione minimo. Oggi, le soluzioni di monitoraggio della sicurezza e di monitoraggio dei sistemi aziendali stanno convergendo per fornire un'unica infrastruttura di gestione consolidata.

La gestione della disponibilità delle applicazioni per soddisfare i requisiti generali di scalabilità o alta disponibilità è solitamente il dominio del gruppo ESM, piuttosto che dell'organizzazione della sicurezza. I problemi generali di prestazioni o interruzioni di servizio rimangono di competenza dei vari team di infrastruttura (rete, sistema operativo, server delle applicazioni, server Web, hosting) che supportano l'ambiente aziendale. Gli architetti di sicurezza sono principalmente coinvolti nelle fasi di ingegnerizzazione e implementazione dello sviluppo di applicazioni. Il personale di sicurezza dovrebbe essere coinvolto, tuttavia, se un'applicazione diventa non disponibile a causa di un attacco DoS o di un'epidemia di virus o per identificare una patch del sistema operativo che chiuderà le porte a una vulnerabilità potenzialmente paralizzante.

Ripristino di emergenza

Il disaster recovery è una parte cruciale dell'analisi della disponibilità delle operazioni. Le misure di ripristino di emergenza sono progettate per guidare le operazioni IT dell'azienda durante il processo di recupero in seguito a un incidente grave. Tipi di incidenti includono incendi, disastri naturali, terrorismo, atti illeciti, incidenti o altri rischi specifici per un settore. I piani per il ripristino di emergenza dovrebbero far parte di piani di ripristino e continuità di business più grandi che garantiscono che i processi aziendali critici siano operativi a seguito di un disastro. I piani dovrebbero essere sviluppati per affrontare scenari a breve, medio e lungo termine, che vanno da poche ore di interruzione del servizio a diversi mesi di indisponibilità.
Le organizzazioni devono identificare i rischi o l'impatto di ciascun tipo di disastro per la continuità operativa e le operazioni e dare la priorità ai loro sforzi di ripristino di emergenza basati su quelli che più probabilmente avranno un impatto sui processi di core business. Successivamente, l'azienda dovrebbe determinare livelli accettabili di tempi di inattività basati sul livello accettabile di rischio relativo ai processi di core business. Queste stime guideranno le politiche e le procedure che regolano le operazioni IT (come la frequenza dei backup), nonché gli investimenti in persone, processi e tecnologie per garantire il ripristino delle operazioni entro i tempi previsti. Infine, le organizzazioni dovrebbero sviluppare piani appropriati per affrontare questi rischi e sviluppare piani di emergenza nel caso in cui si verifichi un particolare incidente o una serie di incidenti.

Piano di recupero di emergenza.

I piani per il ripristino di emergenza dovrebbero includere il trasferimento di persone, apparecchiature e dati in un centro operativo remoto adatto. Il centro remoto deve disporre di attrezzature, forniture e capacità adeguate per gestire l' infrastruttura a supporto dei processi aziendali critici. Dovrebbero essere disponibili libri, manuali e istruzioni operative e il personale deve essere formato sugli strumenti e sulle procedure necessari per ripristinare le operazioni (ad esempio, backup e ripristino dei dati, archiviazione e recupero).
Il piano di disaster recovery deve essere rivisto, aggiornato e testato regolarmente per garantire che sia fattibile e utilizzabile quando necessario. Le organizzazioni devono anche divulgare politiche e procedure per il recupero di disastri ai dipendenti a tutti i livelli; identificare e formare personale appropriato per coordinare, gestire ed eseguire il piano di recupero; e coordinarsi con le organizzazioni governative e governative per garantire una gestione ordinata e regolare della situazione.

Supporto. Il tempo è un componente cruciale durante un evento di risposta agli incidenti. Se il team investigativo non può avere accesso immediato a sistemi o reti essenziali, questo ritardo esaspera le dimensioni e la gravità di un incidente. Non solo l'accesso è importante, ma sono anche necessarie risorse sufficienti per indagare adeguatamente su un incidente. Un'organizzazione deve disporre di un team di supporto tecnico in grado di fornire accesso e risorse per contribuire a sostenere lo sforzo complessivo di risposta agli incidenti. Il team di supporto tecnico può effettuare o interrompere uno sforzo. Se un'organizzazione utilizza il supporto esterno, non è ragionevole aspettarsi che il supporto esterno abbia piena conoscenza dell'ambiente e abbia con sé tutti gli strumenti necessari per completare il lavoro.
Recupero degli incidenti L'obiettivo principale della fase di recupero è restituire le macchine compromesse a uno stato operativo sicuro nel modo più efficiente possibile. La fase di recupero consente agli utenti di valutare quali danni si sono verificati, quali informazioni sono state perse e quale è lo stato del post-blocco del sistema. Coloro che non sono sicuri del livello di recupero necessario dovrebbero sbagliare sul lato della cautela.
Tutte le macchine compromesse richiedono il recupero. Il recupero dovrebbe corrispondere al livello di compromesso. Nel caso di account condivisi e password sniffate in cui non si sono mai verificati ulteriori compromessi, una semplice modifica della password dovrebbe essere un recupero adeguato. Alcuni incidenti potrebbero richiedere una ricostruzione da CD-ROM o da un media affidabile.
Il recupero effettivo dovrebbe avvenire offline quando possibile. Se la macchina è essenziale per le operazioni, l'organizzazione deve considerare una sostituzione temporanea mentre l'host viene ricostruito e protetto. Se è necessario ricreare più macchine, devono essere tutte messe offline contemporaneamente e quindi riconnesse quando sono protette. I membri del team di risposta agli incidenti dovrebbero fornire indicazioni durante il recupero, ma i custodi delle informazioni dovrebbero eseguire la ricostruzione e la messa in sicurezza dei sistemi.
Dopo che tutte le valutazioni e le azioni investigative sono state completate, il responsabile della risposta agli incidenti fornirà una guida al custode delle informazioni responsabile del recupero. Il custode delle informazioni è responsabile del ripristino dei sistemi interessati.

 

Il custode delle informazioni dovrebbe inoltrare le azioni di risposta e recupero al responsabile della risposta agli incidenti per il tracciamento. L'organizzazione dovrebbe garantire come minimo che tutte le macchine compromesse (ovvero qualsiasi macchina che condivide un segmento di rete con la macchina compromessa) siano identificate e documentate; che la ripresa corrisponde al livello di compromesso; che le azioni di recupero avvengano offline, se possibile; e che tutte le vulnerabilità siano corrette.
Valutazione dell'incidente e riflessione Un post-morte è una riunione dopo la risoluzione dell'incidente. Lo scopo dell'incontro è quello di discutere le lezioni apprese e i miglioramenti che è possibile apportare per risolvere meglio un evento simile in futuro. Entro due settimane dalla risoluzione di ogni incidente di sicurezza del computer o attacco simulato (livello di gravità 1 e 2), è necessario tenere una post-morte. Durante questo incontro, dovrebbero essere annotati elementi di azione distinti e dovrebbe essere sviluppato un rapporto di follow-up delle azioni intraprese e della chiusura raggiunta. Il responsabile del team di risposta agli incidenti è responsabile di:

• Pianificazione e conduzione della riunione post-mortem

• Documentare le lezioni apprese e gli elementi di azione

• Tracciamento e chiusura degli elementi di azione

• Sviluppo del report finale, incluse le azioni intraprese

La sessione post-mortem dovrebbe concentrarsi su ciò che ha funzionato e su cosa non ha funzionato durante il processo di risposta agli incidenti, e la sessione post-mortem dovrebbe includere tutti i partecipanti che hanno lavorato all'incidente. Questa sessione non richiede una riunione faccia a faccia; potrebbe essere gestito via telefono o e-mail. Il responsabile della risposta agli incidenti dovrebbe avere l'approvazione finale su eventuali modifiche al processo di risposta agli incidenti. Se è richiesta una relazione sulla gestione dell'incidente, dovrebbe includere le lezioni apprese e gli elementi di azione da questa sessione post-mortem.
Test del piano di risposta agli incidenti Il test del piano di risposta agli incidenti è un compito difficile, che richiede di testare un processo volto a reagire all'inaspettato. Ciononostante, dovrebbe essere sviluppato un programma per test periodici del processo SIRT che dovrebbe tenere conto di quanto segue:

• I test di frequenza dovrebbero essere effettuati ogni anno, ma è preferibile effettuare una semestrale.

• Modifiche dell'infrastruttura: devono essere prese in considerazione le principali modifiche relative alla struttura o all'infrastruttura dell'organizzazione (ad esempio, una fusione o uno spostamento divisionale dai sistemi Windows NT ai sistemi Windows 2000).

• Scenari diversi: ogni test deve includere diversi scenari di attacco (ad esempio, un attacco DoS, un furto di informazioni privilegiate di proprietà intellettuale o un insider che esamina la rete di un'altra organizzazione).

• Varietà dei tempi di prova: i test dovrebbero avvenire in diversi momenti del giorno, della settimana e del mese (ad esempio, alcuni durante la notte, alcuni nei fine settimana, altri durante l'orario lavorativo).

• Procedure di segnalazione: testare le procedure di segnalazione delle informazioni alla SIRT.

• Comunicazione: il programma di test dovrebbe anche valutare l'efficacia e la tempestività della comunicazione e del coordinamento delle informazioni tra i ruoli SIRT e le organizzazioni interne.

TECNOLOGIE DI RISPOSTA INCIDENTE

Gli strumenti di sicurezza possono variare da piccole e semplici utility freeware a suite di sicurezza professionali complete progettate per risolvere tutti i tipi di problemi di sicurezza. Questo vasto numero di strumenti complica la selezione del professionista della risposta agli incidenti degli strumenti giusti per ogni problema di sicurezza.
Gli strumenti di sicurezza sono essenziali per un'organizzazione. Nella maggior parte dei casi, eseguire le attività di sicurezza manualmente sarebbe impossibile. Gli strumenti consentono all'amministratore della sicurezza di valutare e rilevare attività nocive che l'occhio umano non sarebbe in grado di vedere. Alcuni degli strumenti più comuni includono scanner, IDS e strumenti forensi.

scanner

Gli scanner sono strumenti che scansionano automaticamente una serie di indirizzi IP (scanner basati su IP), file di registro (scanner basati su host), script CGI (Common Gateway Interface) (scanner CGI), numeri di telefono (scanner telefonici) o le onde radio (scanner wireless). La maggior parte degli scanner funziona come un port scanner e identifica porte aperte e servizi in esecuzione. Alcuni scanner funzionano anche come scanner di vulnerabilità e hanno la capacità di eseguire numerosi test volti a rilevare vulnerabilità note.
Scanner basati su IP. Uno scanner basato su IP visualizza la rete dal punto di vista di un utente malintenzionato. Lo scanner può essere utilizzato per scoprire sistemi e servizi, identificare le vulnerabilità che potrebbero essere sfruttate e raccomandare azioni correttive. Durante la risposta agli incidenti, questi scanner sono utilizzati per determinare se sono state introdotte tecnologie canaglia nella rete o se sono stati abilitati servizi su sistemi esistenti.

Scanner basati su host.

Uno scanner basato su host rivede il sistema operativo e le applicazioni host per le vulnerabilità che potrebbero essere sfruttate e le confronta con una politica di sicurezza del sistema prestabilita per non conformità. La maggior parte degli scanner basati su host richiede l'installazione di software sul sistema o l'installazione di un agente (software in esecuzione come servizio). Alcuni nuovi prodotti per scanner basati su host hanno rimosso questo requisito.

Gli investigatori di risposta agli incidenti utilizzano uno scanner basato su host per identificare eventuali cambiamenti in un sistema. Gli intrusi normalmente modificano le impostazioni di configurazione del sistema e creano una backdoor o abilitano una funzione non autorizzata.

Scanner CGI.

Alcuni siti Web utilizzano l'interfaccia di programmazione dell'applicazione CGI per richiamare programmi chiamati script CGI. Gli scanner CGI valutano gli script CGI per vulnerabilità note.

Scanner del telefono.

Gli scanner dei telefoni (noti anche come dialer di guerra) compongono una serie di numeri di telefono, si collegano alle linee telefoniche e controllano per determinare cosa risponde all'altra estremità (ad esempio, una linea vocale standard, un modem o un fax). Una volta che lo scanner ha completato il suo compito, può fornire una relazione che illustri i tipi di portatori all'altro capo. Se il war dialer scopre un modem, un hacker intelligente può tentare di sfondare e accedere alla rete dell'organizzazione.

Scanner wireless.

Le applicazioni di scanner wireless forniscono rilevazioni automatizzate e analisi di sicurezza delle reti wireless 802.11. Gli scanner scoprono punti di accesso e singoli dispositivi client. Un individuo può facilmente inserire una scheda di rete wireless in un computer portatile e camminare o guidare intorno alla scoperta di punti di accesso. Questa tecnica è diventata comune ed è più nota nell'underground degli hacker come guida alla guerra

Sistemi di rilevamento delle intrusioni

I sistemi di rilevamento delle intrusioni (IDS) costituiscono una parte significativa dell'infrastruttura di sicurezza informatica, allertando gli amministratori di intrusioni e attacchi mirati a computer o reti. Gli IDS possono essere basati su rete o su host.
Un ID basato su host monitora i registri degli eventi da più fonti per attività sospette. Un IDS basato su host si trova nella posizione migliore per rilevare l'uso improprio del computer da parte di utenti interni attendibili e da coloro che si sono infiltrati nella rete. Questi sistemi sono apprezzati dal personale addetto alla sicurezza perché operano quasi in tempo reale per rilevare attività non autorizzate.

Un IDS basato su rete controlla tutto il traffico di rete che passa sul segmento in cui è installato IDS. Un IDS basato sulla rete rivede ogni pacchetto IP per anomalie del protocollo o confronta i dati con un elenco di firme di attacco, identificando l'attività come minacciosa o non minacciosa. Questa tecnica è nota come IDS basato su firma. Se l'IDS identifica un attacco, il sistema invierà un avviso.

Miele

I vasi di miele sono sistemi progettati per sembrare interessanti per un potenziale intruso in modo che i professionisti della sicurezza possano monitorare chi sta sondando o attaccando le reti senza esporre il vero server agli estranei. I vasi di miele sono strumenti di sicurezza altamente flessibili che hanno diverse applicazioni. La funzione principale di un vaso di miele è raccogliere informazioni su potenziali intrusi. Un professionista raccoglie abbastanza informazioni su un potenziale aggressore e quindi implementa contromisure per impedire l'attività indesiderata.

ANALISI FORENSE

Una vasta gamma di strumenti hardware e software è disponibile per aiutare l'analisi forense degli incidenti di sicurezza. Molti di questi strumenti vengono utilizzati per acquisire informazioni che integreranno i dati prodotti da dispositivi di rete come IDS, firewall e dispositivi antivirus. Dopo l'analisi degli eventi o la correlazione, questi strumenti possono aiutare gli investigatori a stabilire esattamente cosa è successo durante un incidente.
Lo scopo principale di un esame forense è quello di acquisire prove utilizzando un processo che non solo mantiene l'integrità delle prove, ma aiuta anche a garantire l'ammissibilità in eventuali procedimenti giudiziari futuri. Tuttavia, gli strumenti forensi di oggi sono utili anche come dispositivo di raccolta di intelligence e di revisione post-incidente, consentendo agli investigatori di recuperare dati sovrascritti o cancellati e aiutano a rispondere alla domanda fondamentale: "Come è successo?"
I dispositivi di analisi forense hardware e software prevengono un target media (di solito un disco rigido) da essere scritti e quindi mantenere l'integrità probatoria dei dati. Gli strumenti hardware di scrittura bloccanti consentono un esame istantaneo o in tempo reale di un sistema da condurre, che è prezioso durante un incidente in corso e in corso.
La maggior parte degli strumenti viene fornita in bundle con pacchetti avanzati di data mining e analisi che consentono di esaminare le prove acquisite. Alcuni hanno anche funzionalità avanzate di analisi della timeline. Spesso, tuttavia, questi strumenti funzionano con una gamma limitata di piattaforme e tecnologie. Ciò significa che per alcune piattaforme meno comuni, sebbene i dati su un determinato disco rigido possano essere sottoposti a imaging forense, lo strumento forense potrebbe non supportare un'analisi utile. In tali casi, una copia dell'immagine forense dovrebbe essere utilizzata per ricreare l'ambiente originale, consentendo così un esame ammissibile di quel materiale.
Due tipi di analisi forense sono rete e sistema. Nella maggior parte delle situazioni di risposta agli incidenti, un'indagine di rete porterà a un'indagine forense del sistema.

Analisi forense di rete

L'analisi forense di rete è l'atto di indagare su un evento in cui un aggressore lancia un attacco da remoto e tenta di violare un sistema mentre maschera la sua vera identità. L'analisi forense della rete non è nuova per il campo della sicurezza, ma sono disponibili pochi strumenti e risorse per monitorare e tracciare le attività.

L'analisi forense della rete si basa molto sulla capacità di registrazione nativa dei dispositivi di rete. Se si verifica un attacco informatico o una violazione del sistema, il personale di sicurezza esamina prima le informazioni fornite dai log del firewall e del router. Questi registri possono aiutare lo sperimentatore a stabilire dove è stato lanciato un attacco. Una volta che un investigatore ottiene i registri, altri strumenti, tra cui nslookup, whois, ping, traceroute e analizzatori del traffico, possono aiutare ad ottenere ulteriori informazioni.

nslookup.

Il programma nslookup consente a un utente di immettere un nome host (ad esempio, pwc.com) e il programma restituisce l'indirizzo IP corrispondente. Gli utenti possono anche inserire un indirizzo IP, e nslookup scoprirà il nome host. Il comando nslookup è un programma nativo sulla maggior parte dei sistemi UNIX e Windows. Ad esempio, un utente può aprire una finestra di comando DOS, digitare nslookup pwc.com e ottenere informazioni.

chi è.

Il comando whois fornisce informazioni sul proprietario di qualsiasi nome di dominio di secondo livello. Questo comando richiederà un registrar di livello superiore, ad esempio Network Solutions (in vendita da VeriSign a Pivotal Private Equity in sospeso, a ottobre 2003), che conserva le informazioni di registrazione del dominio per i nomi di dominio com, net e org. Questo comando può essere eseguito inserendo (ad esempio) whois pwc.com e whois fornirà informazioni sul proprietario di quel nome di dominio di secondo livello.

ping.

L'utilità ping verifica che esista un determinato indirizzo IP e che un host che utilizza l'indirizzo IP possa accettare richieste. (Il verbo ping indica l'atto di utilizzare l'utilità o il comando ping.) L'utilità ping viene spesso utilizzata per scopi diagnostici, ma può anche essere utilizzata per rilevare sistemi e dispositivi di rete. È considerata una buona pratica filtrare o disabilitare la funzionalità ping, quindi il comando ping non è sempre un metodo affidabile per ottenere informazioni.

traceroute.

Il programma traceroute registra il percorso attraverso Internet tra un computer e un computer di destinazione specificato. Inoltre calcola e visualizza la quantità di tempo consumata da ciascun hop (da un sistema all'altro). Lo strumento traceroute è particolarmente utile per ottenere informazioni dettagliate sulla destinazione dell'aggressore.
Il programma traceroute è incluso nei sistemi operativi UNIX e Windows, tra gli altri. Sui sistemi operativi Windows, il programma ha il nome abbreviato di tracert.
Questi strumenti aiutano il personale della sicurezza a ottenere informazioni sulla destinazione dell'attacco, ma forniscono poche informazioni sul tipo di attacco che viene eseguito. Per questo tipo di informazioni, l'investigatore deve eseguire strumenti in grado di analizzare più a fondo i pacchetti di attacco.

Analizzatori di traffico.

Gli analizzatori di traffico (noti anche come sniffer) monitorano e analizzano il traffico di rete, consentendo allo sperimentatore di visualizzare le informazioni sui pacchetti per determinare cosa sta facendo il pacchetto. Utilizzando queste informazioni, un investigatore può determinare il tipo di attacco e implementare le contromisure.

Analizzatori di log.

I log di sistema sono una fonte primaria di informazioni di rete se la registrazione è stata abilitata e configurata correttamente. Molte indagini terminano perché erano disponibili informazioni insufficienti per andare avanti con le indagini.
Supponendo un'adeguata attivazione e configurazione della registrazione, l'investigatore successivo deve selezionare la grande quantità di informazioni e identificare con successo l'attacco. A questo punto, gli strumenti forniscono intuizioni che l'investigatore avrebbe difficoltà a rilevare senza assistenza.

Analisi forense di sistema

L'analisi forense del sistema è la scoperta, l'analisi e la ricostruzione di prove estratte da sistemi informatici, dispositivi di rete, supporti di memorizzazione e periferiche per computer che potrebbero consentire agli investigatori di risolvere il crimine. Le due parti principali del sistema di analisi forense sono l'acquisizione dei dati e l'analisi dei dati.

Acquisizione dei dati.

L'acquisizione dei dati può essere l'aspetto più impegnativo dell'analisi forense del sistema. Durante l'acquisizione di dati da un sistema, un investigatore deve raccogliere le informazioni in un modo che non altera in alcun modo i dati. Anche se questo compito sembra facile, nella pratica è estremamente difficile. Lo sperimentatore deve essere preparato a lavorare con tutti i tipi di hardware e software. Sistemi che vanno da mainframe, sistemi midrange, computer desktop, notebook e personal digital assistant (PDA) possono rendere l'acquisizione una sfida. Se una qualsiasi delle informazioni sul sistema originale viene modificata, l'intero caso può essere compromesso. Lo scopo principale di questo requisito è quello di offrire a terzi l'opportunità di ricreare un passo passo di un'indagine e trarre la stessa conclusione. Questo approccio garantisce che le prove non siano state alterate.

Analisi dei dati.

L'analisi dei dati può essere un processo lungo e noioso quando l'indagine copre una grande quantità di dati.

Dopo aver ottenuto una copia dell'immagine, l'investigatore dovrebbe sempre fare una copia di backup. I moderni strumenti forensi indicizzano i dati grezzi e creano collegamenti a file o frammenti di dati attualmente presenti sull'unità. A seconda della quantità di dati, questa procedura potrebbe richiedere diverse ore. Una volta completata la fase indice, le query future eseguiranno la ricerca nell'indice anziché nei dati non elaborati. Seguendo le ricerche di parole chiave, lo sperimentatore esaminerà prima ogni elemento restituito e quindi rivedrà file o frammenti di file di dati non testuali, costituiti da immagini grafiche, video, musica o file crittografati, ad esempio.
Sebbene gli strumenti forensi contribuiscano all'acquisizione e alla ricerca dei dati, la frase di analisi dipende ancora dagli investigatori per identificare eventuali irregolarità

INCIDENTI NON VALIDI

Dopo aver identificato e classificato un evento, un'organizzazione potrebbe decidere di non rispondere. Potrebbero mancare informazioni sull'incidente da fonti attendibili. Potrebbero comparire irregolarità o conflitti apparenti (ad esempio, un server Windows apparentemente compromesso da un exploit UNIX). In alternativa, l'attività in questione può essere considerata priva di valore, spingendo la società a scegliere di non avviare la procedura di risposta.
Anche se un'organizzazione non intraprende alcuna azione in risposta a un evento, tuttavia, i dati relativi all'incidente dovrebbero essere conservati per facilitare il consolidamento dell'attività di sicurezza e la reportistica di gestione. Inoltre, i dati su eventi apparentemente innocui potrebbero rivelarsi rilevanti nel valutare altri eventi. Visto individualmente, possono essere ignorati come incidenti non validi. Ma se presi insieme, questi eventi isolati potrebbero essere indicativi di un attacco più intenso o aggressivo. Correlando i dati provenienti da molte fonti, il personale di sicurezza potrebbe essere in grado di identificare gli incidenti di sicurezza più complessi che coinvolgono più sistemi in un periodo di tempo prolungato.

 

I team di gestione esecutiva richiedono spesso un'istantanea dello stato di sicurezza delle informazioni dell'organizzazione. Potrebbero volere questo rapporto per scopi di pianificazione strategica, o potrebbe essere in risposta a attacchi di sicurezza delle informazioni altamente pubblicizzati e al desiderio di valutare come la società farebbe lo stesso in circostanze simili. In alternativa, questo mandato potrebbe essere dovuto a requisiti normativi o fiduciari che richiedono alle aziende di fornire uno stato chiaro della struttura di controllo interno di un'organizzazione.

Per soddisfare questo requisito, le organizzazioni spesso fanno affidamento su una raccolta frammentaria di fatti, generalità e ipotesi. Questo approccio incompleto è in netto contrasto con il modo in cui le aziende di solito gestiscono i processi di raccolta delle informazioni e decisionali che influenzano i loro processi di core business. Ad esempio, i dati in un processo di produzione semplice potrebbero includere tassi di produzione, costi dei materiali e transazioni di vendita. Questi dati non elaborati vengono quindi tradotti in informazioni (costo per unità, totali di vendita e entrate), che diventano conoscenza, ad esempio previsioni di vendita e tendenze. Utilizzando questa conoscenza, un'organizzazione può misurare l'efficacia e il valore dei suoi processi e quindi prendere decisioni informate.
Tuttavia, la replica del processo di conoscenza delle informazioni sui dati per le operazioni di sicurezza di un'organizzazione non è a ricerca diretta. Le attività di sicurezza di un'organizzazione comprendono un'ampia gamma di tecnologie e processi: monitoraggio delle intrusioni, rilevamento di codici maligni, scansione delle vulnerabilità, analisi dei registri, risposta agli incidenti e così via. Ciascuna di queste attività utilizza strumenti tecnologici distinti che catturano e analizzano importanti dati di sicurezza relativi a beni, eventi e conformità alle policy di sicurezza di un'organizzazione. Inoltre, i processi manuali come la riparazione degli incidenti, la gestione operativa, le attività di help desk relative alla sicurezza e le attività di amministrazione della sicurezza sono anche fonti di dati. Il volume di informazioni relative alla sicurezza generato da un'organizzazione può essere schiacciante: un singolo firewall, ad esempio, può generare centinaia di eventi di sicurezza ogni minuto.
Queste miriade di fonti di dati hanno lo scopo di aiutare le organizzazioni a rilevare e contenere minacce e vulnerabilità, ma spesso da esse si può ricavare un valore minimo. Lo staff di sicurezza di un'organizzazione di solito non ha le risorse per rivedere a fondo i report voluminosi generati da vari strumenti. Ad esempio, la maggior parte delle organizzazioni fatica a allocare semplicemente le risorse per esaminare i file di registro del sistema. Pertanto, sebbene la registrazione del sistema operativo sia considerata una buona pratica, molte organizzazioni non abilitano la registrazione perché gli amministratori non hanno il tempo di esaminare e gestire adeguatamente i registri. E per quelle aziende che abilitano la registrazione, possono sostenere costi significativi per lo spazio su disco necessario per archiviare i registri senza mai catturare il vero valore dei dati generati.
Inoltre, gli attacchi alla sicurezza delle informazioni sono spesso così sottili che non possono essere rilevati esaminando una singola fonte di dati di registro. Per ottenere una visione completa di un simile attacco, un'organizzazione deve utilizzare molte fonti e raccogliere dati sufficienti per analizzare la situazione. Ad esempio, gli attacchi Web vengono solitamente eseguiti tramite la porta 80 o 443. Se l'attacco utilizza la porta 443, il traffico verrà crittografato, pertanto un sistema di rilevamento delle intrusioni (IDS) non sarà in grado di identificare l'attacco. Tuttavia, i registri del server Web possono contenere voci irregolari, come richieste a file che non esistono o con parametri insoliti all'interno delle richieste di URL (Uniform Resource Locator). Allo stesso modo, se l'attacco Web è su un database, i suoi registri potrebbero mostrare chiamate di linguaggio di query strutturate irregolari (SQL). Finalmente,rivedere il file di registro da un router di rete potrebbe rivelare gli indirizzi IP (Internet Protocol) che potrebbero essere utilizzati per tracciare le connessioni e in definitiva l'origine dell'attacco.
Un altro ostacolo alla gestione e all'interpretazione efficace dei dati di sicurezza è che i report generati dagli strumenti di identificazione delle minacce e delle vulnerabilità sono progettati per gli amministratori IT e si concentrano a livello operativo. Sebbene queste informazioni siano utili per la gestione e la protezione dei sistemi di un'organizzazione, non aiutano il responsabile della sicurezza (CSO), il Chief Information Officer (CIO) e altri dirigenti nella valutazione delle tendenze e delle strategie. Questi strumenti forniscono dettagli tecnici che di solito sono sintomi di un problema aziendale più grande. Molte volte il problema (vulnerabilità tecnica) è stato risolto, ma il problema (interruzione di un processo aziendale) viene trascurato. La visibilità attraverso gli strumenti di identificazione delle minacce e delle vulnerabilità è essenziale affinché un'organizzazione possa ottenere una prospettiva completa del suo stato di sicurezza.

