Standard di sicurezza poco stringenti ti rendono vulnerabile. Ma processi eccessivamente sensibili producono falsi avvisi che possono rendere difficile la distinzione di avvisi effettivi e non effettivi. E sfortunatamente, il problema si aggrava facilmente.
"Il nostro campus è enorme," osserva John McGuthry, Vice President and Chief Information Officer (CIO) presso la California State Polytechnic University, Pomona (Cal Poly Pomona). “Non solo in termini di numero di studenti ma anche di dimensioni fisiche. Abbiamo circa 160 ettari acri e oltre 100 edifici. Abbiamo scuderie per cavalli. Abbiamo fattorie. La diffusione della nostra infrastruttura di rete e dello spazio wireless che manteniamo è gigante."
E la gestione di un campus così vasto stava iniziando a diventare impegnativa per le risorse di sicurezza IT della scuola. "Ricevevamo così tanti avvisi sui dispositivi che presto il tutto sarebbe potuto diventare schiacciante," ricorda McGuthry. “La quantità di informazioni che stavamo esaminando continuava ad aumentare. Avevamo bisogno di un modo migliore."
Ma oltre alle dimensioni dell'ambiente, Cal Poly Pomona ha dovuto affrontare anche sfide legate ai vari standard da rispettare in materia di sicurezza dei dati. Come spiega McGuthry: “Abbiamo una forza di polizia, per cui esistono standard di conformità per i dati delle forze dell'ordine. Abbiamo un centro sanitario, quindi entra in gioco l'HIPAA. C'è un hotel, ci sono dei ristoranti, c'è un negozio al dettaglio—il che significa requisiti PCI. E insieme a tutto ciò, abbiamo informazioni sugli studenti che dobbiamo mantenere al sicuro."
Per affrontare queste sfide, McGuthry voleva creare una piattaforma centralizzata di gestione degli eventi e delle informazioni di sicurezza (SIEM) in grado di fornire funzionalità di registrazione complesse. A seguito di varie discussioni interne, era interessato a esplorare le funzionalità offerte da IBM Security® QRadar® SIEM, avviando rapidamente un confronto iniziale con un team di IBM Security.
"Dopo un'esauriente valutazione di QRadar e dopo aver parlato con IBM, ho chiamato il nostro CISO e ho detto: "Facciamolo," ricorda McGuthry. "Sembrava proprio la soluzione migliore per Cal Poly Pomona."
Come parte dell'implementazione iniziale di QRadar SIEM, il team IBM Security insieme allo staff di Cal Poly Pomona ha condotto un inventario completo dell'intera architettura, creando un registro dettagliato della topologia di rete e individuando anche tutti i ruoli utente con accesso ai dati. Ad oggi, circa 27.000 studenti attivi e 3.000 docenti e personale usano il sistema regolarmente.
"Ogni semestre abbiamo anche un gruppo di richiedenti molto numeroso e transitorio", osserva Carol Gonzales, Associate Vice President for IT Security and Compliance and Chief Information Security Officer dell'università. “In questo modo la nostra base di utenti aumenta fino a circa 100.000, per poi diminuire altrettanto rapidamente. Ospitiamo anche molti eventi per la comunità. E ogni anno abbiamo una cerimonia di laurea in cui gli amici e i familiari degli studenti vengono tutti al campus. Si tratta di un sacco di accessi wireless."
Con l'individuazione di inventario e ruoli utente, QRadar SIEM consente a Cal Poly Pomona di centralizzare, normalizzare e analizzare i dati in arrivo da oltre 84.000 dispositivi per individuare potenziali minacce usando la machine learning e l'analisi del comportamento. In media, questo genera circa 44 GB di registri e report ogni giorno il che, da un punto di vista forense, aiuta a semplificare i requisiti di conformità e controllo.
Più in dettaglio, le funzioni di avviso utilizzabili della soluzione IBM possono individuare le posizioni delle intrusioni in modo rapido ed efficiente, segnalandole per le indagini. Inoltre, QRadar SIEM fornisce analisi del comportamento degli utenti che aiutano il personale di sicurezza a individuare anomalie precedentemente non rilevabili che potrebbero indicare attacchi mirati, minacce interne o altre attività nefaste.
Oltre alla semplice sicurezza, QRadar SIEM contribuisce anche alle iniziative di formazione dell'università. In particolare, presso il Mitchell Hill Data Center della scuola, gli studenti del College of Business Administration usano la tecnologia IBM per acquisire esperienza nel "mondo reale" durante lo studio della cybersecurity.
"Si tratta di un'architettura isolata e separata che imita il nostro ambiente di produzione," chiarisce il dott. Ronald E. Pike, Associate Professor of Computer Information Systems dell'università. " “Gli studenti del Cal Poly Pomona lo usano per gestire il proprio centro operativo di sicurezza [SOC] gestito dagli studenti, dove possono usare QRadar per osservare il traffico in entrata e in uscita dall'ambiente. E possono generare artificialmente un'ulteriore attività utente che fornisce una base coerente di problemi di sicurezza che devono essere risolti durante il semestre."
