Enterprise Security più flessibile con Micro Focus ArcSight

Micro Focus ha reingegnerizzato l’architettura della sua soluzione SIEM per consentire una flessibilità senza precedenti. Tra le novità la correlazione distribuita che abilita una protezione centralizzata per gli ambienti IT ibridi.

Parlando di sicurezza, non sempre raccogliere più dati è meglio. Nelle grandi aziende i dati ricevuti possono riguardare miliardi di eventi al giorno e, in assenza di una corretta comprensione dello scenario, delle circostanze e del significato dei log di sicurezza, individuare un attacco può diventare un compito impossibile.

Due sono, dunque, i temi centrali per predisporre una protezione efficace.

Il primo è stabilire quali dati raccogliere in modo da rendere l’azione preventiva più efficace, predisponendo meccanismi di filtro che permettano di organizzare le informazioni ricevute in modo contestualizzato all’interno di uno scenario di sicurezza.

Il secondo è abilitare un livello di correlazione in grado di operare in tempo reale poiché, parlando di brecce di sicurezza, ogni istante perso si trasforma in un danno potenzialmente anche molto grave per chi lo subisce.

A queste esigenze fornisce una risposta efficace Micro Focus ArcSight, una piattaforma SIEM (Security Information and Event Management) di nuova generazione che permette di proteggere i dati attraverso un monitoraggio effettuato in tempo reale su scala globale e l’implementazione di tecnologie di security intelligence.

La piattaforma prevede una serie di componenti, tra cui un posto centrale è occupato da ArcSight Enterprise Security Manager (ESM), una soluzione che raccoglie e analizza eventi da diversi sistemi e strumenti di sicurezza, rilevando in tempo reale le possibili minacce alla sicurezza e fornendo ai team di sicurezza le indicazioni per fornire risposte rapide ed efficaci.

Con ESM 7.0 la sicurezza negli ambienti ibridi non è più un problema

Con il rilascio dell’ultima versione, siglata 7.0, ESM ha compiuto un significativo balzo in avanti, risultato di un processo di sviluppo degli ultimi due anni.
Il modello architetturale della soluzione è stato aggiornato per rispondere ad alcune delle principali esigenze richieste dal mercato, tra cui l’esigenza di rendere omogenea la protezione in ambienti IT ibridi.

L’integrabilità con il cloud è un punto strategico per Micro Focus - sostiene Pierpaolo Alì, Director Southern Europe di Micro Focus Security -. Negli ambienti IT odierni è fondamentale poter spostare i carichi di lavoro nel cloud in piena sicurezza, utilizzando i medesimi strumenti di protezione disponibili on-premises. Per rispondere a queste esigenze ESM è disponibile sia in modalità on-premises sia come soluzione in cloud e, grazie alla nuova tecnologia di correlazione distribuita, garantisce la massima sicurezza anche in ambienti IT di tipo ibrido”.

Pierpaolo Alì, Director Southern Europe di Micro Focus Security

La correlazione distribuita, disponibile in ESM 7.0, è il risultato dell’introduzione di una tecnologia cluster di livello avanzato. Grazie a questa tecnologia ESM 7.0 può estendere le sue capacità di correlazione attraverso diversi nodi, pur mantenendo la possibilità di essere utilizzata come soluzione per nodo singolo.

Tra le novità introdotte con l’ultima release vi sono anche nuove funzionalità nell’interfaccia utente con aggiornamento dei grafici nella console e del cruscotto SOC globale. Inoltre, sono stati migliorati i flussi di lavoro, introdotte nuove possibilità di aggiungere “dashlet” ed effetti grafici e abilitata l’integrazione con ServiceNow.

Aggiunte anche funzionalità indirizzate alle esigenze di audit, come la possibilità di visualizzare chi ha apportato modifiche a una regola e quando.
Lo sviluppo della piattaforma ArcSight prosegue costantemente e le prossime novità attese saranno all’insegna di un rafforzamento delle capacità di analytics, di un’architettura sempre più aperta e scalabile, e di una maggiore semplicità d’uso.

Il valore aggiunto dell’integrazione con ADP e Investigate

Per rispondere alle sfide imposte dai Big Data ArcSight ESM 7.0 si integra con ArcSight Data Platform (ADP) Event Broker, una soluzione intelligente per la raccolta dei dati (data ingestion) e la loro distribuzione di tipo aperto e scalabile.

ESM è in grado di inviare e ricevere log su eventi di sicurezza da Event Broker, che abilita la condivisione di dati con “data lake” e applicazioni di terze parti come Hadoop, facendo di ESM lo strumento centrale per la protezione dalle minacce di ogni tipo.

ESM 7.0 si integra anche con ArcSight Investigate, soluzione di nuova generazione costruita su una piattaforma di analytics, che abilita la ricerca e visualizzazione dei dati in modo estremamente veloce e intuitivo all'interno dell'infrastruttura di sicurezza.

La sinergia tra ArcSight Investigate e ESM consente al personale dei SOC di rilevare e comprendere le minacce alla sicurezza di tipo sconosciuto, per prevenire ogni tipo di minaccia alla sicurezza.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.