   Componenti di gestione delle informazioni di sicurezza

La gestione delle informazioni sulla sicurezza (SIM) risolve questo problema fornendo alle organizzazioni un modo per integrare i dati relativi alla sicurezza da fonti disparate. In sostanza, la SIM è il processo e l'infrastruttura per raccogliere i dati dal processo aziendale, consolidarla in informazioni pertinenti e quindi tradurre le informazioni in conoscenza per supportare le decisioni aziendali sulle quali un'organizzazione può agire. Ad esempio, un'organizzazione che utilizza un sistema di SIM potrebbe correlare automaticamente un avviso di vulnerabilità tecnica emesso da un servizio di intelligence di sicurezza con l'inventario degli asset dell'organizzazione classificato in base alle sue politiche di sicurezza. Le informazioni risultanti consentirebbero all'organizzazione di allocare meglio le risorse e stabilire la priorità delle azioni di risoluzione per risolvere la vulnerabilità.
La SIM offre una serie di vantaggi alle organizzazioni. In primo luogo, può aiutare a ridurre i costi di gestione dell'organizzazione di sicurezza di un'azienda diminuendo la quantità di tempo che il personale deve spendere per monitorare molti dispositivi e quindi analizzare e rispondere agli avvisi. La SIM può anche aumentare il rendimento degli attuali investimenti di sicurezza di un'azienda trasformando vaste quantità di dati in informazioni. Spesso, le soluzioni di sicurezza consolidate sono sottoutilizzate perché la quantità di lavoro necessaria per monitorarle e gestirle supera il valore delle informazioni fornite. Automatizzando il processo di analisi delle informazioni generate da questi sistemi, la SIM può aumentare il loro valore per l'organizzazione.
La SIM può anche ridurre il rischio consentendo una risposta rapida agli attacchi. Il costo di una violazione della sicurezza, dei tempi di inattività e di mancati guadagni, così come la soddisfazione del cliente e la responsabilità legale, possono essere significativi. Maggiore è l' organizzazione che impiega per analizzare e rispondere agli avvisi, maggiore è la probabilità che si verifichi una violazione. La SIM aiuta un'impresa a identificare e rispondere rapidamente alle intrusioni. Infine, la SIM può semplificare la conformità con le politiche di sicurezza e le normative governative, nonché gli accordi con i fornitori. SIM comprende i seguenti processi e tecnologie di supporto:

• Analisi dell'intelligence: raccolta, valutazione e applicazione delle informazioni di intelligence sulla sicurezza ottenute da fonti esterne, come gli avvisi emessi da servizi di intelligence commerciale, fornitori di hardware e software o entità indipendenti come il Centro di coordinamento del Computer Emergency Response Team (CERT) .

• Classificazione delle risorse: il processo di identificazione e gestione delle informazioni di rischio relative a ciascuna risorsa di un'organizzazione per determinare le dipendenze e per definire quali risorse sono le più importanti per l'organizzazione.

• Correlazione degli eventi: l'analisi e l'interpretazione in corso delle informazioni sulla sicurezza generate da fonti disparate.

• Gestione degli standard e delle policy: il mantenimento formale e continuo delle politiche e degli standard di sicurezza di un'organizzazione

. • Reporting: il processo che fornisce una visione periodica e olistica delle operazioni di sicurezza per consentire alle organizzazioni di valutare l'efficacia dei propri processi di gestione delle minacce e delle vulnerabilità.

   The Security Dashboard

Oggi, le aziende spendono molto tempo e denaro impiegando strumenti di identificazione delle minacce e delle vulnerabilità. Le aziende spesso fanno questi investimenti aggiuntivi senza prima ricavare valore dai dati generati dalla loro attuale infrastruttura o supportando i loro investimenti con le persone oi processi necessari. Ad esempio, un'azienda può investire in IDS senza prima utilizzare i dati disponibili creati dalla registrazione di sistema. Se la società ha correttamente estratto, correlato e diffuso i dati del registro, le informazioni e le conoscenze risultanti potrebbero avvantaggiare l'organizzazione più di un nuovo strumento di sicurezza che genererebbe ancora più dati. In un altro esempio, un'azienda potrebbe scegliere di investire in un motore di correlazione degli eventi che potrebbe aiutarlo a interpretare i dati generati dalla sua infrastruttura e dagli strumenti di sicurezza. Però,il sistema stesso non è abbastanza; l'organizzazione deve anche mettere le persone e i processi in atto per supportare la sua infrastruttura di sicurezza.
In entrambi i casi, è l'elaborazione intelligente dei dati che fornisce un valore reale all'organizzazione. Pertanto, mentre ciascuna delle attività discrete della SIM aiuta le organizzazioni a gestire minacce e vulnerabilità, le soluzioni sono ancora relativamente frammentate. I dirigenti hanno bisogno di una visione integrata della SIM che dia loro un unico punto di riferimento. Questo concetto del dashboard di sicurezza sta diventando un requisito per molte organizzazioni. Analogamente agli strumenti di business intelligence che le aziende utilizzano per aggregare, analizzare e distribuire i dati delle operazioni quasi in tempo reale ai decisori, il dashboard di sicurezza fornisce una vista di alto livello dello stato di sicurezza di un'organizzazione.

FUNZIONALITÀ DASHBOARD

Il dashboard di sicurezza è un nuovo concetto e non esiste una definizione standard per ciò che costituisce esattamente un dashboard. Tuttavia, le seguenti sono le principali aree funzionali a cui la dashboard dovrebbe rivolgersi:

• Consolidare le informazioni in un'unica interfaccia coerente: disporre di un'unica fonte definitiva per le informazioni sulla sicurezza è essenziale. Tutti in un'organizzazione, inclusi dipendenti generali, amministratori di sistema e dirigenti, faranno riferimento alla fonte per le informazioni sulla sicurezza.

• Fornire una struttura comune per la gestione dei dati di sicurezza: una struttura coerente significa che i nuovi input del sistema di dashboard devono essere inseriti nel sistema corrente, non interromperlo. Ad esempio, quando le aziende distribuiscono nuovi sistemi e applicazioni, utilizzeranno gli standard documentati nelle loro politiche e controlli tecnici per stabilire quali dati sono necessari per la visualizzazione tecnica della dashboard. Il meccanismo di raccolta dei dati del dashboard, ad esempio un sistema di correlazione degli eventi, può quindi raccogliere, organizzare e generare report su questi dati. Allo stesso modo, una nuova direttiva regolatoria può essere interpretata, applicata alla politica corrente e, se necessario, comunicata attraverso la struttura alla vista tecnica.

• Gestire una varietà di informazioni: le informazioni del cruscotto devono essere presentate in modo coerente. Le informazioni dovrebbero essere raggruppate per argomento per una facile navigazione e, se applicabile, con riferimenti incrociati, indicizzati e resi ricercabili. La maggior parte degli utenti del sistema cercherà la risposta a una domanda specifica. Pertanto, le funzionalità di navigazione e ricerca semplificate sono fondamentali.

• Assistenza nella gestione della documentazione tecnica e degli eventi tecnici: la documentazione sulla sicurezza di un'organizzazione può includere sia la documentazione fornita dal fornitore, come avvisi di vulnerabilità e manuali di applicazioni o di sistema, sia informazioni di controllo, come gli standard tecnici. Questa informazione è cruciale per la vista tecnica, così come le informazioni relative agli eventi raccolte dal meccanismo della raccolta dati. Il dashboard è progettato non solo per raccogliere e segnalare eventi di sicurezza e stato corrente, ma anche per fornire indicazioni per la risoluzione dei problemi. Le informazioni di controllo dovrebbero essere concise ed esplicite. Gli amministratori di sistema, la cui funzione o competenza principale potrebbe non essere la sicurezza, cercheranno questa documentazione per la direzione.

• Supporto del processo di revisione e conformità: una delle sfide più comuni di un programma di controllo della sicurezza consiste nel verificare costantemente la conformità. I revisori IT spesso devono interpretare la politica e gli standard di sicurezza dell'organizzazione prima del test e questa pratica genera incongruenze. La dashboard può semplificare questo processo fornendo i dati necessari per misurare i controlli di sicurezza correnti. Inoltre, se i team di implementazione e conformità di un'organizzazione utilizzano entrambi la stessa libreria di controllo (le policy, gli standard e i controlli documentati nel dashboard) come base per il loro lavoro, le distribuzioni e gli audit del sistema avranno lo stesso punto di riferimento.

• Supportare la comunicazione mirata ai vari ruoli all'interno dell'azienda: il processo di sicurezza dipende da molte persone diverse con molte responsabilità diverse. Il sistema dovrebbe fornire a ciascun ruolo una visione mirata delle informazioni sulla sicurezza. Questa vista può mostrare componenti specifici del processo di segnalazione della sicurezza (ad esempio, conformità complessiva misurata alle politiche), oppure la visualizzazione può mostrare sistemi o piattaforme specifici gestiti dalla persona. Il concetto è di adattare la visualizzazione delle informazioni al ruolo o alla funzione dell'utente.

• Unire i diversi componenti in un modello coerente - Proprio come i sistemi di contabilità elaborano le informazioni utilizzando specifici modelli o calcoli, il sistema informativo di sicurezza dovrebbe anche essere basato su un modello per legare insieme i diversi elementi. Questo modello può essere sofisticato o semplice quanto necessario. Il concetto importante è che il sistema modello sia abbastanza flessibile da supportare le modifiche all'input (fonte di informazione) o all'output (risultato o pubblico per informazioni). Se viene fornito un nuovo input al sistema, l'output risultante dovrebbe essere coerente.

• Supporto del processo: questo aspetto della dashboard è forse il più importante. Il sistema dovrebbe incorporare le pratiche di base del processo di sicurezza - lo schema di classificazione delle informazioni, le valutazioni del rischio, la documentazione tecnica e non tecnica e l'ambiente generale dei controlli di sicurezza. Il sistema dovrebbe essere determinato dalla strategia dell'organizzazione e dovrebbe essere una componente dell'infrastruttura principale. Immaginare il cruscotto di sicurezza, il suo funzionamento e le sue funzioni e la sua collocazione nell'ambiente aziendale generale è molto importante.

I tre componenti organizzativi principali di un dashboard di sicurezza sono un'infrastruttura di reporting comune, una visione integrata delle politiche e degli standard di sicurezza di un'organizzazione e la visibilità dell'implementazione tecnica e operativa dei controlli di un'organizzazione.

Reporting Infrastructure

Prima che possano implementare un dashboard di sicurezza, le aziende devono definire un'infrastruttura di reporting comune. Un processo di reporting comune e una struttura di report coerente forniscono il framework supportato dal dashboard. Quando un'organizzazione determina metriche e misurazioni comuni all'interno dell'azienda, la dashboard può fornire la struttura per raccogliere e presentare tali metriche. Questa struttura crea un unico punto di riferimento per coloro che non fanno parte del processo di sicurezza e aiuta la direzione esecutiva a comprendere meglio le tendenze e prendere decisioni strategiche.

Questo passaggio potrebbe essere difficile per le organizzazioni che non hanno creato un vernacolo comune e un approccio alla sicurezza in tutta l'azienda. Le aziende con un CSO o CIO per creare questa visione sono in una posizione migliore per ottenere rapporti comuni.

Visualizzazione integrata di standard e politiche

Un dashboard di sicurezza fornisce una visione integrata delle politiche e degli standard di sicurezza di un'organizzazione, essenzialmente la visione esecutiva del programma di sicurezza di un'organizzazione. Molte organizzazioni soffrono di incoerenze tecniche e operative perché mancano di politiche e standard o non dispongono di un modo coerente per misurare la loro attuazione. La vista integrata fornita dal dashboard aiuta le organizzazioni a misurare coerentemente il modo in cui sono state implementate le politiche di sicurezza e ad adottare le misure appropriate.

Visibilità tecnica e operativa

Infine, il dashboard di sicurezza deve fornire visibilità sull'implementazione tecnica e operativa dei controlli di sicurezza di un'organizzazione. Questo componente si basa sul processo di reporting comune e sull'integrazione delle politiche di sicurezza dell'organizzazione. Con questi componenti precedenti in vigore per dettare i requisiti, i dati tecnici per i processi e le tecnologie correnti possono quindi essere aggiunti al dashboard secondo necessità. Il dashboard raccoglie i dati dall'infrastruttura per l'analisi e consolida i sintomi attraverso l'infrastruttura per identificare i problemi. Questa integrazione è un processo complesso, ma i sistemi di correlazione degli eventi possono colmare il divario tra il dashboard e gli strumenti di identificazione delle vulnerabilità e delle minacce a basso livello. Le tecnologie di correlazione degli eventi possono aiutare a raccogliere, organizzare,centralizzare i dati da fonti disparate e correlare gli eventi tra i vari sistemi.
Mentre questa visibilità tecnica e operativa è il componente principale del dashboard, è anche la più flessibile in quanto questi elementi possono essere ampliati. Ad esempio, un'azienda può prima aggiungere visibilità al suo IDS e alle sue console di gestione dei virus, quindi aggiungere visibilità alla sua console di monitoraggio della conformità e al suo sistema operativo, database, dispositivo e funzioni di registrazione delle applicazioni.

Oltre la visibilità

La flessibilità del dashboard consente alle organizzazioni di aggiungere informazioni oltre a quelle che offrono visibilità sui loro processi tecnici e operativi. Ad esempio, un dashboard potrebbe presentare procedure tecniche e documentazione di controllo, informazioni di intelligence sulla sicurezza o informazioni create e utilizzate in processi di supporto correlati alle attività di sicurezza primarie.

Procedure tecniche e documentazione di controllo.

Le procedure tecniche e la documentazione di controllo sono diventate sempre più importanti con l'introduzione di tecnologie più sofisticate e diversificate. Inoltre, il turnover del personale tecnico è spesso elevato e la domanda di risorse tecniche è aumentata notevolmente. Queste richieste risultano nella necessità di una documentazione dettagliata che sia attuale ed efficace. Al variare delle tecnologie o delle implementazioni, è necessario sviluppare linee di base per garantire coerenza. Le aziende dovrebbero anche documentare un processo per implementare controlli attenuanti per le eccezioni o l'accettazione del rischio.

Avvisi sulla sicurezza.

Gli avvisi emessi dai servizi di intelligence di sicurezza possono essere integrati nella dashboard. La proliferazione di virus basati sulla posta elettronica e la scoperta continua di vulnerabilità del sistema operativo e delle applicazioni hanno reso il monitoraggio di questo tipo di informazioni travolgente, soprattutto per le organizzazioni che gestiscono ambienti tecnici eterogenei. Il dashboard dovrebbe aiutare gli amministratori della sicurezza nell'identificazione dei problemi che riguardano l'ambiente tecnico, identificando il vero ambito dell'impatto sull'ambiente, diffondendo gli elementi di azione, supportando il processo di riparazione e seguendo questa scia di informazioni per coerenza e completezza.
Supporto per informazioni sul processo. La dashboard può anche essere utilizzata per creare una vista singola per tutte le informazioni relative alla sicurezza. I processi di supporto quali la classificazione delle informazioni, la valutazione del rischio e le architetture di sicurezza tecnica includono componenti di informazioni quali metodi, matrici di proprietà dei dati, matrici di custodi dei dati e diagrammi di architettura di sicurezza tecnica.

VISUALIZZAZIONI DASHBOARD

In definitiva, il dashboard di sicurezza includerebbe diverse viste basate sui suoi componenti principali. In primo luogo, la dashboard fornirebbe una visione della sicurezza comune al più alto livello dell'organizzazione, la visualizzazione esecutiva. Questa opinione misurerebbe la sicurezza contro la politica di sicurezza e la visione comune del CSO o del CIO. In secondo luogo, il dashboard fornirebbe una visione per il CSO e i suoi colleghi di gestione, la vista operativa. Questa vista mostrerebbe informazioni a livello operativo per supportare decisioni come la risorsa pianificazione, allocazione del budget e gestione del progetto. Infine, una vista tecnica consentirebbe agli amministratori di sistema e di sicurezza di visualizzare l'infrastruttura tecnologica pertinente alle loro responsabilità. Le viste o le viste combinate successive potrebbero essere create in base alle esigenze dell'organizzazione. Ad esempio, un'organizzazione potrebbe avere una vista per gli utenti generici che presenterebbe le sue politiche e standard di sicurezza e altre informazioni pertinenti sul suo programma di sicurezza. La Figura42 a pagina198 mostra esempi delle varie viste.
Nella visualizzazione esecutiva, ad esempio, la dashboard fornirebbe alla direzione esecutiva un rapporto aggiornato sull'attuale conformità alle politiche e ai problemi normativi. La visualizzazione potrebbe visualizzare le percentuali di conformità tra le unità aziendali rispetto a politiche specifiche, insieme a tendenze e risultati del mese precedente. Sulla base dei dati raccolti dall'infrastruttura, i risultati verrebbero quantificati in metriche riassuntive, confrontati e mappati alle politiche e verrebbero riportati i risultati complessivi di conformità.
Nella vista operativa, il CIO potrebbe utilizzare le stesse informazioni sulla conformità alle policy per allocare risorse e dare la priorità ai progetti. Ad esempio, se il pannello di controllo indicava che una specifica unità aziendale aveva un basso livello di conformità su specifiche politiche, il CIO potrebbe allocare risorse di sicurezza per indagare ulteriormente sulla causa. Possono essere necessari test specifici o revisioni del processo per aiutare la business unit a migliorare i suoi tassi di conformità.

Per gli amministratori della sicurezza di quella business unit, la visualizzazione tecnica della dashboard fornirebbe informazioni specifiche: quali sistemi sono fuori conformità, standard tecnici o dettagli di implementazione del controllo per risolvere i problemi e un sistema di tracciamento per risolverli.

■ Analisi di intelligenza

Nuove minacce e vulnerabilità vengono scoperte ogni giorno. Gli avvisi della loro scoperta sono segnalati da una varietà di fonti, tra cui venditori di tecnologie dell'informazione, organizzazioni governative e di sicurezza, servizi di intelligence di sicurezza e persino hacker. Le organizzazioni devono monitorare proattivamente queste informazioni di sicurezza esterne per prevenire e minimizzare gli attacchi. Ma gli amministratori sovraccarichi spesso ritengono che un monitoraggio che richiede tempo sia meno prioritario rispetto ad altre attività di sicurezza.

Tuttavia, l'identificazione e la segnalazione di nuove vulnerabilità è uno degli elementi più cruciali del framework di sicurezza delle informazioni di un'organizzazione. L'identificazione di nuove vulnerabilità deve provenire da una fonte attendibile e il rischio deve essere chiaramente identificato per iniziare il risanamento.
Questo processo di valutazione e prioritizzazione delle informazioni di sicurezza esterne è chiamato analisi dell'intelligence. Gli strumenti utilizzati per l'analisi dell'intelligence acquisiscono e consolidano le informazioni da varie fonti esterne. I dati vengono normalizzati e filtrati per eliminare le informazioni ridondanti e non necessarie. Quindi, in base ai dati di classificazione delle risorse di un'azienda (che mappa le dipendenze e determina il valore dell'asset per l'organizzazione), uno strumento di analisi dell'intelligenza dà la priorità a quale degli avvisi l'organizzazione deve agire e quanto rapidamente deve farlo.
Il periodo cruciale tra la scoperta di una vulnerabilità e il verificarsi di un exploit correlato sta rapidamente diminuendo.

I servizi di intelligence di sicurezza possono aiutare a migliorare la consapevolezza aziendale e abbreviare i tempi di risposta di un'organizzazione emettendo patch e soluzioni alternative pertinenti per le vulnerabilità appena identificate. I due tipi di servizi di sicurezza sono comunitari e commerciali. Table11 a pagina201 mostra un elenco rappresentativo di questi servizi.

SERVIZI DI INTELLIGENZA COMUNITARIA

Questi servizi sono mailing list essenzialmente moderati a cui i sottoscrittori inviano avvisi di vulnerabilità, informazioni su patch e soluzioni alternative e altre informazioni correlate alla vulnerabilità. In un servizio basato sulla comunità, gli avvisi di solito non vengono verificati, né vengono emessi in modo coerente, entrambi fattori che possono portare a falsi positivi.
Il personale di sicurezza di un'organizzazione deve dedicare molto tempo a valutare gli avvisi di questi servizi per determinare se la patch o soluzione alternativa è possibile e se la vulnerabilità rappresenta una minaccia per l'azienda. Poiché i servizi basati sulla comunità non dispongono di un processo di filtraggio automatico, gli amministratori devono rivedere i potenziali avvisi per determinare quelli rilevanti per l'organizzazione.

Un sottoinsieme di servizi di intelligence della comunità sono quelle mailing list fornite da fornitori di hardware e software che contengono avvisi specifici per i prodotti dei fornitori. Gli avvisi del fornitore di solito consistono in un collegamento a una patch di sicurezza che corregge il problema identificato e questi avvisi di solito non includono informazioni sull'utilizzo o analisi aggiuntive sulla vulnerabilità. Il formato di ciascun avviso è specifico per ciascun fornitore, pertanto una vulnerabilità considerata critica e la relativa patch associata da una società potrebbero non essere equivalenti a una cosiddetta vulnerabilità ad alto rischio e patch associata da un'altra.

SERVIZI DI INTELLIGENZA COMMERCIALE

I servizi di intelligence di sicurezza Premium consentono alle organizzazioni di personalizzare la notifica di allerta e vulnerabilità. Ad esempio, se una società ha distribuito solo i sistemi operativi Windows di Microsoft, le vulnerabilità di Solaris e IBM AIX di Sun Microsystems non sono rilevanti e non devono essere segnalate all'organizzazione. Tali servizi consentono inoltre alle organizzazioni di assegnare priorità agli avvisi in base ai livelli di rischio e urgenza; applicando una classificazione del rischio coerente agli allarmi, le aziende possono determinare il processo e l'urgenza per rimediare al problema identificato.
Spesso, i servizi commerciali annunciano significativi avvisi di sicurezza in anticipo rispetto agli annunci dei venditori sulla vulnerabilità, consentendo alle organizzazioni di proteggersi meglio dalle minacce. Ad esempio, nel luglio 2003, il servizio DeepSight di Symantec ha emesso un avviso relativo alla vulnerabilità del Denial of Service di Malformated Packet di Cisco IOS circa otto ore prima che Cisco emettesse l'annuncio ufficiale. Al momento dell'annuncio di Cisco, i clienti DeepSight avevano già ricevuto un'analisi sintetica della vulnerabilità, una patch e informazioni sulla soluzione. Questa prima divulgazione delle vulnerabilità è diventata una pratica controversa.I critici sostengono che è responsabilità dei fornitori di hardware e software rilasciare gli avvisi più rapidamente e che è ingiusto che i clienti che sottoscrivono servizi premium abbiano una conoscenza precoce o esclusiva di una vulnerabilità.
Molti servizi di intelligence commerciale forniscono analisi globali delle minacce su Internet. Questo tipo di analisi elabora milioni di eventi da tutto il mondo e tenta di identificare i tipi più frequenti di attacchi, la maggior parte dei servizi sfruttati e il volume di attacco complessivo. Questi servizi possono aiutare a identificare i worm Internet o le regioni globali che presentano i maggiori rischi per una particolare piattaforma o settore. Alcune organizzazioni di intelligence della comunità offrono anche tali servizi, come gli avvisi emessi da SysAdmin, Audit, Network, Security (SANS) Internet Storm Center.
Oltre a fornire notifiche di vulnerabilità, i servizi di intelligence commerciale forniscono anche notifiche geopolitiche e di settore. Ad esempio, se si sta sviluppando una tendenza in cui le banche vengono prese di mira dagli aggressori, il servizio invierà notifiche alle aziende del settore dei servizi finanziari. O, per esempio, quando gli Stati Uniti erano in guerra con l'Iraq a metà del 2003, alcune persone contrarie alla guerra lanciarono minacce pubbliche contro attacchi informatici a società con sede negli Stati Uniti. In questo caso, molti dei servizi commerciali hanno avvisato i propri clienti di monitorare gli attacchi da specifici paesi in cui erano state emesse le minacce.
Un altro tipo di monitoraggio fornito dai servizi di intelligence premium si concentra su fonti Internet di dominio pubblico, come newsgroup, siti Web, chat room e mailing list. L'intelligence viene condotta specificamente per una singola organizzazione e si concentra sull'individuazione di potenziali minacce quali spam, siti Web dannosi o falsificati , pubblicità negativa, tentativi di hacking e pubblicazione di informazioni riservate. Ad esempio, il servizio iMonitor di iDefense monitora le chat room, i newsgroup, le mailing list e i siti Web per riferimenti specifici a una società cliente o alla sua attività.
La maggior parte dei fornitori di servizi di sicurezza fornisce avvisi in un formato standard che può essere integrato nel software di gestione della sicurezza. Integrando gli avvisi con un sistema di gestione delle riparazioni, le patch e le correzioni possono essere applicate rapidamente all'interno dell'organizzazione, seguendo i passaggi delineati dal servizio di intelligence.

