Ibm: analytics validi anche per fare sicurezza

Pronta un’appliance per la protezione avanzata dalle minacce, in grado di segnalare anche il traffico dati poco evidente. Per chi non sa nemmeno di avere un computer infettato.

Secondo Marc van Zadelhoff, vice president Strategy and Product Managemen di Ibm Security Systems gli hacker più esperti lasciano solamente una traccia impercettibile della loro presenza ed eludono molti sistemi di protezione di rete e rilevamento: la maggior parte delle aziende non sa nemmeno di essere stata infettata da malware.

Allo scopo Ibm ha presentato un nuovo strumento di analytics che, utilizzando la security intelligence avanzata, è in grado di segnalare il comportamento sospetto nelle attività di rete, per una migliore difesa dalle minacce nascoste.

L'appliance QRadar Network Anomaly Detection, allora, analizza la complessa attività di rete in tempo reale, rilevando e segnalando anomalie che esulano dal normale comportamento di base.
Questa funzione di analisi può osservare gli attacchi in ingresso e anche rilevare le anomalie di rete in uscita, quando il malware potrebbe avere già infettato un sistema "zombie" per inviare dati all'esterno.

Utilizzando algoritmi comportamentali evoluti, l'appliance analizza i dati più disparati che, nell'insieme, possono essere indicativi di un attacco: flusso di traffico e di rete, allarmi dei sistemi di prevenzione delle intrusioni, vulnerabilità di sistemi e applicazioni e attività degli utenti.
Quantifica diversi fattori di rischio, per aiutare a valutare la rilevanza e la credibilità di una minaccia segnalata, il valore aziendale e le vulnerabilità delle risorse prese di mira.

Applicando l'analitica comportamentale e il rilevamento delle anomalie, l'applicazione può segnalare eventi irregolaricome il traffico di rete in uscita verso paesi in cui l'azienda non ha rapporti d'affari; il traffico Ftp osservato in un reparto che, di regola, non usa servizi Ftp; l'esecuzione di un'applicazione nota su una porta non standard, o in aree in cui non è consentita.

La nuova appliance sfrutta la QRadar Security Intelligence Platform ed è progettata come complemento all'impiego di Ibm SiteProtector e Ibm Network Security Ips. Inoltre X-Force IP Reputation Feed fornisce a QRadar Network Anomaly Detection un elenco, in tempo reale, di indirizzi Ip potenzialmente maligni, inclusi host di malware, fonti di spam e altre minacce. In questo modo l'appliance osserva il traffico da o verso questi siti e, conseguentemente, può allertare immediatamente l'organizzazione e fornire informazioni di contesto relative a eventuali attività anomale.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here