Le esigenze fondamentali
Le minacce ai sistemi informatici e i crimini ad esse correlati possono essere originate sia all’esterno che all’interno dei sistemi stessi. Le prime sono in parte ovviate dalle difese perimetrali (firewall, intrusion detection systems, antivirus) ma non completamente eliminate; le seconde sono state finora sottovalutate, malgrado siano percentualmente le piú rilevanti. È stato infatti dimostrato da studi specifici che oltre l’80% delle minacce proviene da fonti interne (da personale autorizzato 58%, da personale non autorizzato 24%). È quindi indispensabile disporre di strumenti informatici che siano in grado di prevenirle, mediante la formulazione di procedure automatizzate e mediante la loro gestione nel tempo. E consentano, in caso di attacco comunque riuscito, l’individuazione della fonte della minaccia, il danno subito, il ripristino della situazione iniziale, il tutto minimizzando i tempi di intervento e i relativi costi.
Elementi chiave delle soluzioni
La complessità del problema indirizza tendenzialmente le soluzioni verso utilizzatori di livello Enterprise, indipendentemente dalla loro attività specifica (Industria, Finanza) e verso Enti Pubblici (Ministeri, Magistratura, Sanità), ove le informazioni possano essere di grande sensibilità e importanza strategica. Sostanzialmente le soluzioni devono rispondere a due requisiti fondamentali, i cui aspetti operativi sono definiti nell’ambito di una politica aziendale predefinita. Capacità di prevenzione: l’intelligenza degli strumenti utilizzati deve essere tale da saper individuare una minaccia ancora sconosciuta, compreso lo zero-day attack, cioè una minaccia che, sfruttando particolari vulnerabilità dei sistemi operativi o dei software applicativi, possa diffondersi nei sistemi informativi che non dispongono ancora delle patch per prevenirla. Velocità ed efficienza di reazione: la capacità di reazione deve essere tale da garantire interventi immediati sull’intero network, individuando i sistemi compromessi, isolandoli temporaneamente, generando gli opportuni allarmi, ripristinando la situazione ante-minaccia.
La visione Datamatic DSS
In un mercato che offre un numero molto limitato di prodotti soddisfacenti, Datamatic DSS ha scelto le soluzioni piú prestigiose, sia per il loro livello tecnologico sia per i fornitori che le hanno sviluppate. Si tratta di soluzioni la cui validità è comprovata da un grande numero di installazioni presso utilizzatori di altissimo livello. Sono basate sull’integrazione di piú prodotti software tutti sviluppati dallo stesso fornitore, che interagiscono fra loro e offrono prestazioni complessive inuguagliate. La notevole diffusione di queste soluzioni, che ha preso corpo nel corso di circa un decennio, e la collaborazione dei singoli utilizzatori hanno contribuito a migliorarne prestazioni e affidabilità, che rappresentano ora lo stato dell’arte della tecnologia. Inoltre alcune delle soluzioni Datamatic DSS sono scalabili verso il basso, consentendone l’utilizzazione anche in organizzazioni di dimensioni piú ridotte.
Capacità di prevenzione
In termini di prevenzione la soluzione Datamatic consente innanzitutto la definizione delle politiche che dovranno garantirla: quali informazioni devono essere protette, la loro posizione nel sistema informativo, le possibilità di migrazione, il monitoraggio degli interventi su di esse e il controllo costante della loro integrità e congruenza. In secondo luogo la definizione delle politiche pro-active di intervento, mediante la schedulazione di auditing automatizzati sulla base di contenuti specifici e parametri predefiniti e la capacità di effettuare azioni di counter-intelligence includendo nei controlli non solo i dischi fissi ma anche le memorie volatili (RAM). Quest’ultimo punto è tanto piú importante quanto piú sofisticata è ormai diventata l’azione dei malintenzionati, che tendono a “nascondere” i loro malware nelle RAM, aggiornandole ad ogni riaccensione, per non lasciarne tracce sui dischi, dove possono essere eliminati e successivamente bloccati. La potenza delle soluzioni offerte si estrinseca poi non solo nella versatilità dei controlli ma soprattutto nella velocità di intervento.
Velocità ed efficienza di reazione
Le soluzioni Datamatic, essendo tutte orientate verso ambienti sofisticati dal punto di vista delle dimensioni dei network e della criticità degli asset da proteggere, hanno nella velocità e nell’efficienza di reazione il loro punto di maggior forza. La definizione della velocità di intervento varia ovviamente in base al tipo di intervento da effettuare. I seguenti dati, che il risulatato di field test e prove in laboratorio, danno un’idea del livello prestazionale della soluzione. Acquisizione di dati criptati da server: 25,2 GB/ora; da desk top: 12,8 GB/ora. Acquisizione di dati non criptati da server: 47 GB/ora; da desk top: 41 GB/ora. Identificazione di file in base a hash specifico su desk top: 300 file/secondo. Identificazione e cattura di file in base alla loro tipologia (exe) su desk top: 8 GB/ora. Questi valori non hanno subito degradazioni significative con l’aumento dei nodi da controllare. La velocità e l’efficienza operativa derivano dalla particolare architettura multi-machine delle soluzioni che prevede la suddivisione delle task fra piú agenti (worker) distribuiti nella rete, ciascuno fornito della intelligenza necessaria, facenti capo alla postazione centralizzata (examiner).