■ Classificazione delle risorse

La capacità di rispondere in modo efficiente ed efficace a minacce e vulnerabilità dipende dalla capacità di un'organizzazione di comprendere il ruolo che ciascuna delle sue risorse gioca nell'ambiente generale. Oltre a conoscere semplicemente le specifiche del bene, questa conoscenza include la determinazione del modo in cui il bene viene utilizzato nei processi aziendali primari di un'organizzazione, le sue relazioni dirette e indirette con altre attività e i rischi associati alla compromissione della riservatezza, integrità e disponibilità del bene. Ad esempio, se si determina che un sistema ERP (enterprise resource planning) è un asset cruciale, un'analisi deve determinare l'impatto che un sistema di inventario ha sul sistema ERP. La riservatezza, l'integrità,e i rischi di disponibilità che influenzano il sistema di inventario devono essere considerati quando si determinano quegli stessi attributi nel sistema ERP.
Questo processo di rilevamento e acquisizione delle informazioni è chiamato classificazione delle risorse. Identificando le sue risorse più importanti, un'organizzazione può determinare come allocare al meglio le risorse quando si gestiscono minacce e vulnerabilità. Inoltre, in alcuni paesi, la valutazione dei rischi dei dati è richiesta dalla legge se l'organizzazione ha informazioni private e sensibili su clienti e dipendenti. Lo scopo della classificazione degli asset può essere considerato come la protezione delle informazioni corrette, con la giusta quantità di sicurezza, al momento giusto. Durante il processo di classificazione degli asset, le organizzazioni devono considerare il cosiddetto più alto comune denominatore; cioè, quando si classificano le attività, se un sistema (ad esempio, ERP) è materialmente direttamente dipendente da un altro (inventario), la classificazione delle attività per entrambi i sistemi deve essere pari alla valutazione più alta dei due sistemi.
Basandosi sull'esempio precedente, un programma di sicurezza focalizzerebbe le attività di gestione delle minacce e delle vulnerabilità su quei sistemi software e hardware che eseguono il sistema ERP. Inoltre, l'architettura del sistema ERP avrebbe applicato più risorse protettive rispetto a sistemi meno essenziali. Se queste misure non riescono a proteggere il sistema ERP da un attacco, la classe di attività a cui appartiene il sistema ERP dovrebbe prescrivere attività di riparazione che si concentreranno sul ripristino del sistema a uno stato attendibile prima di quei sistemi di una classificazione inferiore.

ASSET CLASSIFICATION VERSUS ASSET MANAGEMENT

Le attività di gestione patrimoniale di un'azienda sono in genere direttamente correlate al valore monetario delle attività fisiche e al conseguente ammortamento. Un sistema di classificazione delle attività include non solo il valore delle attività fisiche, ma anche il valore delle attività informative. Tuttavia, un programma di gestione patrimoniale può essere la base per lo sviluppo e l'applicazione di un programma di classificazione delle attività.
Ove possibile, un sistema che gestisce le attività di gestione delle attività dovrebbe essere utilizzato per gestire la classificazione delle attività, ma solo se fornisce la possibilità di collegare le risorse informative con le relative risorse fisiche correlate. Se il sistema non fornisce questa funzionalità, i dati relativi alle risorse fisiche possono essere utilizzati in un sistema che gestisce la classificazione delle risorse. Indipendentemente da come vengono tracciate le informazioni, è fondamentale mantenerle aggiornate. Se le decisioni sulla sicurezza delle informazioni vengono prese in base al modo in cui le attività sono classificate, ma le informazioni non riflettono la classificazione appropriata, le attività potrebbero diventare protette eccessivamente (causando maggiori costi) o, soprattutto, sottoprotette.

PROCESSO DI CLASSIFICAZIONE DELLE ATTIVITÀ

Le organizzazioni iniziano il processo di classificazione degli asset esaminando l'analisi dell'impatto aziendale della società. Laddove non sia stata eseguita alcuna analisi, un piano di continuità operativa o un piano di ripristino di emergenza potrebbero essere utili. Se nessuna di queste attività precedenti è stata eseguita, l'organizzazione avvierà il processo di classificazione degli asset attraverso una serie di interviste con la direzione di livello dirigenziale e senior per determinare quali processi e attività aziendali sono di maggior valore per l'azienda. Sebbene l'identificazione delle attività e dei processi aziendali più essenziali possa sembrare un esercizio ovvio, non è sempre così semplice perché i senior manager di un'organizzazione ritengono che sistemi e processi diversi siano essenziali. Esaminando un gruppo rappresentativo di alti dirigenti,l'organizzazione della sicurezza può garantire che le assegnazioni di valore siano verificate attraverso il team di gestione.
Una volta che le organizzazioni hanno identificato i processi aziendali appropriati, devono determinare gli individui - i proprietari delle informazioni, i custodi delle informazioni e gli utenti delle informazioni - responsabili di tali processi. In definitiva, la responsabilità per la riservatezza, l'integrità e la disponibilità del processo aziendale ricadrà sul proprietario delle informazioni. È probabile che quella persona deleghi le sue responsabilità quotidiane a un custode delle informazioni. Sapere chi utilizza le informazioni rilevanti per determinati processi di business aiuterà anche a determinare le relazioni dirette e indirette tra i processi aziendali. Infine, le organizzazioni devono capire quali tecnologie supportano i processi aziendali in modo che le organizzazioni possano determinare la loro predisposizione alle minacce e alle vulnerabilità.
Dopo aver determinato le persone e le tecnologie associate ai processi aziendali, un'azienda può definire uno schema di classificazione degli asset. Questo schema dovrebbe incorporare i tre attributi di informazioni: riservatezza, integrità e disponibilità.

Uno schema di classificazione degli asset varierà da organizzazione a

organizzazione - ognuno che definisce un diverso numero di classi, etichettato in un modo che ha più senso per l'organizzazione. Più importante del numero di classificazioni o dei loro nomi specifici sono i criteri utilizzati per ciascuna etichetta e l'applicazione coerente di questi criteri.

Le considerazioni relative ai criteri dovrebbero includere l'impatto della perdita diretta e indiretta di riservatezza, integrità e disponibilità (singolarmente), in termini di rilevanza, tempo, fiducia dei clienti, fiducia degli stakeholder interni ed esterni, requisiti normativi e obblighi contrattuali. Quando l'organizzazione della sicurezza ha stabilito i criteri e l'amministrazione senior ed esecutiva l'ha approvata, l'organizzazione può stabilire un sistema qualitativo per assegnare valori a ciascuna delle classificazioni. Affinché il sistema di classificazione degli asset abbia successo, l'organizzazione deve applicarlo in modo coerente durante tutto il processo di classificazione degli asset.

ASSET SISTEMI DI CLASSIFICAZIONE

Attualmente, nessun sistema commerciale gestisce in modo completo la classificazione degli asset. Tuttavia, le aziende possono utilizzare i propri strumenti di gestione dei sistemi aziendali (ESM) per agevolare il processo di gestione della classificazione degli asset. Gli strumenti ESM possono essere utilizzati per monitorare e tenere costantemente traccia delle modifiche all'ambiente dell'organizzazione, consentendo alle aziende di risolvere più rapidamente le vulnerabilità. I sistemi eseguono continuamente il polling e la scansione dell'ambiente dell'organizzazione e confrontano i risultati, un'istantanea dell'ambiente in un dato momento, con risultati di scansione precedenti per determinare se sono state apportate modifiche. Ad esempio, lo strumento raccoglie dati da una varietà di fonti disparate nell'ambiente, come firewall, sensori IDS e registri di sistema e delle applicazioni. Il sistema elaborerebbe quindi i dati e confronterebbe i risultati più recenti con l'inventario precedente.Seguendo questa analisi, il sistema segnalerebbe eventuali discrepanze tra i due inventari.
Un'implementazione ESM più avanzata potrebbe essere in grado di ricevere e agire in base alle informazioni sulla sicurezza raccolte da una fonte esterna se è in un formato compatibile con quello utilizzato dal sistema ESM. Ad esempio, un fornitore di software potrebbe emettere un avviso relativo all'ambiente dell'organizzazione. Lo strumento ESM esegue quindi il polling dell'ambiente per determinare l'esistenza della vulnerabilità segnalata, segnalare eventuali modifiche all'ambiente e persino fornire un'analisi della vulnerabilità dei sistemi alla vulnerabilità specifica. Successivamente il sistema potrebbe notificare al responsabile delle informazioni appropriato (tramite il sistema di trouble-ticketing dell'organizzazione) la necessità di applicare una patch designata che il sistema ESM ha automaticamente recuperato. Se la vulnerabilità viene riconosciuta come violata, il sistema può notificare i membri del team di risposta agli incidenti.
I sistemi ESM di solito comprendono un'architettura a tre livelli: una console di gestione (spesso basata sul Web), un motore basato su regole e un database per l'archiviazione dei risultati di scansione e polling. I prodotti ESM più efficaci hanno funzionalità avanzate di flusso di lavoro, consentendo una maggiore flessibilità per supportare i processi aziendali di un'organizzazione e consentendo loro di integrarsi facilmente con le applicazioni di help desk, i sistemi di gestione delle modifiche e i sistemi sviluppati internamente. Un'altra differenza tra i sistemi ESM è il numero di piattaforme che possono monitorare e gestire. Le nuove funzionalità nei sistemi ESM comprendono la possibilità di legare la valutazione e l'analisi della classificazione delle attività nel sistema; la capacità di considerare le eccezioni delle politiche; e integrazione con un processo di gestione delle modifiche automatizzato che consente l'accesso dell'utente.

■ Correlazione degli eventi

Il nucleo di un sistema di gestione delle informazioni sulla sicurezza è un motore di correlazione degli eventi, che aggrega, interpreta e presenta i dati provenienti da numerosi sistemi di sicurezza e origini dati di un'organizzazione. Il sistema di correlazione degli eventi elabora sia dati statici che quasi in tempo reale, consentendo alle aziende di gestire meglio le informazioni sulla sicurezza e mitigare i potenziali danni derivanti da minacce e vulnerabilità. La capacità quasi in tempo reale di generare report sugli eventi di sicurezza mentre si verificano distingue la correlazione degli eventi dai report storici forniti da molti altri sistemi di sicurezza.
Ad esempio, se un ID dipendente terminato è stato contrassegnato in un sistema di correlazione eventi e l'ID è stato utilizzato per accedere ovunque sull'infrastruttura monitorata, tale evento sarebbe identificato e il personale appropriato potrebbe essere informato. Se l'organizzazione non disponeva di un sistema di correlazione degli eventi e si basava solo sulla registrazione del sistema, questo evento veniva identificato solo dopo il fatto e solo se il revisore del file di registro sapeva che l'utente era stato chiuso. Anche se l'azienda disponesse di un sistema di monitoraggio in tempo reale, come un IDS, l'IDS potrebbe non identificare questo evento come un problema perché consisteva in un accesso valido utilizzando un ID e una password; quindi, l'accesso non sembrerebbe attività dannosa per l'IDS.
I sistemi di correlazione degli eventi aiutano anche le organizzazioni a ridurre i falsi positivi raccogliendo ulteriori informazioni sugli eventi. Ad esempio, se un sensore IDS dovesse identificare un attacco, lo strumento di correlazione degli eventi potrebbe valutare la destinazione dell'attacco per determinare prima se l'host di destinazione potrebbe essere influenzato dal tipo di attacco e, in secondo luogo per vedere se fosse vulnerabile a quell'attacco specifico (cioè, se fosse già stato riparato). Questa capacità consente agli amministratori di indagare su ogni singolo evento e consente alle organizzazioni di concentrare le risorse su eventi cruciali.

COME FUNZIONANO I SISTEMI DI CORRELAZIONE DELL'EVENTO

Un sistema di correlazione eventi interpreta i dati in base a un insieme di regole che definisce quali eventi il ​​sistema deve cercare e cosa deve fare quando identifica gli eventi. La maggior parte dei sistemi di correlazione degli eventi ha regole di correlazione predefinite, ma consente anche alle organizzazioni di personalizzare le regole o definire eventi specifici da identificare.
Le regole per l'identificazione degli eventi sono complesse e si basano sulle politiche e gli standard di sicurezza di un'organizzazione. Ad esempio, una semplice regola potrebbe affermare che se il motore di correlazione rileva lo stesso evento, come un tentativo di accesso fallito su numerosi sistemi che provengono dallo stesso indirizzo IP di origine, il sistema attiva questa raccolta di eventi come un problema.
Una regola più complessa potrebbe rilevare quanto segue: Se il sistema A registra jsmith che effettua l'accesso da un particolare indirizzo IP e 20 minuti dopo jdoe accede al sistema B dallo stesso indirizzo IP, il sistema attiva un evento che suggerisce che un ID è stato compromesso Tuttavia, se la politica dell'azienda prevede di avere workstation condivise, questo evento potrebbe non costituire un problema.
Le regole del sistema definiscono anche come il sistema dovrebbe gestire gli avvisi. Ad esempio, se il motore di correlazione identifica un evento, ma il sistema sotto attacco è classificato come priorità bassa, tale evento potrebbe essere trattato in modo diverso rispetto a quando si fosse verificato in un sistema classificato come contenente informazioni riservate. Allo stesso modo, l'organizzazione deve definire cosa succede quando si verifica un evento: chi riceve la notifica, come si verifica la notifica e quanto velocemente. Gli avvisi possono essere emessi tramite e-mail, cercapersone, messaggi della console di gestione delle operazioni e così via. Gli avvisi del sistema di correlazione degli eventi devono essere integrati nelle procedure di investigazione e escalation degli incidenti dell'organizzazione. Se questi processi non sono stati definiti, il valore del sistema di correlazione degli eventi sarà diminuito.

ORIGINE DEI DATI

Per definire efficacemente le regole del sistema, l'organizzazione deve identificare e documentare gli eventi che desidera che il sistema cerchi e quindi le informazioni richieste per monitorare tali eventi. L'implementazione di una soluzione di correlazione di eventi di successo dipende dalla comprensione della quantità di dati necessari e dall'assicurazione che la qualità delle informazioni sia elevata, in modo che il sistema possa essere utilizzato per il processo decisionale.
Le fonti di dati e il tipo di informazioni che contiene sono numerose, compresi i dati provenienti da firewall, IDS e registri del sistema operativo e dell'applicazione. Quasi tutti gli attributi dei dati raccolti potrebbero essere utilizzati dal sistema di correlazione degli eventi. Tali esempi includono indirizzi IP di origine e di destinazione, ID, tipo di richiesta, tipo di evento (come errore di accesso, accesso riuscito, accesso negato) e ora dell'evento.
Man mano che i sistemi di correlazione degli eventi maturano, il numero e il tipo di fonti che possono essere utilizzate aumenteranno. I sistemi attuali accetteranno i dati dalla maggior parte delle piattaforme comuni; la raccolta di dati da fonti non standard potrebbe richiedere una personalizzazione del sistema di correlazione degli eventi. La maggior parte dei venditori di sistemi di correlazione eventi supporta dispositivi perimetrali standard, come FireWall-1 di Check Point e firewall PIX di Cisco, RealSite di ISS e IDS di Cisco e la maggior parte delle piattaforme di sistemi operativi come Microsoft Windows e le versioni di UNIX. Alcuni sistemi supportano fonti aggiuntive come dati di scansione delle vulnerabilità, dati di intelligence sulla sicurezza e dati dai sistemi di trouble-ticketing.

Se i dati richiesti per monitorare eventi specifici non sono attualmente disponibili, l'organizzazione deve identificare questi dati e determinare come può essere catturato. Infine, l'organizzazione deve determinare come integrare questi dati nell'archivio dati centrale del sistema di correlazione degli eventi.
■ Gestione degli standard e delle policy Ogni processo di sicurezza e tecnologia di supporto implementato da un'azienda è informato dai suoi standard e policy di sicurezza. Pertanto, la manutenzione, l'evoluzione e l'amministrazione in corso di questi requisiti sono essenziali. Alcune organizzazioni investono risorse significative nella definizione e nell'implementazione di politiche e standard, ma non riescono ad aggiornarle in risposta a eventi di sicurezza. Ad esempio, se lo standard di un'organizzazione specifica l'uso della crittografia a 56 bit e un recente exploit ha causato il cracking di una chiave crittografata a 56 bit, la società (e altri utenti che utilizzano uno standard di crittografia a 56 bit) dovrebbe prendere in considerazione l'implementazione di una chiave più potente. Se la società non rivede regolarmente e aggiorna i propri standard alla luce delle nuove minacce, potrebbe diventare più suscettibile a tali minacce.
Una comprensione di come le politiche, gli standard e i processi di un'entità si relazionano l'un l'altro - e alle sue attività di sicurezza in corso - è importante per comprendere il processo di gestione. Le politiche di sicurezza dell'organizzazione sono essenzialmente dichiarazioni formali che articolano i requisiti necessari per soddisfare i propri obiettivi di sicurezza. Ad esempio, la politica aziendale può indicare "Una valutazione del rischio per la sicurezza deve essere eseguita in fase di progettazione del ciclo di vita dello sviluppo del sistema".
Sulla base di questi obiettivi, le aziende definiscono gli standard che verranno utilizzati per conformarsi alle politiche. Ad esempio, in questo caso lo standard specificherà: "La valutazione del rischio per la sicurezza deve includere, come minimo: identificazione delle minacce tecniche e non tecniche; identificazione delle vulnerabilità associate a tutte le tecnologie e ai processi associati che verranno utilizzati; e dipendenze da input e output, da e verso altri sistemi. "
Infine, le aziende definiscono i processi per applicare questi standard alle tecnologie pertinenti. In questo esempio, il processo corrispondente spiegherebbe dove ottenere i criteri di valutazione del rischio e gli eventuali strumenti applicabili oltre a indicare la persona da contattare per ulteriori informazioni.

REVISIONE E AGGIORNAMENTO POLITICO

Le politiche e gli standard di sicurezza sono soggetti a modifiche allo stesso modo delle altre politiche e standard aziendali. Garantire che le attività di sicurezza forniscano valore al business è importante e questo obiettivo sarà raggiunto solo modificando le politiche e gli standard in modo che supportino il cambiamento degli obiettivi di business. Questo processo diventa ancora più cruciale quando i requisiti normativi influenzano le politiche e gli standard.
Per facilitare il processo di revisione e aggiornamento, le aziende dovrebbero organizzare un team di unità crossbusiness che rivisita le politiche e gli standard nella loro interezza almeno una volta all'anno. I membri di questa squadra di solito includono l'alta direzione da legale, risorse umane, contabilità, finanza, privacy, tecnologia dell'informazione e sicurezza delle informazioni; rappresentanti delle unità operative principali; e un custode della politica nominato. Tra periodi di revisione formale, il responsabile della politica dovrebbe essere in contatto regolare con i membri di questo gruppo per determinare se è necessario apportare modifiche nel frattempo. A causa dell'impegno richiesto per mantenere aggiornate le politiche (e soprattutto gli standard),   le società potrebbero scadere nella revisione e aggiornare le attività. Se il supporto e la partecipazione per queste importanti attività diminuiscono, le politiche e gli standard dell'azienda non saranno in linea con i propri obiettivi di business.
Al momento non esistono strumenti che diffondano l'intento di senior management tramite le policy in standard tecnici e infine in specifiche impostazioni di configurazione per l'infrastruttura di un'organizzazione. Esistono tuttavia strumenti che adottano standard tecnici e configurano direttamente i componenti dell'infrastruttura tramite mezzi centralizzati. Spesso questi strumenti si riferiscono agli standard tecnici come politiche, ma questi strumenti non contengono politiche formali come definite qui. Le aziende possono, tuttavia, utilizzare questi strumenti per aiutarli a stabilire controlli di sicurezza nell'ambiente tecnico.
■ Report sulla sicurezza I report sulla sicurezza consentono a un'azienda di valutare l'efficacia delle sue operazioni di gestione delle minacce e delle vulnerabilità. La natura e la frequenza dei rapporti variano a seconda di chi nell'organizzazione è il destinatario previsto. Ad esempio, un CSO sarebbe interessato a informazioni di alto livello, come lo stato delle iniziative di business che influenzano l'atteggiamento di sicurezza dell'organizzazione, lo stato dei progetti e l'efficacia complessiva delle contromisure di sicurezza.
D'altro canto, un responsabile della sicurezza che supervisiona le operazioni quotidiane di sicurezza avrebbe bisogno di informazioni più dettagliate, ad esempio il numero di reimpostazioni della password eseguite dall'help desk su base settimanale o il numero di sistemi che necessitavano di una patch installata a causa di un nuovo exploit pubblicato. Spesso le organizzazioni producono rapporti sulla sicurezza che servono quest'ultimo gruppo e si concentrano sui dettagli tecnici della sicurezza. Mentre i responsabili della sicurezza hanno bisogno di questo livello di dettaglio, la direzione non fa e invece ricaverebbe un valore maggiore dalle informazioni sulla sicurezza che sono rilevanti per il business dell'organizzazione.
In molte organizzazioni, il reporting sulla sicurezza è un processo abbastanza frammentato e potrebbe non essere formalizzato, specialmente nelle organizzazioni più grandi che sono cresciute attraverso fusioni e acquisizioni. Più unità di business sono disparate in un'organizzazione, più frammentato è il reporting. Lo stesso vale per le tecnologie utilizzate per la segnalazione; con l'aumentare del numero di sistemi diversi, aumentano il numero e i tipi di rapporti sulla sicurezza. Per gestire efficacemente un'azienda dal punto di vista della sicurezza, è necessario comprendere le informazioni e il loro effetto sul business. Inoltre, le metriche devono essere definite in modo tale che le prestazioni possano essere misurate e tracciate. Quando l'azienda ha identificato il tipo di informazioni richieste per i suoi report,può scegliere di centralizzare e consolidare queste informazioni in un dashboard di sicurezza per fornire una vista unificata dei dati disponibili.

TIPI DI RELAZIONI DI SICUREZZA

Per impostare un meccanismo di reporting standard, le aziende identificano innanzitutto i tipi di informazioni sulla sicurezza generate dai loro sistemi di sicurezza. Ad esempio, a livello tecnico, è possibile utilizzare le informazioni provenienti da registri del sistema operativo, firewall, IDS e altri sistemi per identificare le anomalie, le potenziali minacce e gli eventi di sicurezza nell'ambiente. Un sottoinsieme di queste informazioni potrebbe essere utile per la gestione della sicurezza e un riepilogo ancora più piccolo delle informazioni sarebbe utile per la gestione superiore. La Figura 45 a pagina208 fornisce una panoramica delle informazioni di reporting comunemente rilevanti per ciascun gruppo in un'organizzazione.

Rapporti operativi Il team addetto alla sicurezza di un'organizzazione sarà maggiormente interessato a informazioni operative riassuntive che possano aiutarli a gestire le operazioni quotidiane dell'azienda, come ad esempio:
• Il numero di reimpostazioni della password in un determinato mese

• Il numero di modifiche / aggiunte / cancellazioni utente eseguite

• Il numero di incidenti di sicurezza

• Il numero di patch di emergenza applicate

La correlazione degli eventi e altri strumenti di analisi dei registri automatizzati possono aiutare gli amministratori e gli operatori a ordinare i dettagli e il volume dei registri e identificare le informazioni pertinenti necessarie per svolgere i loro lavori. Idealmente, questa informazione dettagliata dovrebbe essere rivista ogni giorno. Se sono disponibili sistemi in tempo reale o quasi in tempo reale, come IDS e sistemi di correlazione degli eventi, questo flusso di dati dovrebbe essere monitorato quasi costantemente.
Queste informazioni possono aiutare i responsabili della sicurezza a assegnare in modo efficace le risorse alle aree problematiche e identificare le aree in cui si potrebbero ottenere efficienze. La tempistica e lo stile dei rapporti variano in base alla cultura, all'industria e allo stile di gestione di un'organizzazione. Generalmente, il reporting operativo è più utile su base mensile o bisettimanale, a seconda del volume

Rapporti esecutivi I rapporti a livello dirigenziale sono molto meno frequenti e dovrebbero essere un riepilogo degli elementi significativi che interessano il business, nonché informazioni sulle tendenze relative allo stato di sicurezza dell'organizzazione. In questo caso, lo stile del rapporto varierà anche in base agli attributi organizzativi. Le aziende generalmente utilizzano rappresentazioni grafiche di stato e progressi rispetto agli obiettivi per comunicare in modo più efficace le informazioni. Nel reporting a livello dirigenziale, i dettagli tecnici e il gergo dovrebbero essere evitati.


Questo capitolo descrive i fornitori di prodotti e servizi per la sicurezza delle informazioni rappresentativi, a partire da ottobre 2003. I venditori sono classificati in base al tipo di prodotti che ciascuno offre nelle seguenti categorie: suite e piattaforme, gestione dell'identità, sicurezza dell'infrastruttura tecnologica, gestione delle minacce e delle vulnerabilità, e sicurezza wireless e mobile


gestione e sicurezza wireless e mobile.
Per una panoramica visiva delle offerte del fornitore in ciascuna attività di sicurezza primaria, vedere Figure46 a pagina214 e Figura47 a pagina216. Nella discussione che segue, i fornitori sono elencati nella categoria che comprende le loro offerte di prodotti primari, anche se forniscono prodotti che abbracciano altre categorie. Si noti che, analogamente al mercato generale della tecnologia, le società di start-up continueranno a sviluppare tecnologie avanzate e che è probabile che si verifichi il consolidamento del settore, con i fornitori di piattaforme e suite che acquisiscono fornitori specializzati.

■ Security Suite e le piattaforme Perché la vera protezione è necessaria la protezione e l'abilitazione a vari livelli dell'infrastruttura, molti prodotti fornitori di sicurezza di approvvigionamento in grado di unire diverse applicazioni per soddisfare un enterprise ' esigenze di sicurezza s. Questi possono comprendere la gestione delle identità, la sicurezza dell'infrastruttura tecnologica e la gestione di minacce e vulnerabilità.
BALTIMORE TECHNOLOGIES Baltimore Technologies offre all'azienda una varietà di prodotti per la sicurezza; la società rilascia anche certificati di sicurezza dell'infrastruttura a chiave pubblica (PKI) attraverso i suoi prodotti e servizi UniCert. I prodotti Baltimore sono disponibili singolarmente e in due suite principali: Trusted Business Suite e TrustedPortal per Oracle. Trusted Business Suite include moduli per l'accesso sicuro alla rete (inclusi VPN, crittografia, single sign-on, autenticazione utente e gestione dei diritti di accesso per gli utenti della rete Intranet, sicurezza della posta elettronica basata su certificato per intranet e utenti Web e contenuto del documento protetto e autenticato digitalmente gestione che si integra con Microsoft Office e Adobe Acrobat. TrustedPortal per Oracle offre sicurezza basata su certificati, autenticazione e gestione degli accessi ai portali Oracle 9i Application Server.
La società fornisce anche la sicurezza basata su PKI per i desktop Windows 2000 / XP, nonché la sicurezza basata su certificati per le reti wireless, con moduli rivolti ai carrier / ISP, banche, imprese e fornitori di tecnologia .
La tecnologia centrale di Baltimora è l'uso di certificati PKI per garantire che i dati siano autenticati, non manomessi e disponibili solo per il destinatario previsto. Tutte le applicazioni di Baltimora possono essere gestite utilizzando la tecnologia BASE sottostante. BASE è un prodotto di gestione del rilascio e del ciclo di vita del certificato confezionato che offre funzionalità avanzate   provisioning del certificato utente e firma in tempo reale e convalida del certificato. BASE include anche un modulo avanzato di sicurezza hardware, database e directory. Sia BASE che i moduli di soluzione offrono interfacce grafiche basate sul Web, menu personalizzati, download automatizzati e amministrazione delegata.
Nel settembre 2003, la società di servizi di sicurezza gestita beTRUSTed ha annunciato l'acquisizione del business PKI di Baltimora Technologies.
SOFTWARE BMC Come parte della sua linea di prodotti per la gestione dei sistemi aziendali, BMC Software fornisce due set di prodotti per la sicurezza. Uno è la sua suite Control-SA, un pacchetto di strumenti per gestire le identità degli utenti, le password e le politiche di accesso. La suite fornisce sistemi automatizzati unificati per la gestione delle identità degli utenti e dei diritti di accesso; self-service per la riabilitazione della password e le richieste di accesso; e auditing delle politiche di accesso. La suite Control può essere integrata con R / 3 di SAP. Gli altri prodotti correlati alla sicurezza di BMC sono moduli per il prodotto di gestione dei sistemi aziendali Patrol. I moduli di pattuglia sono disponibili nelle versioni Cisco e Check Point per monitorare e gestire i firewall.

