Quello che viene implementato nei centri Iss, è un processo suddiviso in sei fasi. Si parte dall’investigazione «sulla base della conoscenza degli esperti del Soc e della rilevanza dell’anomalia – specifica David McGinnis, director Mss …
Quello che viene implementato nei centri Iss, è un processo suddiviso in sei fasi. Si parte dall’investigazione «sulla base della conoscenza degli esperti del Soc e della rilevanza dell’anomalia – specifica David McGinnis, director Mss architecture di Iss – riusciamo a fare la scansione di tutte le attività del sistema informativo dei nostri clienti, per vedere cosa non va». La seconda fase prevede la correlazione delle anomalie rilevate sui clienti del servizio per poi procedere, attraverso la fase di analisi e ricerca, a delineare i trend relativi alle specifiche tipologie di attacchi. La procedura prosegue con la verifica dell’escalation dell’attacco, per identificare le priorità di intervento. Se la virulenza si presuppone alta, viene chiamato direttamente il cliente. Se, invece, è stimata meno critica, si invia un messaggio di posta elettronica, contenente tutte le informazioni sull’anomalia riscontrata. Segue, poi, la fase delle contromisure, messe in atto da Iss attraverso le sue appliance e software e che, eventualmente, potranno coinvolgere attivamente anche il fornitore di servizi Internet (Isp) del cliente. Questa fase implica, necessariamente, la revisione delle policy di sicurezza dell’azienda cliente ed è seguita dalla fase conclusiva di tutto il processo, che vede la pubblicazione, sul portale di Iss, di tutta la documentazione relativa alla descrizione dell’evento e ai report. Il portale, dunque, rappresenta per la società un elemento di differenziazione, perché rende trasparente all’utente il lavoro fatto e viene aggiornato quotidianamente con report e informazioni. Il portale integra funzionalità di security intelligence che permettono di indagare tutti i dati processati, alla ricerca di anomalie e minacce. Il servizio Virtual Patch permette di proteggere i sistemi informativi degli utenti durante il periodo-finestra che intercorre tra la scoperta di una vulnerabilità e l’applicazione manuale di una patch. Il software SiteProtector, infatti, agisce sulla base della notifica di una nuova minaccia e rilascia una patch pro-tempore, a copertura del sistema informativo dell’utente, in attesa che venga rilasciata la contromisura effettiva. L’agente intelligente, inoltre, potrà cambiare la configurazione di un’appliance network, per riuscire a proteggere dall’esterno la rete aziendale.