Inoltre, la tecnologia IBM assiste con corsi specializzati che si concentrano sull'auditing IT e sulla gestione olistica della sicurezza, in particolare su come le varie aree della cybersecurity si intersecano tra loro.
"Ospitano anche una serie di concorsi nel data center degli studenti," aggiunge Pike. "E QRadar è fondamentale per aiutare a monitorare queste attività, fornendo dati di valutazione chiari sulle prestazioni dei concorrenti."
QRadar SIEM offre una visibilità completa sull'intera rete del campus. Inoltre, la tecnologia IBM semplifica il rilevamento degli attacchi mirati a vulnerabilità precedentemente non individuate insieme a minacce avanzate e persistenti. Tutto ciò consente a Cal Poly Pomona di individuare i punti di debolezza e le intrusioni di sicurezza molto più rapidamente. Inoltre, ogni giorno la soluzione restringe i potenziali avvisi a un numero di elementi da indagare compreso tra 20 e 40.
"Non possiamo controllare tutto, quindi QRadar aggrega e mette in evidenza i dettagli che dobbiamo veramente esaminare," spiega Gonzales. “Ad esempio, qualche mese fa abbiamo avuto un incidente in cui abbiamo rilevato modifiche non autorizzate su diversi desktop nello stesso reparto. Con QRadar abbiamo individuato e riconfigurato rapidamente questi sistemi nella stessa settimana. Inoltre, abbastanza facilmente, abbiamo aggiunto un widget alla nostra dashboard che ci consente di tenere d'occhio quel reparto nel caso in cui il problema si ripresenti."
E oltre al valore offerto dalla tecnologia, Gonzales è rimasto soddisfatto anche dal supporto offerto dal team IBM Security. Come peraltro osserva: "Apprezziamo molto le valutazioni del valore che facciamo insieme, in cui IBM ci aiuta a scoprire come lavorare in modo più intelligente. Queste valutazioni ci aiutano a sapere a quali reati deve essere data priorità. Ci insegnano come lasciare che QRadar faccia il lavoro al posto nostro invece di cercare di gestire noi lo strumento."
McGuthry continua, aggiungendo: "Al di là delle prestazioni di un prodotto, il servizio è davvero importante. E gli esperti che IBM ci ha fornito sono stati preziosi per la nostra università."
Fondata nel 1938, Cal Poly Pomona (link esterno a ibm.com) è un'importante università politecnica che si concentra sull'apprendimento esperienziale e sulla scoperta pratica. La scuola si trova a Pomona, in California, ed è composta da nove distinti college accademici che offrono collettivamente diplomi di laurea in 94 specializzazioni e 39 programmi di laurea magistrale.
Legale
© Copyright IBM Corporation 2023. IBM Corporation, New Orchard Road, Armonk, NY 10504
Prodotto negli Stati Uniti, novembre 2023.
IBM, il logo IBM, ibm.com, IBM Security e QRadar sono marchi o marchi registrati di International Business Machines Corporation negli Stati Uniti e/o in altri Paesi. Altri nomi di prodotti e servizi potrebbero essere marchi di IBM o di altre società. Un elenco aggiornato dei marchi IBM è disponibile su ibm.com/legal/copyright-trademark.
Le informazioni contenute nel presente documento sono aggiornate alla data della prima pubblicazione e possono essere modificate da IBM senza preavviso. Non tutte le offerte sono disponibili in ogni Paese in cui opera IBM.
Tutti gli esempi citati relativi a clienti sono presentati per illustrare il modo in cui alcuni clienti hanno utilizzato i prodotti IBM e i risultati da essi eventualmente conseguiti. I costi effettivi relativi agli ambienti e le caratteristiche inerenti alle performance possono variare a seconda delle specifiche configurazioni e condizioni del cliente. In generale non è possibile fornire risultati attesi, poiché i risultati di ciascun cliente dipendono interamente dai sistemi e dai servizi ordinati. LE INFORMAZIONI FORNITE NEL PRESENTE DOCUMENTO SONO DA CONSIDERARSI “NELLO STATO IN CUI SI TROVANO”, SENZA GARANZIE, ESPLICITE O IMPLICITE, IVI INCLUSE GARANZIE DI COMMERCIABILITÀ, DI IDONEITÀ PER UN PARTICOLARE SCOPO E GARANZIE O CONDIZIONI DI NON VIOLAZIONE. I prodotti IBM sono coperti da garanzia in accordo con termini e condizioni dei contratti sulla base dei quali vengono forniti.
Dichiarazione di conformità alle procedure di sicurezza: nessun sistema o prodotto informatico può essere considerato completamente sicuro e nessun singolo prodotto, servizio o misura di sicurezza può essere completamente efficace nel prevenire l'uso o l'accesso improprio. IBM non garantisce che i sistemi, i prodotti o i servizi siano immuni da, o renderanno la vostra azienda immune da, comportamenti dolosi o illegali di qualsiasi parte.
Il cliente è responsabile della conformità a tutte le leggi e le normative vigenti. IBM non fornisce consulenza legale, né dichiara o garantisce che i suoi servizi o prodotti assicurino al cliente la conformità a qualsivoglia legge o regolamento.