COMPUTER ASSOCIATES

Computer Associates fornisce tre suite correlate destinate a gestire le identità degli utenti, creare e applicare le policy di accesso e rilevare il codice dannoso. Le suite eTrust fanno parte di un'identità aziendale globale e di un sistema di gestione delle policy che copre l'accesso alla rete, i privilegi di accesso al contenuto, la creazione dell'accesso con carta magnetica, i servizi di directory e le risorse umane. La suite consente agli account utente centralizzati di applicare le policy per le risorse IT e non IT, consentendo la gestibilità di un singolo account.
La suite eTrust Identity Management include strumenti per fornire certificati PKI single sign-on per l'autenticazione dell'utente, servizi di directory, convalida dei certificati e gestione degli account utente a livello aziendale. La suite eTrust Access Management fornisce strumenti per la gestione dell'accesso alla rete e al Web, il provisioning del firewall, la gestione della sicurezza del server e la gestione dell'accesso al database. La suite eTrust Threat Management fornisce strumenti per il rilevamento e l'eliminazione dei virus, il rilevamento delle intrusioni, il controllo dei criteri e il filtraggio dei contenuti (incluso il rilevamento peer-to-peer) sia per i sistemi aziendali che per i PC connessi alla banda larga. Computer Associates vende anche un sistema di gestione della sicurezza integrato per fornire un controllo unificato sulle applicazioni in tutte e tre le suite.

ENTRAASYS NETWORKS

La suite Secure Harbor combina funzionalità di rilevamento delle intrusioni e firewall in un set di strumenti hardware e software. Gli strumenti nel set di prodotti Secure Harbor possono fermare il traffico e le attività destabilizzanti; autenticare gli utenti nei punti di accesso alla rete; rilevare intrusioni e usi non consentiti della larghezza di banda (come attacchi di tipo denial of service e software peer-to-peer); gestire il traffico di rete in base alle politiche di sicurezza; e proteggere i dati tramite VPN globali (per applicazioni WAN-WAN e accesso remoto) e funzionalità avanzate di controllo e monitoraggio della rete. Gli strumenti dell'azienda operano su reti cablate e wireless, in ambienti fissi e mobili. Oltre ai suoi strumenti, Enterasys fornisce valutazioni della sicurezza e servizi di sicurezza gestiti.

EVIDIANA A

Filiale di Groupe Bull, Evidian fornisce la suite AccessMaster, una serie di moduli per la gestione delle policy di sicurezza. Il componente NetWall impone la protezione della rete da minacce interne ed esterne. Il componente PortalXpert fornisce single sign-on basato su policy per utenti intranet ed extranet di applicazioni aziendali basate sul Web. Il componente Single Sign-On consente alle aziende di implementare una politica di sicurezza di accesso per sistemi, applicazioni e dispositivi di accesso remoto esistenti. Il componente PKI Manager crittografa e fornisce firme digitali per applicazioni Web e e-mail. Il componente di politica di sicurezza gestisce i diritti degli utenti a livello centrale sui sistemi distribuiti in conformità con le politiche aziendali.

HEWLETT-PACKARD OPENVIEW

L'OpenView di HP è basato sull'architettura di Integrated Service Assurance (ISA) di HP, che consiste in un livello di servizio, un livello di integrazione e un livello di gestione dell'infrastruttura. OpenView include più di 50 prodotti incentrati sul provisioning del servizio, sulla garanzia del servizio integrata e sull'utilizzo del servizio. Un componente aggiuntivo, HP OpenView Advanced Security, fornisce comunicazioni sicure per la gestione di sistemi, database e applicazioni su infrastrutture di rete non protette. Molte applicazioni di terze parti possono essere integrate con OpenView, incluse quelle per la sicurezza, la notifica della pianificazione del lavoro , l'amministrazione del desktop, la simulazione e l'analisi del sito web. La combinazione dei prodotti è la console iNOC di HP, uno strumento di reporting gestionale basato sul Web che fornisce un singolo punto di accesso ai prodotti.
La divisione Tivoli di IBM IBM fornisce soluzioni di gestione della sicurezza per le applicazioni di e-business. La sua soluzione di gestione delle identità gestisce gli utenti, i diritti di accesso e le preferenze sulla privacy. La suite include moduli per la gestione delle identità, la gestione delle directory e la gestione delle policy. La soluzione IBM per la gestione degli eventi di sicurezza aiuta il personale IT a monitorare, correlare e rispondere agli incidenti di sicurezza. La suite include i moduli Intrusion Detector e Risk Manager; IBM ha recentemente ampliato le funzionalità di Risk Manager per gestire gli eventi di sicurezza da database IBM DB2 Universal, Oracle e Microsoft SQL Server. Nel 2002, IBM ha acquisito il provider di gestione delle identità Access360 e sta incorporando le sue tecnologie nelle soluzioni Tivoli.

Il ramo dei servizi professionali di IBM, IBM Global Services, aiuta le imprese a valutare, progettare e implementare tecnologie e policy per rafforzare la sicurezza e la privacy in ambienti sia cablati che wireless e fornire certificati PKI da utilizzare nei sistemi ebusiness.

INTRUSIONE

Intrusion fornisce strumenti di rilevamento delle intrusioni, VPN / firewall e valutazione delle vulnerabilità. Il software SecureNet Provider dell'azienda per aziende e provider di servizi gestiti offre una visualizzazione ad albero personalizzabile per eseguire il cross-index dei dati di rilevamento delle intrusioni. SecureNet utilizza sensori di rete, monitorati attraverso un'applicazione centrale, per rilevare possibili intrusioni. Un modulo opzionale Policy fornisce controlli di gestione delle policy e un modulo Nexus opzionale consente all'IT di controllare i controlli delle firme su tutti i sensori di rete. L'hardware VPN / firewall di Intrusion, la sua serie di appliance di sicurezza PDS, è costituito da piattaforme Linux basate su Intel che utilizzano il software firewall e VPN Check Point. Intrusion fornisce inoltre SecurityAnalyst, uno strumento di valutazione che non richiede l'installazione di agenti software sui sistemi di destinazione.È progettato per fornire dati di audit centralizzati di tutte le funzionalità di sicurezza di Windows essenziali e ha funzionalità di definizione e reporting delle policy integrate.

Micromuse

La suite di prodotti Netcool di Micromuse raccoglie e consolida i dati dall'applicazione, dal sistema e dai livelli di rete dell'infrastruttura IT, offrendo al personale IT una visione consolidata degli eventi di rete in tempo reale. Le applicazioni nella suite possono verificare che le applicazioni di rete o i servizi Internet siano in esecuzione. La suite include strumenti di analisi, reportistica e di autodiscovery di rete, nonché funzionalità per automatizzare le risposte e informare immediatamente particolari individui, sistemi e processi relativi a problemi IT che influiranno sul servizio. L'applicazione Netcool / Firewall funziona con i firewall di Check Point e Cisco Systems, fornendo rilevamento delle intrusioni, risposta agli attacchi, acquisizione in tempo reale e visualizzazione dei registri del firewall e una visualizzazione dashboard dello stato del firewall.

MICROSOFT

Da quando Microsoft ha annunciato la sua iniziativa Trustworthy Computing nel gennaio 2002, la società ha annunciato una serie di prodotti con caratteristiche di sicurezza migliorate. Microsoft Windows Server 2003 include la sicurezza integrata per l'accesso ai file, la crittografia, la protezione tramite password e la gestione delle directory di identità degli utenti. Sono possibili diversi livelli di sicurezza, con diversi livelli per applicazioni precedenti, applicazioni attuali e applicazioni progettate con rigide funzionalità di sicurezza.
Windows Server 2003 offre anche il Common Language Runtime, che controlla dove è stato scaricato il codice basato su browser e se è stato modificato da quando è stato firmato; Firewall connessione Internet per proteggere i computer connessi direttamente a Internet; e Internet Authentication Server per l'autenticazione RADIUS. Microsoft fornisce inoltre una serie di strumenti per la valutazione e la gestione delle impostazioni di sicurezza di Windows Server, nonché di Internet Information Server 2003 ed Exchange Server.
Nell'aprile 2003, la Business Unit Security di Microsoft ha annunciato che la società introdurrebbe nuove tecnologie e strumenti di sicurezza in quattro aree critiche entro aprile 2004: gestione delle patch, gestione dei diritti digitali, sviluppo delle applicazioni e accesso alla rete. Tra i prodotti di gestione delle patch inclusi in questo sforzo sono Systems Update Server 2.0, Systems Management Server 2.0 e Baseline Security Analyzer 1.2. Inoltre, Microsoft prevede di espandere l'aggiornamento automatico c   Nell'ambito dello sviluppo delle applicazioni, Visual Studio .NET e .NET Framework 1.1 forniranno un maggiore controllo e guida agli sviluppatori che necessitano di proteggere le applicazioni Web per i client basati su Windows. Nell'area di accesso alla rete, Microsoft ha iniziato a offrire WPA (Wi-Fi Protected Access) come download per Windows XP SP1 nel maggio 2003.
Il rilevamento e la prevenzione di codici dannosi sono diventati una priorità molto più alta per l'azienda dopo una serie di vulnerabilità dei virus sfruttate in vari prodotti Microsoft. Nel maggio 2003, Microsoft ha fondato congiuntamente Virus Information Alliance (VIA) con Network Associates e Trend Micro. Computer Associates, Sybari e Symantec hanno quindi aderito all'alleanza nel luglio 2003. La VIA intende condividere informazioni sui virus e i metodi di prevenzione per i virus che attaccano i prodotti Microsoft.

Microsoft ha annunciato l'intenzione, nel giugno 2003, di acquisire la proprietà intellettuale e le risorse tecnologiche di GeCAD Software, un fornitore rumeno di software antivirus. Questo annuncio è seguito all'acquisizione da parte di Microsoft nel 2002 di Pelican Software, un produttore di software di blocco del comportamento che controlla le chiamate ai sistemi operativi dalle applicazioni per monitorare l'aderenza alle policy.
Microsoft continua ad essere attiva nel campo della gestione delle identità. Nel luglio 2003, la società ha introdotto Microsoft Identity Integration Server, un metadirectory e un prodotto di provisioning degli utenti. Microsoft Identity and Access Management Solution Accelerator, un prodotto correlato creato in collaborazione con PricewaterhouseCoopers, è progettato per aiutare le aziende a pianificare e costruire un'infrastruttura di gestione delle identità.

NETIQ

L'acquisizione di PentaSafe Security Technologies da parte di NetIQ ha fornito all'azienda una suite di strumenti di sicurezza per l'azienda sotto il nome di VigilEnt Integrated Security Management. La sua politica e la gestione della conformità crea, implementa e applica le politiche di sicurezza per gli utenti e le risorse. La sua amministrazione e gestione delle identità fornisce agli utenti e fornisce la gestione delle password self-service. La sua vulnerabilità e gestione della configurazione stabilisce e gestisce le configurazioni di sicurezza e identifica anche le vulnerabilità. Gestione degli eventi e degli eventi previene e rileva le intrusioni, consolida i registri degli eventi e analizza gli eventi di sicurezza in tutta l'azienda.

ASSOCIAZIONI DI RETE

Due divisioni Network Associates forniscono strumenti di sicurezza per l'azienda. McAfee fornisce l'utilità Desktop Firewall per bloccare il traffico di rete non autorizzato e dannoso, come quello generato dal software peer-to-peer, utilizzando le firme per il rilevamento dei pacchetti, il monitoraggio delle applicazioni e il rilevamento delle intrusioni che McAfee ha sviluppato. Il compagno VirusScan Enterprise fornisce protezione antivirus per i sistemi Windows in tutta l'azienda e ePolicy Orchestrator consente al personale IT di gestire le politiche di sicurezza, gli aggiornamenti di firma e software e altre impostazioni sulla rete. Altri strumenti antivirus sono disponibili per i sistemi Macintosh e UNIX; client wireless e thin; dispositivi mobili; Server di posta elettronica Microsoft Exchange e IBM Lotus Domino; e file server NetApp e NetWare. McAfee fornisce anche appliance per e-mail e gateway Internet per bloccare virus e altri codici dannosi, nonché spam per e-mail. La divisione Sniffer Technologies fornisce il set di prodotti Sniffer per analizzare e segnalare le vulnerabilità della rete. Ci sono opzioni per coprire i segmenti della rete vocale e wireless.

NOKIA

Nokia offre una gamma di strumenti di sicurezza per gli utenti aziendali, inclusi dispositivi firewall / VPN che utilizzano il software Check Point e ISS; un'appliance e-mail che esamina la posta elettronica per virus e spam utilizzando il software di vari partner; e client VPN per diversi telefoni cellulari abilitati ai dati Nokia. L'hardware di Nokia utilizza il proprio sistema operativo IPSO sicuro nelle sue appliance. La società collabora inoltre con una serie di altre società, tra cui F5 Network, Check Point, Trend Micro, Permeo Technologies, SurfControl, Tripwire, FishNet Security e ISS, per fornire soluzioni complete per la sicurezza aziendale.

SISTEMI PALAZIALI

Palisade fornisce una varietà di prodotti per la gestione della rete, tra cui diversi per la gestione della sicurezza. L'appliance di rete ScreenDoor blocca, monitora e gestisce varie funzioni di rete interne, come l'uso del protocollo di rete, l'uso degli indirizzi IP e l'accesso al sistema interno. L'appliance PacketHound rileva e gestisce l'uso di applicazioni e protocolli di rete, come streaming media, radio Web e condivisione file peer-to-peer distribuita. L'appliance FireBlock consente alle organizzazioni di monitorare e applicare policy di accesso a livello di rete sulle loro reti interne. Il dispositivo SmokeDetector fornisce funzionalità di decoy elettronico (rilevamento introne di honeypot) per attirare, rilevare e ritardare i tentativi di attacco. L'applicazione FireMarshal basata su Windows gestisce a livello centrale le appliance di rete Palisade.
PASSGO PassGo offre una varietà di strumenti di sicurezza, principalmente per ambienti UNIX e OS / 390, compresa la gestione delle identità; single sign-on; sincronizzazione con password reimpostata su più piattaforme; autenticazione basata su hardware e software per la sicurezza perimetrale (incluso un modulo per l'accesso alla posta elettronica basato sul Web); e controllo di gestione accessi e sessioni per server e siti web. I suoi prodotti di punta sono la soluzione di autenticazione di accesso e il server Webthority e la soluzione di gestione degli accessi Web. Una versione LDAP del suo software Defender è in fase di sviluppo.

RSA SECURITY RSA

fornisce sia software di autenticazione e di gestione degli accessi per le imprese, sia servizi professionali, strumenti di sicurezza per gli sviluppatori di software (compresa la sua libreria di prodotti Bsafe) e formazione sulla sicurezza attraverso conferenze e pubblicazioni. Il focus primario di RSA è l'autenticazione di token hardware e software, smart card e certificati digitali per l'utilizzo in VPN, e-mail, intranet, extranet e accesso Web. Per gestire tali meccanismi di autenticazione, RSA fornisce la famiglia di prodotti Keon, con moduli per server Web SSL, VPN sicura, e-mail protetta e firme digitali. Per la gestione degli accessi, il software ClearTrust di RSA aiuta le aziende a gestire e applicare una politica di autenticazione centralizzata, fornendo al tempo stesso single sign-on per gli utenti basati sul Web. Il software di autenticazione RSA Mobile è progettato per utilizzare telefoni cellulari, PDA e l'infrastruttura SMS (Short Message Service) per fornire rapidamente codici di accesso una tantum agli utenti finali per l'accesso sicuro alle applicazioni basate sul Web. Per gli sviluppatori, RSA fornisce strumenti per integrare le tecnologie di crittografia e firma digitale in applicazioni aziendali, desktop e mobili.

SECURE COMPUTING

Secure Computing offre tre linee di prodotti: una per l'autenticazione utente e la gestione degli accessi, una per il provisioning del firewall e l'altra per il filtro Web. L'azienda fornisce anche servizi professionali per valutare e implementare prodotti in ciascuna area. Il set di strumenti SafeWord fornisce servizi di autenticazione per garantire che solo gli utenti autorizzati abbiano accesso a vari sistemi interni ed esterni. Le capacità includono password monouso, funzionamento Citrix, utilizzo di vari protocolli token (tra cui smart card, dati biometrici, token USB e certificati digitali) e autenticazione intermediata. Il firewall Sidewinder G2 basato su UNIX offre ispezioni stateful, proxy a livello di circuito, filtraggio delle applicazioni, server protetti, rilevamento delle intrusioni in tempo reale e risposta automatica. Secure Computing fornisce anche un client VPN complementare. La società fornisce inoltre SmartFilter per il filtraggio degli URL, che può funzionare con l'hardware Cisco per prevenire il traffico peer-to-peer.

SecureWorks

SecureWorks offre la prevenzione delle intrusioni a livello di rete e host, un servizio di firewall commerciale gestito e la valutazione della vulnerabilità. Il servizio di prevenzione delle intrusioni di SecureWorks per le reti può prevenire attacchi di rete dannosi bloccandoli tramite filtraggio dei pacchetti, non solo rilevandoli e segnalandoli. Il servizio di prevenzione delle intrusioni basato su host SecureWorks fornisce il blocco degli attacchi basato sul comportamento in tempo reale; protezione contro attacchi che aggirano la sicurezza perimetrale; e gestione delle politiche. Sia i servizi a livello di rete che quelli di host forniscono monitoraggio e notifica 24 ore su 24, oltre a rapporti. Il SecureWorks Commercial Firewall Service fornisce la gestione della sicurezza per FireWall-1 di Check Point su piattaforme Nokia e Solaris, nonché per alcuni firewall Cisco PIX. Il servizio di valutazione delle vulnerabilità di SecureWorks fornisce viste sia interne che esterne al perimetro della rete dell'abbonato e report online sicuri da qualsiasi browser Web.

MICROSYSTEMS SUN

Sun fornisce strumenti di sicurezza a livello di sistema operativo per l'azienda. Il sistema operativo Trusted Solaris fornisce funzionalità firewall per gli ambienti Sun SPARC e Intel x86. Tra le sue funzionalità, Trusted Solaris garantisce che tutte le azioni amministrative siano riconducibili a un individuo autenticato; controlla tutte le transazioni; richiede che tutti gli oggetti siano etichettati e che tutti gli utenti abbiano livelli di spazio definiti; e assicura che i dati vengano inviati solo ad altri utenti (o dispositivi) certificati allo stesso livello di accesso o ad uno superiore. Il meccanismo di autenticazione di Solaris Enterprise opzionale fornisce un singolo repository per le informazioni di autenticazione aziendale. Questo repository di informazioni ha lo scopo di ridurre il rischio che i dipendenti ottengano l'accesso a informazioni non autorizzate e di condividerle con estranei, secondo Sun, un evento più comune delle intrusioni esterne. La versione standard di Solaris 9 dell'azienda prevede la crittografia a 128 bit, oltre all'esecuzione di protocolli di sicurezza DES, 3DES, IPSec, Kerberos, Pluggable Authentication Module, smart card, SKIP e SunScreen. Sun fornisce inoltre ONE Directory Server per gestire i dati di identificazione.

SYMANTEC

Symantec fornisce strumenti aziendali per la valutazione delle policy di sicurezza e la rilevazione e la prevenzione dei virus. Enterprise Security Manager rileva le deviazioni e le vulnerabilità delle policy e consente agli amministratori di rete di correggere le impostazioni errate per ripristinare la conformità dei sistemi. Funziona su una varietà di piattaforme tra cui Windows NT / 2000, Novell NetWare, OpenVMS, Linux e la maggior parte delle varietà di UNIX e si integra nei pacchetti di gestione dei sistemi aziendali esistenti come HP OpenView, IBM Tivoli Enterprise e BMC Patrol. L'Enterprise Incident Manager gestisce gli avvisi sugli incidenti di sicurezza da vari dispositivi e programmi, per stabilire le priorità e indirizzarli al personale IT. Event Manager per Antivirus offre funzionalità simili per il rilevamento degli incidenti di virus, inclusi i virus rilevati da strumenti antivirus di terze parti, utilizzando un modulo opzionale.

Symantec vende anche il proprio software antivirus che può essere gestito e implementato sulla rete e tramite installazioni desktop. Una versione di Terprise combina l'antivirus e il rilevamento delle intrusioni per l'uso all'interno di una rete aziendale e da utenti remoti. Altri moduli software forniscono la valutazione della vulnerabilità e il rilevamento delle intrusioni. Per le piccole imprese, Symantec fornisce un'appliance di sicurezza gateway per rilevare intrusioni e virus, filtrare i contenuti Internet e fornire funzionalità VPN e firewall.

Ubizen

Ubizen fornisce servizi di gestione della sicurezza 24 ore su 24 per l'azienda, fornendo una gestione basata sul contratto di servizio per firewall, sistemi di gestione delle identità e VPN. L'azienda lavora con una varietà di hardware e software, inclusi i firewall Check Point e Cisco e le sonde di rilevamento delle intrusioni di rete Cisco e ISS, con il supporto per i nuovi prodotti aggiunti regolarmente. Oltre ai servizi di monitoraggio e risposta, i servizi di gestione di Ubizen OnlineGuardian comprendono l'aggiornamento delle politiche di rilevamento delle intrusioni di firewall e di rete e l'installazione di nuove patch e aggiornamenti di sicurezza. Il cuore del servizio di monitoraggio di Ubizen è la tecnologia SEAM, che raccoglie ed elabora i dati generati da altri dispositivi di sicurezza, normalizza e analizza i dati ed evidenzia solo quelli che possono rappresentare un rischio per la sicurezza. Ubizen protegge inoltre i server Web dagli attacchi a livello di applicazione con Ubizen DMZ / Shield Enterprise, che intercetta le richieste per garantire che siano autentiche e in linea con le politiche di sicurezza. Se una richiesta non corrisponde, viene respinta.

VERISIGN

VeriSign fornisce servizi di autenticazione, pagamento sicuro e certificati digitali, principalmente attraverso servizi gestiti.
La società fornisce certificati SSL per siti Web e altre applicazioni di e-commerce, con crittografia a 128 bit il livello di sicurezza standard. Per una maggiore sicurezza, VeriSign ha un modulo hardware conforme allo standard di sicurezza FIPS-2. Per le aziende che richiedono certificati in corso, VeriSign fornisce uno strumento per generare automaticamente i certificati necessari dal sistema VeriSign, nonché un programma logo che mostra agli utenti che il sito Web di una società ha superato gli standard di sicurezza e sicurezza di VeriSign. VeriSign fornisce servizi di autenticazione che emettono un certificato SSL solo dopo che VeriSign ha verificato un utente o un sito. L'azienda può convalidare i consumatori utilizzando le informazioni sul credito, i medici che utilizzano i database dei professionisti e i clienti business-tobusiness che utilizzano vari database aziendali. VeriSign fornisce anche servizi per la gestione di firewall, VPN e rilevamento delle intrusioni. Inoltre, fornisce un motore di elaborazione dei pagamenti sicuro per i siti di e-commerce.

Vigilar

Vigilar offre servizi di consulenza e gestione per una serie di requisiti di sicurezza aziendali, tra cui gestione delle identità, gestione degli accessi, rilevamento delle intrusioni, sicurezza delle applicazioni Web e dei database, sicurezza dei contenuti, sicurezza WLAN e sicurezza del perimetro della rete. La società utilizza strumenti software e hardware di diversi produttori per implementare una strategia di sicurezza. Fornisce inoltre servizi di sicurezza aziendale gestiti.

■ Gestione delle identità

I prodotti di gestione delle identità comprendono i seguenti componenti: autenticazione, controllo degli accessi, servizi di directory e tecnologie di gestione degli utenti. I fornitori di gestione delle identità possono vendere suite complete o concentrarsi solo su componenti specifici

ActivCard

ActivCard consente all'IT di consolidare le credenziali di identità su un'unica smart card sicura. Il prodotto CAC funge da ID foto e da dispositivo di sicurezza che consente l'accesso sicuro a Microsoft Windows e alla rete, il blocco del PC, la VPN sicura e la posta elettronica protetta con firme digitali. Le infrastrutture IT esistenti sono integrate con le directory aziendali e i servizi PKI per semplificare il problema e la gestione degli ID digitali. Per l'accesso remoto, ActivCard Secure Remote Access Solution utilizza token, chiavi USB e smart card (che possono essere implementate contemporaneamente) per emettere password monouso e gestire il dispositivo che le genera. Trinity Enterprise Secure Sign-on include una piattaforma di autenticazione multifattoriale che consente alle aziende di proteggere l'accesso tramite smart card, impronte digitali biometriche, token hardware, password o una combinazione di questi metodi. Trinity può anche ridurre o eliminare nomi utente e password, quindi gli utenti non devono più ricordare o gestire queste credenziali; consente inoltre diverse attività di accesso e accesso per l'accesso alle piattaforme e alle applicazioni di destinazione.

SISTEMI DI CONOSCENZA ALADDIN

Aladdin fornisce diversi prodotti per il controllo degli accessi. La sua linea HASP offre protezione software basata su hardware tramite chiavette. Il suo prodotto software Privilege fornisce e-commerce sicuro per la distribuzione di software elettronici, attivazione software, acquisti e download online, protezione software antipirateria e licenze software. Il prodotto eSafe di Aladdin protegge da virus, codice dannoso, spam e contenuti Web indesiderati tramite la sicurezza del gateway Web e della posta elettronica, l'applicazione dei criteri Internet di un'azienda e le appliance di sicurezza. Il suo software eToken fornisce autenticazione, accesso Web c

ontrol, crittografia, archiviazione di certificati digitali, PKI portatile e accesso remoto.

AVAYA

La suite di prodotti Access Security Gateway di Avaya fornisce la sicurezza hardware di tipo challenge / response, in cui gli utenti devono immettere un PIN generato dinamicamente per ottenere l'accesso. Esistono versioni a quattro porte e sedici porte dell'hardware del gateway, nonché la chiave delle dimensioni della carta di credito che genera la chiave di risposta corretta per gli utenti finali. I gateway forniscono un'autenticazione con chiave DES a 56 bit.

SISTEMI BLOCKADE

La suite ManageID di Blockade offre servizi di gestione delle identità per l'azienda. I tre componenti della suite, IDentiserv, Selfserv e Syncserv, sono progettati per aziende distribuite con più sistemi e fino a centinaia di migliaia di utenti. Fornisce la creazione e il provisioning delle identità e gestisce il controllo degli accessi e altre politiche. La suite consente il self-service dei dipendenti e la sincronizzazione dei controlli di accesso in un ambiente distribuito, in modo che ogni utente abbia bisogno di un solo nome utente e password per accedere alle risorse aziendali. La suite consente all'IT di delegare attività di gestione delle identità, mantenendo al contempo autorità e gestione centrali. Blockade fornisce anche ESaccess, che fornisce controllo e gestione centralizzati degli accessi aziendali utilizzando i sistemi IBM OS / 390 o z / OS Enterprise Server per amministrare l'accesso degli utenti Web alle risorse Web aziendali. Fornisce un controllo dell'accesso centralizzato basato sui ruoli per l'amministrazione e il controllo dell'accesso degli utenti.

STRATI AZIENDALI

Il software eProvision di Business Layers utilizza profili utente basati su XML per abilitare il controllo degli accessi basato sui ruoli, il provisioning automatico e altre funzionalità di gestione degli utenti. eProvision apporta modifiche agli accessi degli utenti rispondendo ai flussi di informazioni sui cambiamenti aziendali dai sistemi di risorse umane aziendali come PeopleSoft o agli input diretti. eProvision amministra le modifiche necessarie ai profili utente e quindi regola i diritti di accesso utilizzando la pianificazione e il monitoraggio delle attività del flusso di lavoro.

Cafesoft

Cafesoft fornisce Web SSO e prodotti per il controllo degli accessi per applicazioni basate su Java, server di applicazioni J2EE e server Web, tra cui Apache, BEA WebLogic, Jboss, Microsoft IIS e Oracle 9iAS. Le aziende integrano gli agenti Cam dell'azienda nelle loro applicazioni e server Web. Gli agenti delegano le richieste degli utenti al server Cam, che autentica gli utenti rispetto agli strumenti di directory standard e alle politiche di sicurezza gestite. La società vende anche librerie e strumenti per programmatori Cam, incluse le API Java standard e gli strumenti di personalizzazione per la creazione e la distribuzione di applicazioni Web.

Calendra

Calendra è specializzata nella gestione dei contenuti delle directory e offre strumenti per aggregare, presentare e gestire le informazioni della directory, in particolare per la gestione delle identità e gli utenti. Il prodotto principale dell'azienda, Calendra Directory Manager, è uno strumento di gestione e sviluppo del contenuto delle directory LDAP che può facilitare l'amministrazione delle identità, l'amministrazione delegata e la trasformazione del modello di identità. Calendra Directory Manager integra, anziché sostituire, le architetture dei servizi di directory esistenti e opera con i server di directory di numerosi fornitori.

PERCORSO CRITICO

Percorso critico fornisce diversi strumenti per gestire le identità degli utenti, comprese le autorizzazioni di accesso e le password. Il prodotto di Integration Data e Directory di Critical Path integra profili utente diversi in un unico repository centralizzato, sincronizzando le informazioni e garantendo dati coerenti su più sistemi e applicazioni. Il prodotto di provisioning utente di Critical Path semplifica il processo di concessione e revoca dell'accesso utente a risorse e applicazioni. Il prodotto di gestione delle password di Critical Path applica le norme sulle password in tutta l'azienda, sincronizzando le password su più applicazioni e sistemi e abilitando il self-service della password utente.

DOCUMENTUM

Il fornitore del sistema di gestione dei documenti Documentum fornisce il modulo dei servizi di contenuto attendibili per proteggersi da accessi non autorizzati, indipendentemente da dove sono archiviate o trasmesse le informazioni. Le funzionalità chiave per la protezione del contenuto includono la crittografia del repository, la comunicazione crittografata, l'autenticazione avanzata, il Single Sign-On, il supporto dei certificati e maggiori funzionalità di sicurezza (come le firme digitali). Nell'ottobre 2003, il fornitore di storage EMC annunciò che avrebbe acquisito Documentum.

AFFIDARE

La tecnologia di Entrust si concentra sull'assicurazione dell'identità attraverso l'autenticazione e le firme digitali. Entrust fornisce funzionalità di gestione delle identità sicure attraverso una varietà di prodotti di rete per portali Web, moduli elettronici, certificati server Web e WAP, accesso a messaggistica, file e cartelle, VPN e WLAN. Questi prodotti si basano sugli strumenti di identità e gestione delle policy di Entrust, che creano le firme digitali PKI richieste e altri meccanismi di autenticazione, se necessario. Il suo prodotto TruePass fornisce l'autenticazione basata su PKI per i servizi Web e viene convalidato come conforme allo standard di sicurezza FIPS 140-1 federale. Entrus

Il PKI di T è anche un elemento centrale della Federal Bridge Certification Authority (FBCA), utilizzato per convalidare la sicurezza per le transazioni da governo a governo ed è interoperabile con tutti i principali software dei fornitori di FBCA. La società collabora con Waveset per fornire provisioning utente, password, gestione dei profili e strumenti di flusso di lavoro simili.

MAXWARE

I prodotti di gestione delle identità di MaXware forniscono un insieme di processi e un'infrastruttura sottostante per la creazione, la manutenzione e la rimozione dei dati di identità, inclusi attributi, credenziali e titolarità. Invece di richiedere una directory centralizzata, i prodotti orientati al middleware di MaXware possono integrare e sincronizzare più directory e repository per le imprese distribuite.
NETEGRITY Netegrity fornisce servizi di autenticazione, gestione dell'identità e gestione degli accessi per i sistemi di e-business e per le reti interne di un'azienda. La suite include gestione dell'autenticazione, single sign-on, controllo degli accessi, amministrazione degli utenti e provisioning delle risorse in ambienti eterogenei.

SiteMinder fornisce la gestione delle policy e i controlli di accesso fondamentali; TransactionMinder fornisce il controllo degli accessi basato su criteri ai servizi Web e ai documenti XML. Netegrity fornisce anche due versioni di IdentityMinder, una per l'amministrazione degli utenti e l'integrazione delle directory e una per il provisioning delle identità. Altri moduli forniscono la gestione delle password, i limiti di accesso-concorrenza, il servizio FTP, l'autenticazione wireless per dispositivi mobili e i connettori a Oracle, LDAP IBM OS / 390, FileNet Panagon, PeopleSoft, SAP ITS, Citrix Enfuse, RADIUS e Siebel. La compagnia offre anche servizi professionali.

NOVELL

Novell fornisce la suite Nsure per fornire la gestione delle identità per l'azienda. Basato sul servizio di directory LDAP eDirectory di Novell, Nsure fornisce un sistema centralizzato per la gestione delle identità e l'autorizzazione dell'accesso a tali identità. I componenti di Suite includono DirXML, che utilizza XML per aggiornare bidirezionalmente directory e database con informazioni di identità; Risorse Nsure, uno strumento per concedere e revocare l'autorizzazione all'accesso; iChain, un sistema di accesso unificato per siti Web e componenti di rete connessi; SecureLogin, un provider single sign-on per reti eterogenee; Novell Modular Authentication Service, per la gestione delle informazioni biometriche e di autenticazione; e BorderManager, che consente alle aziende di tracciare la rete degli utenti e le attività Web in base alle loro identità.

SFUMATURA

Come leader nel riconoscimento vocale del computer, Nuance fornisce sistemi per il controllo dell'accesso biometrico. Il software Nuance Verifier è in grado di identificare correttamente voci umane distinte su una varietà di canali e dispositivi, tra cui apparecchiature sia cablate che wireless. Se combinato con il riconoscimento vocale, questo software consente agli utenti di identificarsi e autenticarsi al telefono a voce, anziché tramite numeri di identificazione personale o altri metodi. Altre applicazioni includono il login di rete e il controllo dell'accesso al sito fisico. A partire da ottobre 2003, il software di riconoscimento vocale supporta diciotto lingue. Nuance fornisce inoltre software di sintesi vocale per l'invio di prompt e sfide per le password tramite voce sintetizzata.

Oblix

Oblix fornisce due sistemi di gestione delle identità aziendali per gestire le identità digitali e l'accesso degli utenti in tutta l'organizzazione e oltre i confini aziendali. Uno è NetPoint, che fornisce sia la gestione dell'identità aziendale sia il controllo dell'accesso Web. L'altro è IDLink, che integra NetPoint di Oblix con il prodotto Control-SA di BMCSoftware. Per l'interoperabilità con altre applicazioni aziendali, NetPoint utilizza la tecnologia SAML per consentire alle applicazioni o ai sistemi di accedere ai servizi di autenticazione e autorizzazione di Oblix NetPoint. Il suo componente IdentityXML consente ad altre applicazioni aziendali di integrarsi con le funzionalità di gestione delle identità di NetPoint. NetPoint include un set di interfacce di programmazione delle applicazioni per le funzionalità di accesso e identità, nonché i connettori per gli ambienti BEA WebLogic e IBM WebSphere Application Server.

RETE APERTA

Universal Identity Platform (IdP) di OpenNetwork è un sistema completo di gestione delle identità e controllo degli accessi per reti, domini, servizi e applicazioni in tutta l'azienda. La console di Universal Identity Manager è disponibile come un'applicazione Java o .NET. Gli strumenti di gestione del flusso di lavoro di OpenNetwork semplificano la creazione, la modifica e l'eliminazione degli account utente, nonché la concessione o la revoca dell'accesso alle risorse. Fornisce funzionalità Single Sign-On per applicazioni basate sul Web, con connettori per prodotti di fornitori leader tra cui BEA, IBM, Microsoft, PeopleSoft, Plumtree, SAP e Vignette. Questa funzionalità può essere estesa per includere applicazioni in più organizzazioni tramite Single Sign-On federato utilizzando SAML e Microsoft Passport.

ORACOLO

Tra le molte offerte di Oracle ci sono i prodotti per la gestione delle identità e degli accessi. L'ora

cle Internet Directory è un server compatibile con LDAP integrato nel database Oracle 9i. Agisce come un repository centrale per l'archiviazione di un'ampia varietà di informazioni sugli utenti, tra cui credenziali, profili, preferenze applicative e gestione della rete e dati sulle politiche. La directory stessa supporta l'autenticazione protetta tramite elenchi di controllo degli accessi e SSL. Internet Directory è il componente di identità obbligatorio per la maggior parte delle applicazioni di e-business Oracle.
Basandosi su Internet Directory, Oracle's Identity Management offre un pannello di controllo centrale integrato per la gestione dell'identificazione degli utenti e del controllo degli accessi. Facilita il single sign-on per J2EE, Web e applicazioni precedenti, inclusi quelli di Oracle e di terze parti. La suite include anche un software di autorità di certificazione per abilitare l'infrastruttura a chiave pubblica (PKI). I clienti che desiderano sviluppare applicazioni di calcolo distribuito o grid su reti discrete o organizzazioni sono un particolare mercato di riferimento per questo prodotto.

Passlogix

Il software Passlogix V-Go consente il single sign-on prendendo qualsiasi forma di autenticazione, tra cui password, PKI, smart card, token e dati biometrici, e connettendosi a mainframe, Windows, Web e applicazioni personalizzate. Abilita il Single Sign-On da qualsiasi computer all'interno o all'esterno del firewall, connesso o disconnesso da una rete.

IDENTITÀ PING

La società gestisce la rete PingID, una rete di gestione delle identità federata e fornisce altri servizi relativi all'idM federato. PingID Network fornisce ai suoi membri accordi commerciali e sulla privacy standardizzati, politiche e procedure per l'interoperabilità e servizi di interscambio di identificazione condivisa, tra le altre caratteristiche. Il servizio Liberty Interoperability Validation Environment (LIVE) dell'azienda fornisce un ambiente di test per le aziende che implementano SSO federato basato su Liberty Alliance. Il servizio PISA (Ping Identity Confidence Assertion) emette una metrica comune per misurare la confidenza delle asserzioni di autenticazione tra entità.

PHAOS TECHNOLOGY

Phaos offre una gamma di prodotti per la gestione dell'identità, la crittografia e la sicurezza XML. I suoi prodotti di gestione delle identità facilitano il single sign-on federato per le applicazioni di commercio e i servizi Web. Il modello di identità di Phaos si basa sugli standard del Liberty Alliance Project (di cui Phaos è un membro sponsor). Phaos fornisce inoltre toolkit e piattaforme per lo sviluppo di applicazioni sicure, tra cui crittografia sicura per XML, infrastruttura a chiave pubblica (PKI) e comunicazioni sicure basate su SSL per applicazioni Internet e dispositivi mobili.

PROTOCOM

Protocom offre diversi prodotti di accesso sicuro per gli ambienti Microsoft Windows e Active Directory, nonché per gli ambienti Novell NDS. I prodotti SecureLogin forniscono il single sign-on per tutte le applicazioni aziendali, sia in-house che off-shelf; gli utenti accedono al sistema una volta, dopo di che SecureLogin gestisce tutti gli altri accessi al sistema e alle applicazioni. Il modulo di autenticazione avanzata integra l'autenticazione basata su software e / o hardware per l'accesso; il modulo di ripristino della password self-service consente agli utenti finali di reimpostare le proprie password, utilizzando un browser Web.

SIEMENS

Siemens Information and Communication Networks (ICN) fornisce prodotti e sistemi di gestione delle identità per le reti carrier e aziendali. Questi prodotti fanno parte del portafoglio HiPath Slcurity Solutions e comprendono MetaDirectory, HiPath Voice over IP (VoIP) e il sistema basato su smart card Intelligent Digital Passport per la sicurezza fisica e di rete.
HiPath MetaDirectory consente la sincronizzazione delle informazioni di identità residenti in più posizioni. Siemens ha collaborato con Entrust Technologies per sviluppare implementazioni PKI che prevedono l'utilizzo di MetaDirectory.
HiPath VoIP include strumenti di valutazione del rischio per l'analisi delle vulnerabilità IP per le applicazioni vocali, nonché funzionalità di rilevamento e autenticazione del chiamante.
Intelligent Digital Passport utilizza l'autenticazione biometrica e memorizza l'immagine, l'impronta digitale e l'impronta vocale dell'utente su una singola smart card. Le aziende possono utilizzare una o più di queste forme di autenticazione, a seconda del livello di sicurezza desiderato. I lettori di smart card intelligenti Digital Passport hanno diversi motori di verifica per ogni biometrico.
SIGABA Sigaba offre due tipi di software di contenuto sicuro. Una linea di prodotti garantisce la consegna sicura tramite un server di posta elettronica protetto di dichiarazioni elettroniche, con tecnologia a chiave distribuita, autenticazione, controlli antifrode e una pista di controllo. L'altro crea un canale protetto per lo scambio di informazioni tramite e-mail, reti wireless e LAN, nonché nelle connessioni dirette desktop-desktop. Il sistema di posta elettronica utilizza un server e-mail sicuro e un software client per gestire l'autenticazione e la crittografia.

THOR TECHNOLOGIES

Il sistema di provisioning Xellerate di Thor Technologies concede e revoca automaticamente l'accesso alle applicazioni aziendali e ai sistemi gestiti. Un'interfaccia utente basata su Java consente agli amministratori di sistema di configurare profili utente, definire regole e criteri e determinare gli adattatori che il sistema di provisioning utilizzerà per integrarsi con le fonti di destinazione. Xellerate supporta controlli di accesso basati su ruoli e regole. Gli amministratori possono inoltre creare flusso di lavoro e processi aziendali utilizzando l'interfaccia Xellerate, oppure il prodotto può utilizzare processi già stabiliti nell'azienda. Due interfacce basate su browser consentono agli amministratori di sistema di delegare funzioni. Individui o gruppi direttamente responsabili di risorse specifiche possono eseguire attività amministrative attraverso un'interfaccia browser. Un'altra interfaccia del browser consente agli utenti di modificare le proprie password o richiedere l'accesso a risorse specifiche.
Xellerate identifica gli account non autorizzati e risponde in base alle regole del processo predefinite dall'azienda, come l'invio di un avviso e-mail, l'invarianza dell'account o l'eliminazione dell'account. Xellerate può generare report sulla cronologia e lo stato corrente dell'ambiente di provisioning. Il prodotto elimina anche un account quando un utente non ha più bisogno di accedere. Le funzionalità di rollback e ripristino consentono agli amministratori di interrompere l'esecuzione di una transazione di provisioning e di tornare allo stato del sistema prima dell'avvio della transazione o di ripristinare l'ultimo stato coerente noto del sistema in caso di errore durante una transazione di provisioning.
Waveset

Waveset's Lighthouse Enterprise Edition offre una suite per la gestione sicura delle identità. La suite include Provisioning Manager per il provisioning delle identità; Password Manager, che include la gestione delle password self-service; Identity Broker per la gestione del profilo di identità; e Directory Master per la gestione delle directory. I prodotti Waveset consentono la delega di compiti a manager di altri dipartimenti e organizzazioni e agli utenti finali stessi, senza sacrificare l'autorità centrale su queste attività. La suite si integra con i prodotti di autenticazione di Entrust.
SISTEMI WIKID

WikID Systems offre un sistema di autenticazione a due fattori con un'architettura richiesta-risposta. Combina una forte crittografia asimmetrica con i dispositivi abilitati a Internet per creare un sistema di token che sostiene sia forte quanto i token hardware, ma con la flessibilità di una soluzione basata su software. Il server WikID viene fornito come un'appliance. La versione 2.0 include la possibilità di reimpostare le password NT / Active Directory.
■ Infrastruttura tecnologica
La sicurezza dell'infrastruttura della tecnologia di sicurezza include prodotti per la sicurezza della rete, del perimetro, dell'applicazione e dell'archivio dati.
SISTEMI ADOBE

Adobe Acrobat document-collaboration e -sharing software fornisce sicurezza della password e controllo sull'accesso degli utenti finali ai suoi file PDF (Portable Document Format), come impedire la copia o la stampa di tali file. Gli autori di PDF possono anche assegnare diritti di accesso in base alle informazioni sul certificato di sicurezza PKI di ciascun destinatario e Acrobat funge da piattaforma per i plug-in di sicurezza di terze parti.
SOFTWARE DI CONTROLLO DEL PUNTO

Check Point Software (CPS) offre una varietà di tecnologie hardware e di sicurezza per l'implementazione e la gestione di VPN e firewall per le imprese e le piccole imprese.

Il software FireWall, che funziona su Windows, Solaris e Linux, monitora il traffico sui server gateway per rilevare l'accesso non autorizzato attraverso un'ampia gamma di traffico, inclusi posta elettronica, messaggistica istantanea e applicazioni peer-to-peer. Il software è preconfigurato con modelli di traffico per 150 applicazioni comuni, quindi è in grado di rilevare i tentativi di cavallo di Troia. È anche disponibile incorporato in appliance di terze parti. CPS include anche la tecnologia nel suo software VPN 1, che crea VPN sicure per connessioni interne, Web e remote. Per gestire VPN e firewall, CPS fornisce la serie di software SmartCenter, che consente all'IT di creare e implementare politiche di VPN, firewall e qualità del servizio (QoS). La versione Pro si integra con le directory LDAP. I prodotti di accelerazione dell'azienda contribuiscono a velocizzare il traffico VPN. CPS fornisce anche soluzioni specifiche per il settore sanitario, governative, farmaceutiche e al dettaglio, nonché versioni della sua tecnologia destinate a uffici satellite e filiali, utenti remoti e piccole imprese.

SISTEMI CISCO

Cisco Systems offre una suite completa di prodotti per la sicurezza che sfruttano la popolarità delle sue apparecchiature di rete nell'azienda.Cisco include funzionalità firewall e VPN nei suoi router, switch, hub e access point, oltre a fornire appliance firewall dedicate, tutte includere elenchi di controllo di accesso e gestione stateful. L'hardware di Cisco include sia l'accesso alla rete sia quello intranet. L'hardware di Cisco comprende anche molteplici tecnologie di autenticazione e crittografia, tra cui Internet Protocol Security (IPSec), Kerberos, SSL, Remote User Dial-In User Service (RADIUS), Tacacs +, 802.1x, password monouso, certificati digitali e smart card.
Utilizzando una combinazione di software di sicurezza di rete Cisco e hardware Cisco, le aziende possono anche gestire l'accesso degli utenti e rilevare gli intrusi. La società fornisce inoltre la suite di soluzioni di hosting per mantenere piattaforme di e-business sicure. Per migliorare la sicurezza sul perimetro della rete, Cisco fornisce il filtro Web (sia per i contenuti che per gli URL). Nella primavera del 2003, Cisco ha aggiunto a molte delle sue funzionalità di strumenti di rilevamento delle intrusioni per rilevare l'uso di programmi di condivisione di file che violano le politiche aziendali Webuse e spesso consentono il codice dannoso nell'azienda.
Combinando vari strumenti hardware e software Cisco, le aziende possono gestire la sicurezza per le intranet (sia LAN intranet / WAN che intercambiali WAN-WAN), presenze Web, accesso remoto alle reti aziendali e connessioni wireless all'intranet aziendale. L'azienda fornisce anche servizi di consulenza e gestione della sicurezza.
F5 NETWORKS F5, fornitore di software per la gestione del traffico Web e di rete, fornisce anche hardware dedicato per velocizzare l'elaborazione SSL per sistemi di e-commerce, telecomunicazioni e crittografia. Il controller eCommerce Big-IP 540 gestisce entrambi il traffico Web e fornisce l'elaborazione centralizzata dei certificati SSL. L'opzione hardware dell'acceleratore SSL può interpretare i cookie crittografati in modo che possano tenere conto delle esigenze di elaborazione per il bilanciamento del carico complessivo del traffico e l'opzione acceleratore FIPS SSL aggiunge il supporto FIPS 140-1 livello 3 e la sicurezza fisica del server, utilizzando le smart card.
TECNOLOGIE GILIAN

Gilian's GServer è un'appliance hardware progettata per proteggere il contenuto e l'accesso alle applicazioni Web. GServer autentica le richieste in arrivo sulle porte 80 e 443, consentendo di rilevare e bloccare il traffico illegittimo. Il prodotto protegge da vandalismo del sito Web o dalla pubblicazione di contenuti non autorizzati attraverso la sua tecnologia ExitControl, che utilizza le firme digitali per verificare l'autenticità dei contenuti Web statici e dinamici. Il prodotto ha anche funzionalità forensi integrate che vengono attivate quando viene rilevato un evento di sicurezza.
RETI INGRICHE

Ingrian fornisce una suite di strumenti per aiutare le aziende a proteggere le loro applicazioni e dati durante il transito su Internet e nello storage su server e database interni. Il software di sicurezza delle applicazioni dell'azienda è costituito da un software di sicurezza integrato in una famiglia di piattaforme di transazione sicure, per la privacy end-to-end di tutte le transazioni basate sul Web, inclusi e-commerce, e-mail e ERP (enterprise resource planning). Gli strumenti di Ingrian coprono il controllo degli accessi per la gestione delle identità e l'autorizzazione e l'autenticazione degli utenti; connettività sicura tra le entità Internet coinvolte nella transazione; protezione delle applicazioni ispezionando, filtrando e filtrando i dati delle transazioni prima che raggiungano server e database interni; sicurezza dello storage per proteggere i dati sensibili elaborati e / o archiviati su server e database back-end; gestione delle chiavi crittografiche; e audit trail per garantire che le politiche siano efficaci e applicate. Ingrian fornisce questi servizi utilizzando una combinazione di dispositivi hardware montati su rack Security Transaction Platform e strumenti software Service Engine per varie applicazioni di gestione della sicurezza del contenuto.

MERCURIO INTERATTIVO

Lo strumento di test di carico LoadRunner di Mercury Interactive prevede il comportamento e le prestazioni del sistema. Da una console centrale, lo staff IT può indirizzare migliaia di utenti virtuali per eseguire transazioni ed emulare il traffico di produzione. I monitor in tempo reale acquisiscono i dati sulle prestazioni su tutti i livelli, i server e le risorse di rete. Questi dati vengono visualizzati sulla console centrale e memorizzati in un repository di database. Il modulo di regolazione LoadRunner fornisce librerie di test e informazioni sui componenti per aiutare il personale IT a isolare e risolvere i colli di bottiglia delle prestazioni. Il modulo LoadRunner Transaction Breakdown assiste l'identificazione e la risoluzione dei problemi di prestazioni nelle applicazioni J2EE. Lo strumento Utenti virtuali ospitati da LoadRunner consente alle organizzazioni di caricare il test delle proprie applicazioni Web al di fuori del firewall in tutte le fasi dell'implementazione.
nCipher

nCipher produce moduli di sicurezza hardware (HSM) progettati per migliorare le prestazioni delle applicazioni crittografiche e proteggere le chiavi crittografiche all'interno di hardware tamperresistente. Questi dispositivi possono essere utilizzati in diversi punti di rischio in un'azienda estesa, tra cui l'infrastruttura Web, le applicazioni, i servizi Web, i pagamenti e i database.
nShield, nForce e payShield di nCipher sono moduli dedicati che si collegano direttamente ai singoli server. Questi HSM possono scaricare le richieste di elaborazione crittografica dal server host, con conseguente aumento della capacità di elaborazione del server e prestazioni accelerate delle applicazioni crittografiche. nShield può migliorare la sicurezza delle applicazioni, nForce aiuta a proteggere le comunicazioni SSL verso server Web e server applicativi e payShield fornisce protezione e la capacità di gestire gli elevati volumi di crittografia simmetrica e asimmetrica richiesti dai sistemi di pagamento per l'autenticazione e la verifica dei titolari di carte. Le schede nFast SSL accelerator di nCipher aiutano anche le aziende a ottimizzare le prestazioni del proprio server.
Il netHSM di nCipher può essere condiviso da più server. Questo dispositivo collegato alla rete consente a molte applicazioni di accedere a funzioni di crittografia, decrittografia e firma basate sull'hardware utilizzando connessioni protette su reti IP. I toolkit per sviluppatori di nCipher aiutano gli sviluppatori a integrare i moduli nShield e netHSM con le applicazioni software. La linea di prodotti nCipher comprende anche Document Sealing Engine (DSE 200), un'appliance collegata in rete che sigilla crittograficamente i documenti applicando una firma digitale e un timestamp indipendente e verificabile.
TECNOLOGIE NETSCREEN

NetScreen offre tre tipi di strumenti di sicurezza di rete basati su hardware: firewall, VPN e rilevamento delle intrusioni. Le appliance firewall e VPN combinate includono ispezioni stateful per prevenire sia attacchi denial of service che tentativi di hacking più tradizionali. NetScreen fornisce diversi modelli per diverse esigenze di rete, inclusi modelli per reti wireless e reti di dati cellulari GPRS, nonché per l'utilizzo in segmenti di rete e punti di accesso remoto. Le funzionalità VPN includono VPN dinamiche, sicurezza IPSec e policy basate su zone per VPN remote, site-to-site e interne. Per le grandi aziende, NetScreen offre anche un sistema di gestione unificato in grado di gestire migliaia di appliance NetScreen. Sebbene le appliance possano prevenire molti tipi di accesso non autorizzato, NetScreen fornisce l'appliance Intrusion Detection e Prevention (IDP) per aumentarne le capacità. Questa appliance esegue diversi tipi di rilevamenti attraverso la rete, utilizzando sensori e un'analisi approfondita dei pacchetti per scoprire gli attacchi mascherati da traffico altrimenti legittimo, inclusi i messaggi di messaggistica istantanea e il traffico peer-to-peer. L'appliance IDP utilizza policy di sicurezza definite dall'IT per determinare il modo in cui rispondere agli attacchi.

NORTEL NETWORKS

Nortel fornisce alle imprese software VPN / firewall e tecnologia di crittografia basata su SSL per l'e-commerce. La linea di switch Alteon include modelli che forniscono firewall, VPN e servizi di crittografia SSL accelerati. Nortel fornisce inoltre il software Alteon Security Manager per gestire i dispositivi Alteon nella rete. Per le filiali e gli ambienti di dimensioni medie simili, Nortel fornisce la linea di gateway Contivity, che può fungere da firewall o switch VPN dedicato, oltre a fungere da router di protocollo Internet, a seconda del tipo di licenza acquisita. Per gli ambienti wireless, Nortel fornisce un set di prodotti simile. Fornisce inoltre prodotti firewall e VPN per i fornitori di servizi.
SOLUZIONI OTTIMALI

Optimus fornisce servizi professionali per aiutare le imprese a valutare e implementare soluzioni per le loro esigenze di sicurezza. I servizi includono test di sicurezza perimetrale, valutazione della sicurezza wireless, sviluppo di policy e procedure, progettazione e integrazione aziendale, dati biometrici, autenticazione a due fattori, progettazione e implementazione di VPN e rilevamento delle intrusioni.
TECNOLOGIE PERMEO Permeo fornisce la sicurezza delle applicazioni in modo che l'azienda possa controllare l'accesso a specifiche applicazioni TCP e UDP agli utenti selezionati. La suite Application Security contiene diversi moduli: questi includono un gateway dell'applicazione; un connettore ai comuni motori di autenticazione / autorizzazione e gestione delle policy, come LDAP, RADIUS e Windows Domain / Active Directory; Permeo Encrypt, che fornisce uno strato di crittografia SSL con supporto per tutti i principali algoritmi di crittografia; un agente scaricabile e configurabile da remoto per la protezione di applicazioni Web e client / server; una soluzione clientless basata sul portale per la protezione di applicazioni Web e client / server; un'applicazione di gestione del gateway dell'applicazione basata su browser; e filtro moduli per la convalida di accesso FTP e Telnet, nonché per i controlli di accesso.
SANCTUM

Sanctum fornisce strumenti di sviluppo IT in modo che le aziende possano creare sicurezza nelle loro applicazioni. AppShield dell'azienda è un firewall di applicazioni Web automatico che fornisce la prevenzione delle intrusioni Web a livello di applicazione. AppShield consente la distribuzione delle applicazioni in un ambiente sicuro identificando le richieste legittime inviate a un sito Web di e-business e consentendo l'esecuzione di tali azioni, rafforzando la logica del Web e del business del sito Web. Sanctum ha anche collaborato con Sun Microsystems per fornire server Sun che eseguono una versione rinforzata del sistema operativo Solaris e AppShield come soluzione di sicurezza perimetrale iForce. L'AppScan di Sanctum fornisce test di sicurezza delle applicazioni Web automatiche. AppScan apprende il comportamento unico di ogni applicazione Web e offre una serie di varianti di attacco per testare e convalidare le vulnerabilità, comprese tutte le vulnerabilità Web comuni e specifiche per le applicazioni: tra queste, test per tecnologie dei servizi Web come .NET. Infine, Sanctum fornisce il servizio di controllo remoto AppAudit per determinare la sicurezza generale di un sito aziendale a livello di applicazione.
SAP Come parte delle sue applicazioni aziendali, SAP fornisce NetWeaver, che funge da piattaforma per una varietà di meccanismi di autenticazione, inclusi certificati digitali X.509 standard, smart card, ticketing e autenticazione tramite username e password. NetWeaver fornisce servizi Single Sign-On e Trust-Center per PKI. Gli utenti possono ottenere automaticamente l'accesso a informazioni, applicazioni e servizi, sulla base dei ruoli specifici dell'utente. Sono disponibili anche i meccanismi di autorizzazione basati sugli elenchi di controllo di accesso. Le funzionalità di crittografia di NetWeaver, che includono il supporto HTTPS, assicurano che le informazioni scambiate tra gli utenti rimangano private. Usando un software di sicurezza esterno di terze parti, NetWeaver consente all'IT di proteggere i collegamenti di comunicazione tra i componenti distribuiti di mySAP Business Suite.

SONICWALL

SonicWall fornisce appliance firewall / VPN per reti cablate e wireless. Le appliance forniscono ispezioni stateful per la protezione firewall e VPN abilitate IPSec. I servizi opzionali basati sull'abbonamento includono il rilevamento dei virus, il filtraggio dei contenuti e le funzionalità di scansione delle vulnerabilità. SonicWall fornisce anche client VPN mobili facoltativi. Le appliance wireless integrano i punti di accesso e alcuni modelli contengono amplificatori di segnale. Per scaricare l'elaborazione SSL dai server di rete, l'azienda fornisce una linea di appliance di accelerazione SSL.

SYGATE TECHNOLOGIES

La tecnologia di Sygate valuta i modelli di utilizzo per server, client e segmenti di rete. Utilizzando tali informazioni per creare un profilo di attività corretta, Sygate richiede quindi a ciascun server e client Windows che si connette di convalidare l'integrità della propria attività sulla base di tali norme. Utilizzando il software dell'agent a livello di server e client, oltre all'hardware a livello di nodo di rete, il sistema Sygate convalida automaticamente tale integrità a ciascuna connessione, utilizzando le politiche derivate dall'attività appropriata. Questi profili possono essere modificati man mano che l'attività evolve. La tecnologia Sygate funziona sia su reti cablate che wireless e su server Solaris e Windows, oltre che con database Oracle e Microsoft SQL e con server Sun e Microsoft Web. Può assicurare l'integrità all'interno di una rete e con gli utenti remoti che si collegano tramite VPN. Sygate fornisce anche un'applicazione Personal Firewall Pro pensata per gli utenti connessi a banda larga.
SOFTWARE TRICERAT

TriCerat fornisce una varietà di tecnologie software per gestire applicazioni, stampa e altre risorse di rete. Per esigenze di sicurezza, la sua tecnologia Thor elimina tutte le applicazioni e gli script introdotti dall'utente. Crea un ambiente applicativo bloccato in cui l'amministratore concede i diritti alle applicazioni, in modo che gli utenti finali non possano più eseguire installazioni di applicazioni non autorizzate. Inoltre impedisce l'esecuzione di file eseguibili carichi di virus, anche all'interno di un'applicazione di posta elettronica o di un browser Internet. Thor protegge le sessioni create da TriCerat Simplify Lockdown, RDP, ICA, Citrix Nfuse e altre tecnologie di portale.

TECNOLOGIE DI GUARDAROBA

WatchGuard fornisce appliance firewall per la sicurezza perimetrale per salvaguardare le connessioni Internet nell'azienda, nonché i sistemi desktop e server Internet basati su Windows. La società fornisce inoltre appliance firewall e software client VPN per utenti remoti e mobili basati su Windows. Inoltre, l'azienda fornisce un servizio di sicurezza basato su sottoscrizioni e un servizio antivirus McAfee ai clienti che utilizzano le sue appliance.
TECNOLOGIA DI WESTBRIDGE

La tecnologia Westbridge è specializzata nei servizi Web XML e offre miglioramenti della sicurezza per i flussi di applicazioni di servizi Web tramite il prodotto XML Message Server (XMS). XMS include un firewall XML che fornisce l'autenticazione basata su directory, il controllo degli accessi basato sui ruoli e un livello di crittografia per i servizi Web, con supporto per gli standard di firma XML. Oltre a filtrare il traffico in base all'indirizzo IP, il firewall può verificare la validità dei messaggi XML prima di accettarli. Include inoltre un sofisticato motore di regole per l'elaborazione dei messaggi, con regole predefinite per condizioni quali attacchi DoS, SQL injection, password deboli e attacchi con password basati su dizionario.
■ Soluzioni di sicurezza wireless e mobile Le tecniche fondamentali per garantire la sicurezza sono le stesse per le reti wireless e i dispositivi mobili così come lo sono per le reti tradizionali e i client desktop. Tuttavia, molti fornitori di prodotti per la sicurezza wireless e mobile non forniscono anche prodotti di sicurezza cablati. Le società che forniscono entrambi includono Cisco Systems, Enterasys, Entrust, IBM, ISS, Network Associates, NetScreen, RSA, SonicWall e Sygate; sono trattati in altre sezioni in questo capitolo.
DIFESA AEREA

AirDefense fornisce sicurezza e supporto operativo per le reti WLAN 802.11, con monitoraggio 24 ore su 24 per identificare WLAN non autorizzate, rilevare intrusioni e attacchi, applicare policy di sicurezza della rete e monitorare lo stato della WLAN.
AirDefense è progettato per integrare VPN wireless, crittografia e autenticazione. Nell'agosto 2003, AirDefense ha annunciato che il suo dispositivo di monitoraggio della LAN wireless sarebbe compatibile con le tecniche di crittografia e autenticazione di Fortress Technologies come parte di un accordo di partnership.
TECNOLOGIE DI SICUREZZA BLUEFIRE

Il firewall mobile di Bluefire Plus è un firewall mobile, rilevamento delle intrusioni, autenticazione dei dispositivi e sistema di monitoraggio dell'integrità progettato specificamente per i dispositivi palmari basati su Windows con funzionalità 802.11. Il gestore aziendale fornisce una console per la gestione centralizzata di un numero elevato di palmari, la definizione di criteri di sicurezza e l'implementazione di regole di sicurezza per i palmari distribuiti. Fornisce inoltre raccolta centralizzata scalabile, consolidamento e reporting dei registri di sicurezza dai palmari.
BLUESOCKET

Bluesocket fornisce gateway wireless sicuri per le connessioni 802.11 e Bluetooth. Supporta i tunnel criptati IPSec e PPTP, anche quando i client si spostano tra le sottoreti. I client IPSec supportati includono Safenet, SSH, PGPNet e quelli integrati in Windows 2000 e Windows XP. Il gateway Wireless Bluesocket consente inoltre l'autenticazione dell'utente tramite un database integrato o tramite i server di autenticazione centrale esistenti-LDAP, RADIUS, dominio Windows NT, Active Directory-prima che l'utente possa accedere alla rete. Inoltre, Bluesocket offre controlli di accesso a grana fine per far rispettare i servizi e le destinazioni disponibili per ciascun utente. Gli amministratori IT possono definire applicazioni e dati

risorse, servizi di rete e controlli a specifici gruppi di utenti.
CERTICOM Certicom fornisce strumenti di sicurezza wireless per utenti mobili e per sviluppatori di applicazioni mobili. I prodotti orientati all'utente della società comprendono MovianMail, che crittografa la posta inviata ae dai dispositivi mobili Pocket PC; MovianVPN, che fornisce l'accesso VPN per gli utenti mobili Palm, Symbian e Pocket PC; e MovianCrypt, che crittografa i dati memorizzati su palmari Palm e Pocket PC. La società fornisce anche sistemi di rilascio di certificati PKI, che possono essere implementati in ambienti mobili e di rete fissa. Per gli sviluppatori, Certicom fornisce strumenti per implementare autenticazione, crittografia, firme digitali, certificati PKI e connessioni WAP protette in applicazioni mobili.
COLUMBITECH Columbitech Wireless Suite fornisce una soluzione solo software per le imprese con personale mobile che utilizza connessioni Bluetooth, 802.11 e cellulari. La suite include software client VPN installato su PDA o laptop basati su Windows; Software Gatekeeper installato su un server nella DMZ per la gestione dell'autenticazione e del bilanciamento del carico; ed Enterprise Server installati su un server nella rete aziendale per gestire sessioni VPN, terminando sia il tunnel VPN criptato che le comunicazioni WAP basate su WTLS.
SISTEMI CRANITI Il software di sicurezza WLAN di Cranite fornisce sicurezza FIPS 140-2. La suite software WirelessWall contiene tre componenti. WirelessWall Policy Server include la creazione di politiche che controllano le caratteristiche di ciascuna connessione wireless nella rete aziendale, lavorando con il servizio di directory esistente dell'azienda. WirelessWall Access Controller applica policy per ogni connessione wireless, crittografando e decodificando il traffico autorizzato anche mentre gli utenti si spostano attraverso le subnet in tutta la rete. Il software client funziona su dispositivi mobili basati su Windows, crittografando e decodificando i dati per la connessione di ciascun utente.
TECNOLOGIE DEL CREDITO

Mobile Guardian di Credant aiuta le aziende a gestire in modo centralizzato l'amministrazione delle policy di sicurezza e fornisce una forte autenticazione degli utenti sul dispositivo e applicazione delle policy ai dispositivi mobili. Fornisce una console basata sul Web per la gestione delle policy.
Gran parte dell'attenzione di Credant è specifica per il settore, rivolta ai settori farmaceutico, sanitario, finanziario e della distribuzione, oltre a numerosi altri settori.
Per settori come l'assistenza sanitaria, dove la protezione delle informazioni sui pazienti è fondamentale, funzionalità come il controllo di accesso obbligatorio e la crittografia dei dati diventano importanti. Oltre a questo tipo di funzionalità, Mobile Guardian fornisce la sicurezza su dispositivo, in modo che i dispositivi non connessi alla rete rimangano sicuri, ad esempio una caratteristica di progettazione che è utile per soddisfare i requisiti di conformità HIPAA.
Diversinet

Diversinet fornisce strumenti di autenticazione e VPN per dispositivi mobili e wireless, inclusi telefoni cellulari, PDA e notebook. Il suo prodotto Passport One fornisce un ID autenticato per ciascun dispositivo, per convalidare l'identità per l'accesso alla rete. Passport VPN combina i certificati PKI con la crittografia VPN, consentendo agli utenti mobili di avere connessioni protette e autenticate. Binari di autorizzazione passaporto rilasciati certificati. I prodotti dell'azienda si concentrano su dispositivi che si connettono attraverso reti cellulari, con e senza il WAP.
COMUNICAZIONI FIBERLINK

Per i professionisti mobili, i telelavoratori e le filiali, Fiberlink fornisce prodotti di sicurezza e accesso basati su criteri che combinano VPN IPSec, crittografia, protezione antivirus distribuita integrata, firewall e rilevamento delle intrusioni su una singola rete o su più reti. I prodotti includono VPN per gli utenti remoti che si connettono tramite Internet, così come le VPN site-to-site per connettere le filiali al campus principale. Per gli utenti remoti basati su banda larga, Fiberlink fornisce anche una combinazione VPN / firewall. I prodotti Fiberlink utilizzano l'infrastruttura RADIUS o LDAP esistente per fornire un singolo punto di autenticazione dell'utente remoto.

TECNOLOGIE FORTEZZE

Fortress Technologies offre prodotti di sicurezza per 802.11 e altre reti wireless. La famiglia di gateway di sicurezza LAN wireless AirFortress utilizza la sicurezza a livello di collegamento dati e un approccio di autenticazione a tre fattori per fornire protezione a livello di rete, dispositivo e utente. Poiché il prodotto crittografa i dati su questo livello, protegge dagli exploit dei dati di rete e dagli attacchi di tipo denial of service.
Nell'agosto 2003, la società ha annunciato una partnership con AirDefense, in cui la piattaforma di monitoraggio LAN wireless di AirDefense verrebbe utilizzata insieme all'autenticazione e alla crittografia di Fortress Technologies.
NETMOTION WIRELESS

Il software server mobile NetMotion Mobility mantiene in sicurezza le applicazioni durante il roaming su reti. Fornisce autenticazione, autorizzazione e crittografia basate su standard sicuro per gli utenti di PDA e laptop basati su Windows su reti private o pubbliche tramite connessioni a larghezza di banda elevata o bassa. Gli utenti possono autenticarsi con procedure di accesso standard, utilizzando Active Directory, NTLMv2, Kerberos, RADIUS o PKI. Le politiche di crittografia possono essere impostate su base globale, di gruppo o per utente, utilizzando la crittografia AES, Twofish, 3DES o DES. NetMotion Mobility è compatibile con le VPN più comuni, tra cui PPTP, L2TP / IPSec, IPSec, Nortel e Cisco. Consente inoltre ai tunnel IPSec di effettuare il roaming automatico con i dispositivi Windows 2000 e Windows XP e offre la compatibilità Single Sign-On con Cisco LEAP.
PERFIGO

Perfigo fornisce prodotti di sicurezza e gestione WLAN basati su software. SecureSmart combina la sicurezza WLAN avanzata con la gestione completa di utenti e dispositivi in ​​un unico sistema distribuito centralmente per la gestione e la protezione di reti WLAN. L'appliance server è un gatekeeper tra la rete wireless e il resto della rete, consentendo l'accesso solo al traffico autenticato e autorizzato, proteggendo i dati con la crittografia IPSec-plus-3DES. Il software client opzionale per portatili automatizza l'autenticazione, il rilevamento di punti di accesso / rete, l'impostazione della crittografia e la segnalazione non autorizzata. Il software SmartManager della società gestisce appliance e client Perfigo all'interno dell'azienda.
TECNOLOGIE MOBILI POINTSEC

PointSec fornisce crittografia automatica e software di accesso obbligatorio per desktop e laptop basati su Windows e per Pocket PC e Palm PDA. Distribuibile sulla rete, PointSec fornisce una protezione a livello di avvio sui dispositivi.

RED-M

Il software aziendale Red-M offre gestione e sicurezza per le reti 802.11 WLAN e Bluetooth e può scalare fino a reti contenenti decine di migliaia di utenti e migliaia di punti di accesso. I moduli forniscono servizi di autenticazione, rilevamento delle intrusioni, valutazione delle vulnerabilità e gestione delle policy.
REEFEDGE

ReefEdge, che fornisce una gamma di server wireless, controller di bordo e router, fornisce anche diversi prodotti di sicurezza per le reti 802.11 come parte della sua suite di servizi wireless fabric. Uno di questi è AirMonitor, che rileva i guasti del punto di accesso e le modifiche non autorizzate alla configurazione WLAN. AirMonitor può anche rilevare la presenza di punti di accesso non autorizzati. Fornisce un monitoraggio 24 ore su 24 e può avvisare gli amministratori di qualsiasi attività wireless che richiede attenzione immediata. La suite Fabric offre funzionalità di rilevamento delle intrusioni, autenticazione e crittografia IPSec dinamica. Il componente di autenticazione consente il single sign-on su più reti (cablate e wireless) e si integra con i server di autenticazione aziendale RADIUS, NT Domain Server e Active Directory.
SIMBOLI TECNOLOGIE

Meglio conosciuto per i suoi scanner palmari wireless e sistemi di gestione dell'inventario / consegna, Symbol Technologies fornisce MobiusGuard, una suite di meccanismi di sicurezza di rete wireless che forniscono sicurezza per i componenti delle reti mobili wireless 802.11.
XCELLENET XcelleNet fornisce strumenti di gestione della sicurezza per palmari Palm, Research in Motion, Symbian e Windows. Il suo software Afaria include il backup automatico dei dati, la consegna di aggiornamenti antivirus e l'applicazione di altri processi di sicurezza aziendali. Ad esempio, se un dispositivo viene perso o rubato, può essere bloccato per evitare l'accesso non autorizzato ai sistemi aziendali. Il monitoraggio intelligente di Afaria avvisa gli utenti se le loro password di sistema o le impostazioni di time-out della sicurezza sono state disabilitate. Afaria può essere gestito via Web come console .NET.
■ Gestione delle minacce e della vulnerabilità

Le tecnologie nella categoria TVM includono quelle utilizzate per: test di conformità, scansione delle vulnerabilità, analisi della disponibilità delle operazioni, analisi delle attività di registro, rilevamento di tecnologie non autorizzate, identificazione di programmi dannosi, rilevamento delle intrusioni, implementazione dell'infrastruttura di sicurezza, risoluzione dei problemi e risposta agli incidenti. Inoltre, le tecnologie di gestione delle informazioni sulla sicurezza per l'analisi dell'intelligence, la gestione degli standard e delle policy, la classificazione delle risorse, la correlazione degli eventi e il reporting rientrano anche nell'ombrello TVM.

ARCHER TECHNOLOGIES

Archer SmartSuite Framework costituisce la base di una suite di applicazioni mirate per la gestione della sicurezza. Il prodotto di gestione delle policy di Archer facilita la creazione, la diffusione e il tracciamento delle politiche di sicurezza della rete. Il prodotto Threat Management fornisce la scansione e la correzione delle vulnerabilità in base alle firme delle minacce note. Il modulo Asset Management aiuta gli amministratori a localizzare e catalogare i dispositivi sulle loro reti. La componente Risk Management aiuta a identificare le contromisure appropriate in base al valore di una determinata risorsa per l'impresa. Il prodotto Incident Management aiuta l'analisi dei dati di log e incidenti. Inoltre, i clienti possono creare o modificare le proprie applicazioni utilizzando SmartSuite Framework senza conoscere l'integrazione dei sistemi di database ARCSIGHT ArcSight ArcSight monitora le origini delle informazioni di sicurezza della rete, inclusi firewall, sistemi di rilevamento delle intrusioni e altre fonti pertinenti e consolida tutti gli allarmi e gli allarmi di rete. avvisi in un singolo database relazionale. Il sistema di correlazione ArcSight combina la gravità delle potenziali minacce e attacchi con il valore e la vulnerabilità dei processi e delle risorse aziendali per calcolare e comunicare il rischio di un evento di sicurezza. Una console centrale fornisce una visualizzazione grafica che può essere utilizzata per monitorare gli avvisi, coordinare la risposta agli incidenti, definire regole e report o assegnare responsabilità e ruoli a un nuovo utente. È possibile distribuire più console e una console basata su browser aumenta la flessibilità amministrativa. Le funzioni di segnalazione in ArcSight includono report preconfezionati, che possono essere modificati e personalizzati; una dashboard, che visualizza fino a 10 report sulla console; e la capacità di identificare attività di rete anomale. ArcSight ha un'architettura distribuita per facilitare l'estensione del sistema.
Atomz

Per le aziende che ospitano i loro siti Web e le loro applicazioni con Atomz, la società fornisce una soluzione VPN. Questo software combina l'hardware dedicato VPN di rete e applicazioni VPN nei data center di Atomz con meccanismi di autenticazione e crittografia per proteggere i dati sensibili mentre lascia i confini del firewall aziendale. Tra il firewall del cliente e i server che ospitano il software applicativo Atomz, i dati sensibili sono fisicamente isolati o protetti dalla crittografia Triple DES e dai meccanismi di autenticazione. La soluzione VPN Atomz può essere integrata nell'infrastruttura VPN esistente del cliente, utilizzando ulteriori certificati di sicurezza X.509.
Authentica

Authentica fornisce sicurezza dei contenuti sia per la messaggistica che per la condivisione dei documenti. Il prodotto di messaggistica sicura SafeRoute protegge la posta elettronica aziendale e i file condivisi internamente e oltre i confini aziendali. Combina una forte sicurezza dei contenuti, tramite autenticazione, crittografia e controllo dell'integrità dei dati, con una serie di funzionalità di gestione dei diritti. SafeRoute fornisce sicurezza point-to-point e fornisce una protezione continua delle informazioni dopo la consegna; non richiede software client per i destinatari e nessuna modifica al flusso di lavoro di posta elettronica di un'azienda. SafeRoute può funzionare con il software di filtraggio dei contenuti di terze parti e con più applicazioni di posta elettronica sicure e può applicare le politiche di conservazione della posta elettronica ovunque sia archiviata la posta elettronica.
Altri due prodotti offrono una condivisione sicura dei documenti: PageRecall per i documenti e NetRecall per i contenuti Web. Entrambi utilizzano la tecnologia Active Rights Management (ARM) di Authentica per proteggere documenti importanti e sensibili e file Web sia durante la consegna che dopo la consegna. ARM consente all'azienda di controllare chi può vedere le informazioni e se il visualizzatore può stampare, copiare o selezionare il testo; impedire che le informazioni vengano inoltrate; richiamare o interrompere le informazioni, anche dopo l'accesso; e tenere traccia di ciò che i destinatari fanno con le informazioni (come leggere o stampare) dopo averlo scaricato.
Authentium

TotalCommand di Authentium è un'utilità di rilevamento e distribuzione di patch multipiattaforma. Il software rileva le vulnerabilità della rete analizzando i buchi di sicurezza relativi alle patch e fornisce una segnalazione di eventuali problemi di sicurezza. TotalCommand scarica le patch dai fornitori; la funzione di rilevamento automatico delle applicazioni e di rilevamento dell'hardware può essere impostata per consigliare solo le patch applicabili, obbligatorie e consigliate dai fornitori. La procedura guidata Rollout pianificato del software consente agli amministratori di distribuire automaticamente le patch o testarle per prime. Le patch possono essere distribuite in remoto e TotalCommand supporta anche un'opzione di memorizzazione automatica della cache e parametri personalizzati per la distribuzione delle patch. Una funzionalità di gestione del software tiene traccia delle patch e del rilevamento del software, incluse la versione di data e patch. TotalCommand include software antivirus per la protezione da virus e worm.
BigFix

BigFix produce una famiglia di prodotti che trova e corregge le vulnerabilità della rete. Patch Manager di BigFix 3.0 identifica le macchine che richiedono patch di sicurezza e esegue la messa in massa delle patch su tali computer. Patch Manager controlla la rete per garantire i patch che

rimangono intatti e li redepyys automaticamente quando necessario. SMS Manager di BigFix funziona con gli SMS di Microsoft per monitorare tutti i nodi gestiti sulla rete e garantire che vengano costantemente gestiti e funzionanti in modo ottimale. BigFix produce anche prodotti per le piccole imprese e singoli utenti di computer, nonché per i fornitori di produttori di apparecchiature originali (OEM).
Bindview

I prodotti BindView sono progettati per assistere le aziende con conformità alle policy, gestione delle vulnerabilità e amministrazione e migrazione delle directory. I prodotti di gestione delle vulnerabilità di bv-Control consentono agli amministratori di controllare, proteggere e gestire sistemi operativi, applicazioni e directory. La suite software fornisce inoltre l'identificazione e la risoluzione dei problemi a ciclo chiuso per individuare ed eliminare le vulnerabilità della sicurezza. Gestione delle directory e prodotti di migrazione, incluso bv-Admin, che aiutano gli amministratori IT a gestire directory e migrazioni di versioni e ad automatizzare e controllare centralmente le operazioni di Microsoft Active Directory. Gli amministratori possono eseguire il provisioning dei profili utente e notificare automaticamente ai responsabili dell'approvazione l'attivazione di aggiunte, modifiche ed eliminazioni nel sistema. Le autorizzazioni o le attività possono essere raggruppate logicamente in base alla funzione del lavoro; questo modello di delega può anche essere utilizzato per gruppi locali, servizi e risorse del server.

SOFTWARE DI SICUREZZA DELLA CITADEL

Il prodotto Hercules dell'azienda è uno strumento di correzione automatica delle vulnerabilità che aiuta le organizzazioni a tenere il passo con le vulnerabilità della loro infrastruttura. Le organizzazioni definiscono le politiche di rimedio per lo strumento Hercules da seguire. Quindi, in base alle informazioni sull'infrastruttura fornite da altri strumenti di sicurezza come gli scanner di vulnerabilità, Hercules monitora i dati di intelligence sulla sicurezza per identificare le informazioni rilevanti sulla vulnerabilità. Il sistema quindi valuta automaticamente l'ambiente dell'organizzazione e applica le patch richieste e apporta le modifiche alla configurazione. La console Hercules consente inoltre agli amministratori di gestire direttamente i processi di risoluzione, nonché di esaminare le vulnerabilità degli asset correnti e ricevere report personalizzati.
Clearswift

Clearswift fornisce diversi sistemi per gestire le politiche riguardanti l'accesso al contenuto e la gestione del traffico di dati sensibili.
EnterpriseSuite è un set di software per sistemi Windows e UNIX pensato per impostare e applicare l'accesso al contenuto e le politiche di consegna. Include un componente di gestione delle norme, un componente di messaggistica sicuro e servizi di filtro del contenuto per e-mail interne ed esterne. L'azienda fornisce anche un filtro e-mail per Windows.
CS Bastion II è un firewall di messaggistica che consente lo scambio di e-mail tra reti di diversi livelli di sicurezza o politiche di sicurezza in conflitto. Pertanto, laddove una politica di sicurezza potrebbe altrimenti precludere il collegamento diretto delle reti, CS Bastion II consente il flusso controllato e responsabile del traffico di messaggistica. CS Bastion II funziona come un sistema autonomo, fornendo un firewall di messaggistica bidirezionale per il traffico di posta elettronica sia X.400 sia SMTP / MIME.
Clearswift combina la separazione di rete sicura del suo CS Bastion II con le funzioni di sicurezza e gestione dei contenuti del suo software EnterpriseSuite, per creare il prodotto di protezione perimetrale CS DeepSecure. Questo prodotto include la firma e la crittografia S / MIME, nonché l'accesso a una directory X.500 o LDAP per ottenere certificati e elenchi di revoche di certificati. CS DeepSecure utilizza l'etichettatura Workstation in modalità compartimentata Solaris per identificare e conservare i dati di diversi livelli e categorie di sicurezza.
E-SECURITY

Per aiutare le aziende a monitorare e gestire centralmente le informazioni dai software e hardware di sicurezza in tutta la loro organizzazione, e-Security offre una linea di strumenti di monitoraggio e analisi a tre moduli, ciò che la società chiama gestione degli eventi di sicurezza. Il cuore è il componente Sentinel, che fornisce una console centrale per monitorare dati eterogenei da una varietà di client di sicurezza. Il componente Wizard consente all'IT di creare agenti software per accedere, filtrare, generare report e assegnare la priorità alle informazioni dai client di sicurezza per automatizzare parte dell'analisi e della gestione degli allarmi. Il modulo Advisor mappa tentativi di intrusione apparenti verso vulnerabilità note e aiuta a valutare in che modo gli attacchi stanno tentando di sfruttare tali vulnerabilità. Ulteriori funzionalità incluse nella suite sono funzionalità di correlazione per rilevare meglio i modelli di intrusione e vulnerabilità e le funzionalità di reporting.
SICUREZZA DEL PESCE

FishNet fornisce il controllo di revisione dei criteri firewall FireMon e il prodotto di verifica per l'hardware Check Point VPN-1, FireWall-1 e Provider-1, nonché per l'hardware del firewall Nokia. L'azienda offre anche formazione sulla sicurezza, consulenza per la valutazione della sicurezza e servizi professionali per l'implementazione di soluzioni di sicurezza.
GUARDEDNET

NeuSecure di GuardedNet è un prodotto software di gestione degli eventi di sicurezza che mette in correlazione i file di dati degli eventi con macchine diverse, quali firewall, sistemi di rilevamento delle intrusioni, sistemi informatici e router e analizza automaticamente questi dati per scoprire minacce legittime all'impresa. Il prodotto neuSecure consente agli analisti della sicurezza di dare priorità alle proprie indagini e concentrarsi sul compito essenziale di rispondere alle minacce mentre si verificano.
SOFTWARE DI GUIDA

Il software di orientamento è un fornitore di soluzioni forense e di risposta agli incidenti digitali. La sua linea di prodotti EnCase aiuta gli amministratori di rete a confermare, documentare e contenere gli incidenti di sicurezza con una varietà di strumenti progettati per aumentare l'efficienza del processo di raccolta delle prove. Inoltre, gli strumenti di gestione dei casi di EnCase aiutano a garantire che le prove raccolte e la risposta avviata siano conformi ai requisiti legali e normativi. EnCase è disponibile in due versioni: Enterprise Edition, che è una soluzione completa, integrata di scoperta, analisi e risposta agli incidenti; e l'Edizione forense, che fornisce solo gli strumenti di raccolta delle prove e investigativi.
HARRIS

Harris fornisce sia la rilevazione delle intrusioni che la valutazione della vulnerabilità. Il Neutralizer STAT di Harris fornisce un rilevamento delle intrusioni basato sul comportamento per la difesa in tempo reale contro codici maligni (come cavalli di Troia e virus e-mail), hacker, tentativi di intrusione e errori umani. Secondo Harris, monitorando il comportamento di accesso, il suo sistema è in grado di rilevare tentativi di intrusione su un sistema basato su regole che MS

non può riconoscere. La società fornisce anche un'edizione server per i server Web Microsoft IIS. Per la valutazione della vulnerabilità, STAT Scanner Professional Edition esegue un'analisi della sicurezza delle risorse di Windows, Sun Solaris, HP-UX e RedHat e Mandrake Linux, nonché dei router Cisco e delle stampanti HP. STAT Scanner fornisce inoltre agli amministratori le informazioni necessarie per aggiornare le configurazioni e fornisce un meccanismo per implementare l'azione correttiva.
iDefense

iAlert di iDefense fornisce intelligence di sicurezza alle organizzazioni. Gli analisti di iDefense sviluppano dozzine di rapporti di intelligence ogni giorno. iAlert Daily è un messaggio e-mail personalizzato inviato agli abbonati iAlert, che possono scegliere i giorni (e l'ora) a cui desiderano ricevere i report, gli argomenti su cui desiderano ricevere informazioni e il formato: basato su HTML e -mail, messaggi di testo in chiaro o PDF. iAlert Web fornisce accesso alle ultime funzionalità di intelligence e ricerca di iDefense su un database di oltre 15.000 rapporti di intelligence. iAlert Flash invia informazioni immediate e sensibili al tempo su un possibile cyberthreat, come un virus diffondente o un attacco di hacker, e possibili azioni per mitigare la minaccia. Queste notifiche possono essere inviate via e-mail, a un dispositivo wireless o al telefono. Altri servizi iAlert includono iAlert Advisory, un avviso inviato quando gli analisti di iDefense stabiliscono che una vulnerabilità o un codice malevolo sembra avere il potenziale per diventare una delle principali minacce informatiche; iAlert Focus, report approfonditi progettati per i manager; e libri bianchi. Gli altri prodotti di iDefense sono iAware, iPower e iMonitor.
Intellitactics

Intellitactics fornisce due prodotti di gestione della sicurezza aziendale: Network Security Manager (NSM) e il modulo NSM Advanced Analytics.
Network Security Manager è una piattaforma di gestione delle minacce che cattura i dati dai dispositivi di sicurezza e dalle fonti di informazione in tutta l'azienda. Il software quindi normalizza e traduce le firme degli eventi da fonti disparate in descrizioni coerenti. Il motore di correlazione eventi espone il tipo di minaccia, la posizione della minaccia e il modo in cui influirà sull'azienda. NSM include regole di correlazione degli eventi precaricate e la capacità di definire regole specifiche per le aziende. Le funzionalità di zonizzazione aziendale e classificazione delle risorse aiutano a dare la priorità alle minacce.
Gli amministratori possono identificare le strategie di attacco attraverso la visualizzazione degli eventi in tempo reale. Oltre 75 report basati sul Web facilitano l'analisi delle attività di sicurezza nell'azienda. NSM ha un'architettura distribuita per abilitare la scalabilità e dispone di controlli di accesso basati sui ruoli per una maggiore protezione.
NSM Advance Analytics, un modulo aggiuntivo di Network Security Manager, trasforma i dati di sicurezza forense e correlati da NSM in grafici e grafici che rivelano anomalie e tendenze. Il modulo consente agli amministratori di visualizzare la propria infrastruttura di sicurezza per un periodo di tempo e di impostare linee di base che aiutano l'identificazione di modelli insoliti. Questo approccio visivo aiuta gli amministratori a vedere le relazioni tra gruppi di dati che potrebbero non essere notati in presentazioni di solo testo.
SISTEMI DI SICUREZZA INTERNET

Internet Security Systems (ISS) fornisce strumenti hardware e software per rilevare e impedire l'accesso non autorizzato e malevolo alle intranet aziendali e ai sistemi Web. L'applicazione SiteProtector consente la gestione consolidata dei vari strumenti di ISS. Questi strumenti includono l'appliance di prevenzione delle minacce automatizzata Proventia; diversi rilevatori RealSecure software ottimizzati per una varietà di configurazioni di rete (inclusi segmenti gigabit, piattaforme applicative multisegmento, connessioni attraverso segmenti di rete e server); e un rilevatore RealSecure per il desktop che blocca applicazioni e traffico non autorizzati (incluso traffico peer-to-peer). ISS fornisce inoltre un sistema di allerta per gli amministratori di rete e un modulo di terze parti che consente a SiteProtector di gestire i firewall da aziende come Cisco e Check Point. Inoltre, ISS fornisce strumenti di vulnerabilità per rilevare possibili punti deboli nella intranet o nelle connessioni Internet.
iomart

NetIntelligence di iomart è una suite di strumenti per la sicurezza della rete e la gestione dei contenuti che aiutano le organizzazioni a bloccare e filtrare l'accesso Web, gestire i contenuti, rilevare le minacce alla sicurezza e monitorare il Web degli impiegati, l'e-mail e l'utilizzo delle applicazioni. Il modulo di gestione delle risorse IT di NetIntelligence può inviare avvisi in tempo reale se vengono rimossi o installati software o hardware, monitorare l'utilizzo della licenza e fornire report di inventario aggiornati. Il filtro e-mail di NetIntelligence analizza il contenuto di un'e-mail e il relativo allegato, li analizza utilizzando il database proprietario di NetIntelligence e identifica virus, spam, hacking, altre applicazioni minatorie e immagini e contenuti inappropriati. Le organizzazioni possono definire regole di filtraggio e applicarle a domini, gruppi o individui di posta elettronica.

Lancope

Stealth Watch di Lancope è un IDS basato sul comportamento che monitora e classifica il traffico di rete su creat

e intelligence di sicurezza a livello di rete e host. StealthWatch monitora e profila i server di rete, le workstation e i dispositivi in ​​tempo reale, consentendo agli amministratori di stabilire linee base di attività tipica. Correlando le attività sospette attraverso la rete e rilevando deviazioni in tempo reale dai profili e dalle politiche di sicurezza stabiliti, StealthWatch identifica, assegna le priorità e contiene comportamenti malevoli della rete e dell'host. StealthWatch mantiene anche un database archiviato dei log di flusso di rete e crea report grafici dell'attività di rete. Queste informazioni possono essere utilizzate per supportare la risoluzione, la risposta e l'analisi forense.
MESSAGELABS

MessageLabs è un fornitore di servizi di sicurezza e gestione delle e-mail aziendali che includono antivirus, antispam, filtro pornografico e servizi di controllo del contenuto. Il servizio antivirus di MessageLabs reindirizza la posta elettronica in entrata e in uscita attraverso le torri di controllo di MessageLabs dove viene scansionata prima di essere passata fino alla sua destinazione finale. Lo Skeptic, lo scanner euristico basato su regole e MessageLabs, è in grado di rilevare virus noti e sconosciuti. Il servizio antispam di MessageLabs utilizza una combinazione di tecnologia Skeptic e blacklist e whitelist configurabili dal cliente per identificare e reindirizzare lo spam. Il servizio di filtraggio pornografico di MessageLabs utilizza l'analisi della composizione per identificare le immagini pornografiche nelle e-mail che entrano e escono da un'organizzazione. Il servizio di controllo del contenuto MessageLabs, che dovrebbe essere disponibile alla fine del 2003, identifica i contenuti riservati, dannosi o inappropriati in base alle impostazioni definite dall'azienda. Tutti questi servizi consentono alle aziende di definire come gestire la posta elettronica intercettata.
nCircle

L'appliance di gestione delle vulnerabilità IP360 dell'azienda è costituita da due componenti, VnE Manager e Device Profiler. VnE Manager è un'appliance che funge da repository di dati centrale e piattaforma di gestione, mentre l'appliance Device Profiler è uno scanner di rete per dispositivi basati su IP. Lo scanner valuta i dispositivi per la configurazione del sistema operativo, dell'applicazione e dei servizi e identifica le vulnerabilità e le violazioni delle norme. Il dispositivo può essere gestito in remoto.

netForensics

Il software di gestione delle informazioni sulla sicurezza di netForensics raccoglie, analizza e mette in correlazione le informazioni sui dispositivi di sicurezza all'interno dell'azienda. I componenti di netForensics possono essere distribuiti su molti server, facilitando la scalabilità.
Innanzitutto, gli agenti software raccolgono record di eventi di sicurezza dai componenti dell'infrastruttura, mappano e consolidano gli eventi in ID allarme netForensics e trasformano i dati in formato XML. Durante questo processo, informazioni come ID evento, origine, ID porta sorgente, destinazione e ID porta target vengono riformattate in un record XML chiamato record ID allarme. Successivamente, il motore di correlazione degli eventi netForensics utilizza la correlazione basata su regole per separare gli allarmi di sicurezza falsi positivi da incidenti di sicurezza potenzialmente significativi. Quindi il motore utilizza la correlazione statistica, che si basa sulla classificazione degli eventi e sul punteggio delle minacce, per determinare il potenziale di minaccia delle anomalie basate sulla sicurezza. Il motore master netForensics aggrega e mette in correlazione eventi su più motori.
Infine, netForensics mostra risultati correlati su una console centralizzata in tempo reale. Questa console fa parte del desktop SIM netForensics, che fornisce un singolo punto di accesso al software e può essere personalizzato per operatori, analisti e gestori. Una visualizzazione dashboard mostra una visione in tempo reale delle tendenze della sicurezza a livello aziendale. L'opzione netForensics SilentRunner Analyzer consente agli amministratori di creare una vista topografica bidimensionale di tutti i dispositivi e gli eventi di sicurezza nel tempo. I Rapporti SIM forniscono analisi dell'andamento dei rischi e delle minacce.
netForensics ha anche la capacità di formulare un punteggio di rischio complessivo per ciascuna risorsa all'interno dell'azienda combinando minacce, vulnerabilità e valore definito dall'azienda. Un rapporto di valutazione del rischio fornisce i dettagli alla base di ciascuna attività e il rischio associato.
INTELLIGENZA DI RETE

Network Intelligence offre una linea di appliance di registrazione volte a identificare e acquisire dati relativi agli eventi di sicurezza. Ogni dispositivo è destinato a soddisfare un volume di traffico diverso. La serie EX si rivolge principalmente alle piccole e medie imprese, mentre la serie HA è progettata per le maggiori esigenze delle implementazioni aziendali. Nella fascia alta, la serie LS è progettata attorno a un'architettura cluster scalabile ed è adatta alla gestione di reti anche geograficamente disperse. L'intera linea di prodotti è in grado di monitorare un'ampia gamma di dispositivi, inclusi firewall, VPN, cache Web, sistemi di controllo accessi, IDS, router, hub e switch.
PATCHLINK

PatchLink Update di PatchLink monitora e mantiene la conformità delle patch in tutta l'azienda. Il prodotto rileva e distribuisce patch mancanti, hot fix e service pack. PatchLink Update dispone di funzionalità di vulnerabilità e valutazione che rilevano violazioni della sicurezza legate al software. Le nuove funzionalità della versione 5.0 includono admin basati su ruoli,

informazioni, report di valutazione della rete grafica e un framework .NET integrato. Le funzionalità di gestione delle patch basate su policy consentono agli amministratori di sistema di applicare le impostazioni di sicurezza e le baseline di patch minime in base agli standard aziendali.
POLIVEC

Polivec offre strumenti software per automatizzare lo sviluppo, l'implementazione e l'applicazione delle politiche di sicurezza. La suite Polivec aiuta nella creazione di politiche di sicurezza, quindi traduce tali politiche in impostazioni di configurazione reali per una vasta gamma di dispositivi di rete. Una volta stabilite le policy, Polivec può monitorare continuamente la conformità della rete e applicare automaticamente le policy in base alle regole del flusso di lavoro. Inoltre, il software può generare report per aiutare le organizzazioni a determinare se soddisfano i loro obiettivi di sicurezza della rete dichiarati.
PRICEWATERHOUSECOOPERS

L'Enterprise Security Architecture System (ESAS) di PricewaterhouseCoopers è progettato per formalizzare la gestione della conoscenza delle informazioni di sicurezza di un'organizzazione. ESAS consente a un'organizzazione di creare un portale Web basato su intranet che fornisce un repository centralizzato per le politiche di sicurezza e le informazioni di controllo tecnico. I professionisti della sicurezza possono utilizzare il portale per inviare dati e aggiornamenti agli utenti, e il portale dà anche accesso agli auditor per confermare che i controlli siano in linea.
Q1 LABS Q1

Labs fornisce strumenti di monitoraggio e analisi per assistere gli amministratori nell'identificazione del traffico di rete anomalo, inclusi accessi non autorizzati, condivisione di file peer-to-peer, server non autorizzati, worm o attacchi DoS. Il suo prodotto QVision aggrega dati provenienti da varie fonti, come apparecchiature di rete, applicazioni, IDS, firewall e software antivirus. Presenta quindi tali informazioni utilizzando una varietà di viste consolidate, ciascuna progettata per evidenziare vari comportamenti anomali. Analizzando i modelli di utilizzo tipici di ciascuna rete e confrontando il traffico corrente con tali modelli, QVision può persino identificare le irregolarità che non corrispondono alle firme dei comportamenti conosciute.
QUALYS

Qualys fornisce servizi di controllo di sicurezza forniti via Web. La sua offerta QualysGuard è uno scanner di vulnerabilità completo che sonda la rete di un'azienda da qualsiasi altra parte di Internet, come farebbe un hacker. Le scansioni possono essere configurate e avviate utilizzando un'interfaccia basata sul Web. Le debolezze sono identificate e i rimedi proposti si basano sull'esteso database delle firme delle vulnerabilità di Qualys. I risultati possono essere correlati con i dati IDS per ridurre i falsi positivi. Mentre il prodotto QualysGuard di base è destinato esclusivamente ai sistemi con connessione Internet, se abbinato all'appliance QualysGuard Intranet Scanner, è possibile utilizzare gli stessi strumenti per eseguire la scansione dei sistemi dietro i firewall.
IMPRESE SANDSTORM

Sandstorm Enterprises fornisce una varietà di strumenti forensi e di intelligence della rete. I suoi prodotti LANWatch e NetIntercept consentono il monitoraggio e l'analisi del traffico di rete tradizionale, a livello di protocollo o di applicazione. Una particolare specialità per Sandstorm, tuttavia, è la sicurezza del modem. Il software PhoneSweep è un'applicazione professionale di "composizione di guerra" che può essere utilizzata per eseguire la scansione di linee telefoniche aziendali per modem non autorizzati o non protetti. Al contrario, il suo prodotto Sandtrap può essere utilizzato per monitorare modem e linee telefoniche per attività di composizione di guerra ostili.
Secunia

Secunia fornisce servizi di informazione sulla sicurezza IT. Secunia's Vulnerability Tracking Service invia avvisi e avvisi sulle vulnerabilità nella rete di un'organizzazione. Il Security Manager di Secunia invia agli avvisi del responsabile IT che includono anche lo stato dei dispositivi, gli avvisi per dispositivo e un elenco di attività prioritarie. Oltre alle informazioni fornite in Vulnerability Tracking Service e Security Manager, Enterprise Security Manager offre ai responsabili IT una panoramica delle prestazioni dei loro manager IT nel rispondere alle attuali problematiche di sicurezza. Tutti questi servizi possono inviare avvisi via e-mail o messaggi di testo, includere una valutazione del livello di minaccia, offrire informazioni su patch e soluzioni alternative e fornire riepiloghi settimanali.

DECISIONI SICURE

SecureScope, da Decisioni sicure, è una soluzione di reporting per l'analisi degli eventi di sicurezza. Anziché presentare dati di sicurezza grezzi raccolti da registri, IDS e strumenti di analisi della rete come tabelle o elenchi lunghi, SecureScope consolida le informazioni e le visualizza come visualizzazioni grafiche 3D. Il software può essere integrato con qualsiasi database SQL. Inoltre, Decisioni sicure offre formazione sul software, consulenza sull'implementazione della sicurezza e servizi di analisi per aiutare i clienti a ottenere il massimo vantaggio dal processo di reporting e visualizzazione

SECUREINFO

SecureInfo offre software che semplifica la segnalazione e la gestione delle vulnerabilità tra le reti aziendali in base alle risorse, identificando automaticamente, monitorando e correggendo i punti deboli della sicurezza IT legati alla vulnerabilità in tempo reale. La società fornisce anche strumenti per automatizzare la certificazione di rete e l'accreditamento così come

per automatizzare la conformità normativa come parte della gestione del rischio. Gli strumenti di Enterprise Vulnerability Management di SecureInfo consentono all'IT di valutare ogni risorsa sulla rete, comprese le singole applicazioni degli utenti, e determinare se vengono applicate tutte le patch di sicurezza appropriate. Gli strumenti di correzione delle vulnerabilità delle imprese consentono all'IT di correggere automaticamente tali eventuali carenze. SecureInfo fornisce strumenti simili alle agenzie governative e fornisce servizi di sicurezza professionali, dalla valutazione fino all'implementazione, sia alle imprese che alle agenzie governative.

Securify

SecurVantage è un prodotto per il monitoraggio della conformità della rete, che le aziende possono utilizzare per applicare le proprie politiche di sicurezza. Il prodotto monitora continuamente il traffico di rete, convalidandolo in base agli standard specificati nella politica di sicurezza dell'organizzazione, in modo che possano essere rilevate anomalie. Le aziende creano, analizzano e applicano le loro politiche nel modulo SecurVantage Studio, quindi utilizzano SecurVantage Monitor per supervisionare e valutare il traffico di rete. SecurVantage Enterprise è una console basata sul Web che può essere utilizzata per monitorare più domini. Il prodotto di report della società crea report personalizzati che includono informazioni sulla topologia della rete, vulnerabilità degli asset e violazioni delle policy.

TECNOLOGIE SHAVLIK

Lo strumento di gestione delle patch di HFNetChkPro di Shavlik Technologies utilizza la funzionalità di trascinamento della selezione per consentire agli amministratori di definire quali gruppi verranno sottoposti a scansione, in base a quali criteri, quando e come verranno distribuiti i patch. La funzionalità PatchPush Tracker del prodotto convalida che le patch sono state applicate con successo. HFNetChkPro fornisce anche analisi delle minacce di terze parti, informazioni sulla gravità di Microsoft e capacità di annotazione, nonché la possibilità di gestire le patch per criticità, visualizzare informazioni dettagliate su ogni patch e convalidare versioni di file e checksum. HFNetChkLT è una versione gratuita di HFNetChkPro. HFNetChk.exe è uno strumento da riga di comando gratuito che consente agli amministratori di eseguire la scansione della rete e controllare lo stato delle patch di macchine Windows NT 4.0, Windows 2000 e Windows XP. EnterpriseInspector è uno strumento di valutazione della sicurezza della rete.
Solsoft

Solsoft fornisce prodotti di gestione delle policy per la sicurezza della rete. Solsoft NP automatizza la configurazione e l'implementazione delle regole di sicurezza su router, switch, firewall e VPN multivendor, utilizzando un unico framework di gestione. Solsoft NP consente inoltre ai gruppi di amministratori geograficamente dispersi di definire, implementare, controllare e mantenere politiche comuni in modo collaborativo. I prodotti che operano con Solsoft NP includono quelli di Cisco Systems, Check Point, Evidian, NetScreen, Nokia, Nortel Networks e Symantec. Solsoft fornisce anche servizi professionali per la progettazione e l'implementazione di policy di sicurezza.
SOPHOS

Sophos produce diversi prodotti software antivirus. Sophos Anti-Virus protegge server, desktop e laptop. MailMonitor di Sophos esamina il traffico di posta elettronica che passa attraverso un server di posta elettronica per identificare worm e virus. Sophos's PureMessage identifica lo spam in base a criteri di identificazione e gestione definiti dall'azienda, controlla il traffico e-mail attraverso il server di posta elettronica per identificare worm e virus e aiuta a rafforzare i criteri di posta elettronica dell'azienda sul gateway. Sophos Enterprise Manager è uno strumento di amministrazione che consente agli amministratori di rete di installare, aggiornare e monitorare il software Sophos attraverso una rete. L'interfaccia SAV consente a terzi di integrare le proprie applicazioni e servizi con il motore di rilevamento e disinfezione dei virus Sophos.

Sourcefire

Sourcefire, i cui principal hanno creato il software di rilevamento delle intrusioni Snort open-source, fornisce un'infrastruttura di monitoraggio della sicurezza integrata per l'identificazione delle minacce di rete e la protezione da esse. I componenti includono sensori di rete per il monitoraggio della rete, il rilevamento delle minacce e la prevenzione delle minacce; una console di gestione per la gestione integrata dei dati ad alte prestazioni e la risposta alle minacce; e consapevolezza della rete in tempo reale per l'individuazione e l'analisi preventiva della rete passiva. Gli sforzi del Vulnerability Research Team (VRT) di Sourcefire per scoprire, valutare e rispondere alle ultime tendenze in attività di hacking, tentativi di intrusione e vulnerabilità sono supportati dalla comunità Snort open-source.
SurfControl

SurfControl fornisce servizi di filtraggio dei messaggi per l'accesso Web, e-mail, messaggistica istantanea e connessioni peer-to-peer per bloccare virus, spam e altri contenuti discutibili, utilizzando policy di contenuto definite dall'azienda. Il software basato su Windows può anche bloccare le connessioni Web specificate per scoraggiare i dipendenti dal svolgere attività non legate al lavoro in ufficio. SurfControl fornisce inoltre strumenti di filtro Web per ambienti IPSO Linux, Check Point, Novell e Nokia.

TREND MICRO

Trend Micro è specializzata in protezione antivirus e prodotti e servizi di sicurezza dei contenuti con funzionalità di gestione centralizzata. Il suo Control Manager consolida le informazioni sullo stato della sicurezza a livello di sistema per aiutare gli amministratori a intraprendere azioni coerenti a diversi

livelli della rete durante tutto il ciclo di vita dell'epidemia. ScanMail eManager offre filtraggio dei contenuti in tempo reale, blocco dello spam e reporting per aiutare le aziende a monitorare e controllare il tipo di informazioni che entrano o escono dalla rete, con moduli opzionali per Microsoft Exchange, Lotus Notes e OpenMail. InterScan Messaging Security Suite offre protezione antivirus, filtro flessibile del contenuto basato su policy e strumenti di gestione per monitorare e controllare il traffico SMTP e POP3 sul gateway di messaggistica. La società ha anche strumenti per bloccare l'accesso agli URL da parte dei dipendenti; supportare i server Microsoft ISA e lo standard ICach Web-caching; e bloccare applet dannosi, codice ActiveX, JavaScript e VBScript sul gateway Internet. Infine, ServerProtect offre una scansione antivirus completa per i server, rilevando e rimuovendo virus da file e file compressi in tempo reale, con versioni per Microsoft, Novell, EMC, Linux e server SharePoint, appliance di rete e sistemi di storage.

TRIPWIRE

Tripwire fornisce il rilevamento delle intrusioni per dispositivi e server di rete. Tripwire per dispositivi di rete garantisce l'integrità e la sicurezza dei dispositivi di rete fornendo notifiche in tempo reale delle modifiche ai file di configurazione e consentendo il ripristino automatico. Tripwire per server rivela modifiche indesiderate che possono influire sulla sicurezza e sulla stabilità dei server all'interno dell'azienda. La console di Tripwire Manager consente la gestione centralizzata delle installazioni di Tripwire for Servers all'interno dell'azienda, utilizzando un'interfaccia utente grafica che verifica lo stato del sistema e avvisa gli utenti delle modifiche ai server. Tripwire fornisce anche una versione open-source del suo sistema di rilevamento delle intrusioni per i sistemi Linux.
TruSecure

TruSecure offre una gamma di prodotti e servizi per l'analisi della sicurezza. IntelliShield Alert Manager è un servizio basato sul Web che fornisce avvisi di sicurezza aggiornati basati sui profili tecnologici dei clienti. Il prodotto Risk Commander fornisce un dashboard unificato per i dati di sicurezza raccolti da fonti disparate all'interno dell'azienda, inclusi IDS e sistemi di scansione delle vulnerabilità. Attraverso le sue funzionalità di monitoraggio della conformità delle policy, Risk Commander può aiutare le organizzazioni a provare e documentare i progressi verso policy, standard e requisiti normativi.

COMUNICAZIONI DI TUMBLEWEED

Tumbleweed fornisce tre tipi di software per proteggere le comunicazioni aziendali. Un tipo è attraverso la protezione della rete (che l'azienda chiama un firewall e-mail) che blocca i tentativi di spam, virus e hacking e può integrarsi con le directory LDAP ei servizi Single Sign-On. Il secondo tipo è il software di conformità alle e-mail che monitora i messaggi, applica le politiche di comunicazione, identifica le violazioni e dimostra concretamente la conformità con le normative di settore, governative e aziendali, comprese le normative GLB, SEC e NASD per il settore finanziario; HIPAA norme sulla privacy e sicurezza per le industrie mediche e assicurative; e politiche aziendali. Il terzo prodotto garantisce comunicazioni sicure creando relazioni di fiducia e proteggendo il capitale intellettuale con crittografia, autenticazione, tracciamento e routing intelligente dei messaggi per l'interazione online riservata, come per il servizio clienti, reti di partner sicure e portali.
TECNOLOGIE WEBSECURE

WebSecure fornisce una gamma di prodotti per il filtraggio dei contenuti. MailMarshal è un gateway di filtro del contenuto della posta elettronica che consente alle organizzazioni di applicare le politiche di utilizzo della posta elettronica; MailMarshal Secure dell'azienda è una versione che aggiunge funzionalità di crittografia. Collaborando con altri fornitori di sicurezza, l'azienda vende una gamma di prodotti di sicurezza, compresi quelli per la gestione delle vulnerabilità, VPN e firewall e rilevamento delle intrusioni. WebSecure fornisce anche servizi e consulenza sulla gestione della sicurezza.
WEBSENSE

La suite Websense Enterprise a cinque componenti analizza, gestisce e genera report sull'accesso a Internet dei dipendenti, sull'attività di rete, sull'utilizzo delle applicazioni software e sull'uso della larghezza di banda. I componenti correlati alla sicurezza dei contenuti includono Websense Enterprise, in cui l'IT stabilisce criteri di accesso al contenuto e Client Application Manager, che identifica applicazioni non sicure come l'instant messaging e le applicazioni peer-to-peer e limita o blocca il loro utilizzo in base alle regole impostate in Websense Enterprise .

■ General IDC stima che i ricavi del mercato mondiale delle tecnologie di sicurezza abbiano raggiunto $ 20 miliardi nel 2002, passando da quasi $ 17 miliardi nel 2001, con un tasso di crescita del 20%. Anche se i mercati IT sono diminuiti in generale fino al 2002, la sicurezza IT è rimasta una priorità per molte aziende. IDC divide il mercato generale in tre categorie:

• Software-Secure Content Management (SCM); firewall e software Virtual Private Network (VPN); software per la crittografia, la sicurezza e il rilevamento delle intrusioni.

• Hardware: biometria, token e smart card; firewall e appliance VPN; acceleratori crittografici; e sistemi di rilevamento delle intrusioni (IDS).

• Servizi: consulenza, implementazione, gestione e formazione sono le offerte di servizi tipiche in questa categoria.

I servizi hanno rappresentato circa il 48% dei ricavi nel 2002, il software circa il 34% e l'hardware il 18%.
IDC prevede che l'hardware e i servizi di sicurezza continueranno a crescere del 20% circa all'anno fino al 2006, con un aumento del 12% del software. Le previsioni hardware riflettono la forte domanda di appliance che combinano funzionalità di rilevamento delle intrusioni, sicurezza dei contenuti e gestione delle policy con funzionalità firewall e VPN. Queste appliance sono intese come box singoli che soddisfano tutti i requisiti di sicurezza IT primari per le piccole imprese. Nel segmento dei servizi, IDC prevede una forte domanda continua di servizi di consulenza strategica per la gestione dei rischi aziendali per mitigare i rischi associati all'inclusione di fornitori, clienti e partner in un singolo ambiente attendibile.

■ Software di sicurezza Gartner Dataquest suddivide il mercato del software di sicurezza in infrastruttura (firewall e VPN, filtraggio dei contenuti, rilevamento delle intrusioni, crittografia e gestione della sicurezza) e amministrazione (gestione dell'identità e degli accessi, suite PKI e valutazione delle vulnerabilità). La società classifica gli elettrodomestici come parte della sua categoria di hardware di sicurezza. Nel gennaio 2003, Gartner Dataquest prevedeva ricavi mondiali per software di sicurezza che passerebbero da $ 3,3 miliardi nel 2002 a quasi $ 4,8 miliardi nel 2006, un tasso di crescita annuale composto (CAGR) del 10%. Prevede che la domanda di sistemi di rilevamento delle intrusioni supererà i segmenti antivirus, di crittografia e di altri software di sicurezza durante il periodo. Ancora più importante, Gartner Dataquest si aspetta che ciascuna di queste categorie diventi parte delle suite software di sicurezza; pacchetti software per la gestione di reti e sistemi; o il mercato delle apparecchiature di rete.

Complessivamente, Gartner Dataquest prevede che le quote regionali delle vendite di software di sicurezza cambieranno poco nel 2006. Poiché la sicurezza continua a rappresentare una preoccupazione importante per le imprese nordamericane, la crescita delle vendite per questa regione dovrebbe essere al passo con quella di altre regioni nel corso del 2006. (Vedi Figura49). È probabile che l'Europa continui a rimanere indietro rispetto al Nord America nel tasso di adozione dei prodotti di gestione delle identità e di filtraggio dei contenuti a causa dei crescenti problemi di privacy in Europa e del livello generalmente inferiore di utilizzo dei computer aziendali in Europa. La spesa europea per hardware di calcolo aziendale ha rappresentato il 30% dei $ 45,7 miliardi del totale mondiale nel 2002, rispetto al 41% del Nord America, secondo Gartner Dataquest.
Altre regioni del mondo sono relativamente meno mature rispetto all'Europa e al Nord America in termini di adozione della sicurezza delle informazioni. Gartner Dataquest stima che l'Asia-Pacifico, ad esempio, abbia speso solo 575 milioni di dollari in servizi di sicurezza IT nel 2002, rispetto a 2,8 miliardi di dollari nell'Europa occidentale ea 4,3 miliardi di dollari nel Nord America.

Un report Gartner Dataquest revisionato sul mercato mondiale dei software di sicurezza, pubblicato nel luglio 2003, ha rivisto le quote di mercato dei fornitori per l'anno solare 2002 e ha adeguato le sue entrate del 2002 a 3,5 miliardi di dollari. Il principale fornitore di software per la sicurezza, Symantec, ha guadagnato quattro punti percentuali dal 2001 al 2002, guadagnando una quota del 19 percento. Anche Trend Micro (al quarto posto) ha guadagnato quote durante l'anno, raggiungendo il 7% nel 2002 dal 6% nel 2001. Questi venditori hanno approfittato della continua forte domanda di prodotti antivirus.
Nello stesso periodo, Check Point (quinto classificato) ha perso tre punti percentuali e Network Associates (secondo classificato) ha perso l'1%. Gartner Dataquest ha osservato che Network Associates, a differenza di Symantec e Trend Micro, non aveva sfruttato la domanda di prodotti antivirus e Check Point aveva dovuto affrontare una crescente concorrenza da parte dei fornitori di appliance firewall. IBM (al terzo posto) è rimasta al livello del 10 percento.

GESTIONE DELL'IDENTITÀ

prevede che il mercato mondiale dei software di gestione delle identità aumenterà da $ 593 milioni nel 2002 a $ 4,0 miliardi nel 2007, un CAGR del 46%. Questa categoria è un sottosegmento del mercato del software di sicurezza 3A (autenticazione, autorizzazione e amministrazione) di IDC, che si prevede salirà da $ 2,5 miliardi nel 2002 a $ 5,1 miliardi nel 2007, un CAGR del 15%. La gestione degli accessi dei termini IDC viene fornita come provisioning e classifica questa categoria sotto l'ombrello del software 3A come parte dell'amministrazione della sicurezza.
Nel tempo, IDC si aspetta che la categoria di gestione delle identità diventi un superset di 3A, che comprenderebbe anche servizi di directory e tecniche di autenticazione dell'hardware. IDC ha identificato le seguenti altre principali tendenze nella gestione delle identità e nel software 3A:

• Con la maturazione dei servizi Web, la gestione delle identità si evolverà per soddisfare i nuovi requisiti di autenticazione e autorizzazione che risultano, ad esempio, come conseguenza delle applicazioni di servizi Web create da più provider.

• Le aziende di medie o grandi dimensioni tendono a evitare i prodotti 3A, perché i costi di integrazione del sistema

sono da cinque a sette volte più alti dei canoni per i prodotti 3A. I cinque principali fornitori di software nel 2002 erano Computer Associates, IBM, VeriSign, RSA Security e Hewlett-Packard (HP).

RILEVAMENTO DELL'INTRUSIONE E VALUTAZIONE DELLA VULNERABILITÀ IDC

definisce gli IDS come prodotti progettati per monitorare costantemente un dispositivo o una rete per attività dannose. I prodotti di valutazione delle vulnerabilità, in base alla definizione di IDC, eseguono valutazioni per determinare la configurazione, la struttura e gli attributi di un determinato dispositivo sulla rete. Secondo la società di ricerca, il mercato dei software di valutazione delle intrusioni e della vulnerabilità è salito a $ 723 milioni nel 2002, da $ 620 milioni nel 2001, con un incremento vicino al 18%. Il mercato dovrebbe aumentare a $ 1,5 miliardi nel 2007, un CAGR di oltre il 17%. Gli IDS sono previsti scomparire come prodotti standalone entro il 2008. Inoltre, la linea tra IDS host-based e network-based continuerà a offuscarsi e questi prodotti si fonderanno con tecnologie come antivirus e firewall.
Il mercato di questi prodotti è affollato, con venditori divisi approssimativamente a seconda che forniscano IDS come software o come appliance. Il software ha rappresentato oltre il 90% dei ricavi nel 2001.
Delle oltre 30 società che offrono tali prodotti, i principali fornitori di software IDS nel 2002 erano Internet Security Systems (ISS) (25 percento), Symantec (20 percento) e BindView (8 percento). I principali produttori di elettrodomestici per la loro quota di mercato 2001 (più recente) erano Cisco Systems (64 percento), Nokia (13 percento) e Enterasys Networks (5 percento).
I leader del mercato della sicurezza non IDS specifici, come Check Point e NetScreen, si stanno integrando nelle loro tecnologie di prodotto come IDS e antivirus. I prodotti di gestione della sicurezza IT vengono visualizzati da aziende come ArcSight, Computer Associates e IBM Tivoli e gli strumenti di monitoraggio della sicurezza gestiti sono disponibili da Activis, ISS, Symantec e Vigilinx.

PREVENZIONE DELLE INTRUSIONI

Gli IDS di prima generazione erano noti per troppi falsi positivi: allarmi di intrusione che non si verificavano. Alla fine del 2002, i sistemi di prevenzione delle intrusioni (IPS) hanno iniziato a comparire. Sono in fase di sviluppo prodotti IPS che utilizzano regole, modelli e motori di correlazione che consentono di impedire l'esecuzione di alcuni attacchi. Poiché gli IPS sono nuovi, le statistiche di mercato su questi prodotti non sono disponibili. Fornitori come Cisco Systems, ForeScout Technologies, Network Associates e Vsecure Technologies hanno annunciato sistemi IPS come potenziali sostituzioni per i loro sistemi IDS. I fornitori di firewall aggiungono funzionalità IPS ai loro prodotti, così come le società di switch e di bilanciamento del carico come TopLayer Networks.

GESTIONE DEI CONTENUTI SICURI

IDC divide la gestione del contenuto protetto (SCM) in tre segmenti: filtro Web; scansione e-mail e sicurezza della messaggistica; e antivirus. SCM come mercato riflette l'esigenza dei clienti aziendali di strumenti di gestione di Internet basati su policy.
IDC si aspetta che il mercato per la gestione sicura dei contenuti cresca da circa $ 2,7 miliardi nel 2002 a $ 6,4 miliardi entro il 2007, un CAGR di quasi il 19%.
Ci sono centinaia di venditori in SCM e cambi di posizione competitivi rapidamente. Quelli che hanno guidato il settore nel 2002 hanno incluso quanto segue:

• Symantec deteneva una quota del 31% del mercato mondiale. I prodotti Symantec vengono visualizzati in tutti e tre i settori del mercato della gestione dei contenuti protetti.

• Network Associates / McAfee detenevano il 20% della quota di mercato per la gestione dei contenuti protetti. I suoi prodotti combinano software antivirus e SCM e hardware.

• Trend Micro, con il 12% del mercato nel 2002, si concentra sulla protezione della posta elettronica.

• Computer Associates, con il 4%, offre prodotti SCM e antivirus integrati.

• SurfControl, con il 2% del mercato, ricava la maggior parte delle entrate derivanti dalla sicurezza del contenuto dai segmenti di filtraggio Web e di filtraggio della posta elettronica.

• Websense, con una quota del 2% sul mercato mondiale nel 2002, ricava tutte le entrate derivanti dalla sicurezza dei contenuti dal mercato dei filtri Web.

• Sophos, che ha catturato il 2% del mercato nel 2002 a seguito di un aumento del 47% dei ricavi SCM dal 2001 al 2002, ha prodotti antivirus e di filtraggio della posta elettronica.

• Panda, che aveva meno del 2% del mercato nel 2002, vende una gamma di prodotti antivirus.

Filtro Web

Come definito da IDC, i prodotti di filtraggio Web identificano, categorizzano e gestiscono contenuti Web che coinvolgono argomenti non legati al business, come pornografia, materiale razzista o odioso, parolacce, sport e viaggi. Le aziende utilizzano questi prodotti per allocare meglio le risorse di rete, migliorare la produttività dei dipendenti e assicurare la conformità alle politiche aziendali.

Secondo IDC, il filtro Web rappresentava una quota del 10% del mercato SCM nel 2002. IDC prevede che il mercato del filtraggio Web aumenterà da $ 270 milioni nel 2002 a $ 893 milioni nel 2007, un CAGR del 27%.

Sicurezza dei messaggi

Il software di scansione e-mail viene utilizzato per controllare i messaggi in entrata e in uscita per informazioni riservate, file di eccessiva d

imensione e contenuti vietati. Scansione del contenuto di posta elettronica ricerca per parole chiave, pacchetti di dati di grandi dimensioni e tipi di file non consentiti. La preoccupazione delle imprese con la produttività dei dipendenti, così come la conformità alle normative sulla privacy, garantisce la vitalità di questo mercato.
La scansione e-mail ha generato entrate per circa 236 milioni di dollari nel 2002. IDC prevede che il mercato della scansione e-mail raggiungerà circa 1,1 miliardi di dollari nel 2007, un CAGR del 36%. La necessità di proteggere le informazioni riservate ha guadagnato sempre più attenzione, un motivo principale per cui i prodotti di scansione e-mail sono molto richiesti.

Antivirus Il mercato del software antivirus (AV) include software utilizzato per rilevare e rimuovere virus e file dannosi (spesso definiti come malware), nonché per ripristinare i file danneggiati del computer. Il software antivirus è un segmento considerevole del mercato globale del software di sicurezza, raggiungendo $ 1,2 miliardi nel 2002, secondo Gartner Dataquest. Un mercato relativamente maturo, il mercato dei software antivirus sta mostrando segni di consolidamento dei fornitori. Tuttavia, analisti come META Group prevedono l'espansione del mercato in nuove aree: ad esempio, gateway Web e storage SAN, con una crescita compresa tra il 15 e il 20% annuo per i prossimi tre-cinque anni.
Un sondaggio META Group condotto all'inizio del 2003 ha indicato che Trend Micro, Symantec e Network Associates hanno guidato il mercato dei software antivirus aziendali nel 2002. Insieme, questi venditori detenevano oltre l'80% del segmento di mercato. Computer Associates e Sophos, una società privata, stanno lavorando per sfidare i primi tre. Le società rappresentative con una quota di mercato inferiore al 5% includono Aladdin, FSecure, MessageLabs e Panda.

Microsoft è entrata nel mercato antivirus nel giugno 2003 attraverso l'acquisto delle risorse IP e tecnologiche di GeCAD Software, un produttore di antivirus rumeno. Gartner vede l'ingresso di Microsoft nel mercato antivirus come un evento importante, che aggraverà le pressioni per innovare per i fornitori di antivirus aziendali affermati. Questi fornitori devono inoltre affrontare numerosi nuovi tipi di minacce, comprese quelle derivanti da ambienti peer-to-peer e servizi Web.
Poiché i virus continuano a rappresentare una delle maggiori sfide di sicurezza per le imprese, secondo Gartner le aziende cercheranno soluzioni di terze parti più ampie. Infatti, Gartner prevede che entro il 2005, i fornitori non tradizionalmente associati ai prodotti antivirus forniranno la maggior parte delle funzionalità antivirus della posta elettronica. Gartner prevede anche che, entro il 2008, la maggior parte delle aziende utilizzeranno i controlli delle policy incorporate nel sistema operativo Windows di nuova generazione di Microsoft (nome in codice Longhorn), piuttosto che software desktop discreto, per il blocco dei comportamenti e il rilevamento di codice dannoso.

ALTRO SOFTWARE IDC

inserisce vari tipi di software di sicurezza troppo piccoli per essere inclusi altrove in una categoria Altro, che include toolkit di crittografia, prodotti di crittografia dei file, sicurezza del database, sicurezza dello storage, VPN standalone e client VPN, sicurezza wireless, sicurezza dei servizi Web e sistemi operativi sicuri. Secondo IDC, questa categoria aumenterà da $ 249 milioni nel 2002 a $ 571 milioni nel 2007, un CAGR del 18%.

■ Sicurezza Sicurezza delle informazioni hardware

l'hardware consiste principalmente di appliance, dati biometrici, smart card e token, che sono trattati in questa sezione. I lettori di schede o token, spesso usati in combinazione con questi dispositivi, sono esclusi da questa discussione.
ELENCO DELLE APPLICAZIONI IDC definisce un'appliance di sicurezza come una combinazione di hardware, software e tecnologie di rete la cui funzione principale è eseguire funzioni di sicurezza specifiche o multiple. IDC divide queste appliance in tre categorie funzionali: firewall / VPN, sistema di rilevamento delle intrusioni di rete (NIDS) e altro (che include una varietà di funzioni, come antivirus, gestione sicura dei contenuti e controllo degli accessi).

IDC si aspetta che il mercato delle appliance di sicurezza sia generalmente forte, passando da un valore stimato di $ 1,8 miliardi nel 2002 a $ 4,7 miliardi nel 2006, un CAGR del 27%. (Vedere la Figura52.) I motivi per cui IDC ha rilevato la rapida crescita delle appliance includono l'adozione a banda larga, la praticità, la facilità di installazione e manutenzione e una complessità complessiva ridotta. Gartner sottolinea che l'inclusione dei processori di rete in una serie di questi dispositivi è significativa, a causa della capacità acquisita di condurre un'ispezione approfondita dei pacchetti, una ragione fondamentale per cui NetScreen, ad esempio, ha visto crescere la domanda per i propri prodotti.

I fornitori di dispositivi di sicurezza li hanno posizionati per l'utilizzo in combinazione con tecnologie wireless e servizi Web. Secondo IDC, i principali fornitori di appliance di sicurezza firewall / VPN per quota di mercato delle entrate nel 2001 (le più recenti informazioni disponibili) erano Cisco Systems (38%), Nokia (21%), SonicWall (8%), NetScreen (7%) e WatchGuard (5 percento). Tra i fornitori di appliance emergenti figurano Zyxel, Global Technology Associates e Cyzentech.

BIOMETRICA

Uso delle tecnologie biometriche tratte da caratteristiche

naturali e uniche di un individuo per assicurare l'identità. I metodi biometrici in uso includono le impronte digitali o la scansione manuale, il riconoscimento della grafia, la scansione dell'iride, l'autenticazione vocale, la scansione dei tasti e le tecnologie di riconoscimento facciale.
International Biometric Group (IBG) ha riferito che il mercato mondiale della tecnologia biometrica ha raggiunto i 601 milioni di dollari nel 2002 e prevede che questo mercato raggiungerà i 4 miliardi di dollari entro il 2007, un CAGR del 46%. La figura 53 presenta la scomposizione di IBG

SMART CARD

Una smart card è un pezzo di plastica formato carta di credito che, invece di una striscia magnetica, contiene almeno un chip incorporato. Il settore delle smart card classifica spesso le sue carte in base al tipo di chip: possono essere sia schede di memoria (che memorizzano i dati) che schede di microprocessore (che possono sia memorizzare che elaborare dati). La maggior parte delle schede a microprocessore sono destinate ai fini dell'autenticazione dell'utente.
Tutte le smart card hanno un componente di sicurezza intrinseco, ma solo una piccola percentuale di queste viene utilizzata nelle applicazioni di sicurezza standalone. Secondo Datamonitor, la stragrande maggioranza delle smart card è utilizzata nelle applicazioni di servizi finanziari e di telecomunicazione. Queste carte consistono principalmente dei seguenti tipi:

• Schede telefoniche prepagate monouso, basate sulla memoria e in declino.

• Schede modulo SIM (Subscriber Identity Module) per l'autenticazione del telefono cellulare, roaming sicuro e servizi a valore aggiunto, basati su microprocessore.

• Carte di pagamento basate sullo standard Europay, MasterCard e Visa (EMV), anch'esse basate su microprocessore.

Datamonitor ha preso atto dell'adozione delle carte EMV nel Regno Unito e prevede una forte crescita in Asia-Pacifico per le carte EMV fino al 2006. La società prevede che i ricavi delle carte di servizi finanziari saliranno generalmente da $ 494 milioni nel 2002 a $ 808 milioni nel 2006, un CAGR del 13 percento. I servizi che utilizzano le carte di pagamento preferiscono la tecnologia delle smart card alle carte con strisce magnetiche, perché le prime sono più difficili da sfruttare ai fini della frode.

Per le categorie di mercato verticale più piccole, Datamonitor prevede che la domanda di smart card per molti di questi crescerà a tassi più rapidi rispetto ai più affermati verticali di servizi di telecomunicazione e servizi finanziari. Infatti, le schede utilizzate in applicazioni di sicurezza / accesso standalone cresceranno più rapidamente, passando da 14 milioni nel 2002 a 36 milioni nel 2006, un CAGR del 27%. Altri mercati verticali con forte domanda di smart card includono le università (con una domanda unitaria dal 2002 al 2006 prevista con un CAGR del 24%), governo / assistenza sanitaria (24% CAGR per lo stesso periodo) e pay TV (22% CAGR) .

Datamonitor ha riferito che i cinque principali fornitori di smart card in tutto il mondo nel 2002 sono stati Gemplus (quota di entrate del 29%), Schlumberger (29%), Giesecke & Devrient (10%), Oberthur (9%) e Orga (5%).

Autenticazione forte a due o tre fattori, che combina qualcosa di posseduto (una smart card, per esempio), qualcosa di conosciuto (un numero PIN, per esempio) e / o una caratteristica personale (come un dito o una stampa vocale), è un importante driver di mercato per le smart card di sicurezza. Datamonitor afferma che questo tipo di autenticazione ha generalmente richiesto lettori costosi. L'azienda prevede che, durante il periodo di previsione, l'elevato costo dell'infrastruttura rallenterà l'adozione di tecniche di autenticazione avanzate mediante le smart card.

GETTONI

I token hardware, secondo IDC, crittografano un valore per fornire una password una tantum o utilizzano una tecnica di autenticazione challenge-and-response in combinazione con un server di autenticazione. I token generalmente prendono la forma di carte o portachiavi, ma altri fattori di forma stanno emergendo.
IDC divide il mercato dei token hardware (escluse le smart card) in tradizionali token USB, token di autenticazione delle licenze software (SLAT) e altre forme (varie) di autenticazione hardware. I token USB, che gli utenti possono collegare alle porte USB del proprio PC, non richiedono lettori aggiuntivi, un chiaro vantaggio. Tuttavia, sono meno sicuri dei tradizionali token password una tantum. Gli SLAT sono chiavi USB o porta parallela che autenticano gli utenti ai fini dell'applicazione degli accordi di licenza del software. Altri tipi di token includono varietà wireless.
Per il 2001, l'IDC più recente pubblicato, il mercato mondiale dei token tradizionali ha raggiunto $ 175 milioni, seguito da token USB, che hanno raggiunto $ 8 milioni e altre autenticazioni hardware (escluse le smart card), che hanno raggiunto $ 7 milioni. IDC prevede un CAGR per i token USB del 92 percento dal 2001 al 2006 e un CAGR del 91 percento per altre forme di autenticazione dell'hardware. Si prevede che le restanti categorie cresceranno più modestamente durante lo stesso periodo, con tassi del 9 percento (gettoni tradizionali) e dell'8 percento (SLAT), rispettivamente.