Combinazione della tecnologia IBM per gestire meglio la sicurezza informatica

Dopo una valutazione approfondita del mercato nel 2020, Data Action (DA), fornitore di tecnologia per banche alternative, ha assegnato un contratto a Vectra, un'agenzia di consulenza e uno specialista locale di servizi di sicurezza, per un progetto di aggiornamento della piattaforma Security Information and Event Management (SIEM).

La soluzione SIEM scelta, IBM Security QRadar, è stata implementata come appliance virtualizzata utilizzando VMware e lo storage IBM FlashSystem. Sebbene sia comune implementare QRadar su appliance virtualizzate, l'utilizzo dei controller di storage flashsystem ad alte prestazioni per questo tipo di workload non lo è.

L'uso della tecnologia proprietaria IBM FlashCore Module (FCM) di IBM per memorizzare i dati QRadar ha avuto un impatto significativo sulla capacità del centro operativo di sicurezza (SOC) di analizzare le minacce alla sicurezza. L'effetto complessivo sui tempi di risposta è stato considerevole, con alcuni casi che hanno contribuito a ridurre il tempo di analisi da ore a minuti rispetto alla precedente soluzione SIEM.

Tuttavia, insight intelligenti e tempi di risposta rapidi sono possibili solo quando vengono fornite risorse di calcolo e di storage adeguate. Le soluzioni SIEM efficaci devono inserire grandi quantità di dati, spesso da ambienti operativi complessi che si estendono su risorse on-premise e cloud. L'analytics complessa necessaria per ottenere insight migliori richiede l'accesso a enormi quantità di dati. In questi ambienti, tempi di risposta rapidi sono possibili solo utilizzando uno storage ad alte prestazioni e bassa latenza.

È stato per questi motivi che, nel 2020, dopo un'approfondita valutazione di mercato, DA ha implementato QRadar come soluzione SIEM dell'organizzazione. La soluzione consisteva in appliance virtuali all'interno di un cluster VMware dedicato e utilizzava lo storage FlashSystem per la conservazione di tutti i dati.

QRadar è una piattaforma di gestione della sicurezza di rete che fornisce consapevolezza situazionale e supporto per la conformità. QRadar utilizza una combinazione di conoscenza di rete basata su flusso, correlazione tra eventi di sicurezza e valutazione delle vulnerabilità basata su asset.

Nel suo report Magic Quadrant for Security Information and Event Management, Gartner elenca IBM come leader SIEM, e lo fa da 12 anni consecutivi.

Il portfolio FlashSystem è la gamma di controller di block storage di IBM, con modelli adatti per workload di tipo entry, mid-range e high-end. Tutti i modelli utilizzano il software IBM Spectrum Virtualize dell'IBM SAN Volume Controller per il software di sistema embedded. Grazie all'utilizzo dello stesso software, molte funzionalità normalmente presenti solo nelle soluzioni di fascia alta sono disponibili anche nei modelli entry e mid-level.

Al centro dei modelli IBM FlashSystem 5200, 7200, 7300, 9200 e 9500 c'è la tecnologia IBM FlashCore.

IBM FlashCore è unico per IBM Storage e, a differenza dei solid-state drive (SSD) utilizzati negli all flash array di altri fornitori, il design del controller utilizza una varietà di tecniche per offrire prestazioni eccezionali e una maggiore resilienza.

• Esperienza I/O con una latenza di soli 70 microsecondi, che aiuta a rimuovere i colli di bottiglia nelle prestazioni.
  
  
• Gli FCM utilizzano hardware integrato per la riduzione dei dati. La riduzione dei dati avviene alla stessa velocità con cui possono essere scritti sui moduli; non c'è alcun impatto sulle prestazioni.

Le memorie FCM sono progettate per offrire una durata della memoria flash fino a sette volte superiore rispetto a un SSD standard del settore, generando un minor numero di problemi per i clienti. Significa inoltre che non è necessario dedicare tempo a gestire SSD e ricostruzioni di unità difettose.

DA si è evoluta fino a diventare un fornitore specializzato di software e servizi per alcune delle principali neobanche di proprietà dei clienti, aggregatori e per il settore delle organizzazioni religiose in Australia. L'architettura flessibile della piattaforma DA offre diverse opzioni grazie alle integrazioni "plug and play". La suite di prodotti di DA è passata dalle piattaforme core banking a un ecosistema bancario completo che sostiene lo scopo dell'azienda: "supportare il core banking e il digital banking per le neobanche australiane."

DA opera a livello nazionale con oltre 200 dipendenti con sede ad Adelaide, Sydney, Melbourne e Brisbane e migliora l'esperienza bancaria di oltre 1,6 milioni di australiani attraverso le sue piattaforme bancarie e digitali principali, supportando 300 milioni di transazioni dei clienti su 2,6 milioni di conti ogni giorno.

L'offerta di DA è unica; configura, migra, ospita, supporta, integra e mantiene localmente i servizi tecnologici in un ambiente cloud privato e pubblico. Questo è un modello end-to-end collaudato, con un unico proprietario per l'erogazione dei servizi, la governance e la comunicazione. In questo modo si eliminano i problemi di integrazione e i potenziali problemi di proprietà associati alla crescente complessità e interoperabilità di un ambiente IT multi-vendor.

Il solido approccio di partnership di DA garantisce che i clienti mantengano la capacità di migliorare continuamente i propri servizi ai membri. Attualmente, DA ha oltre 200 partner sulla sua piattaforma per garantire le migliori soluzioni per aumentare il valore dei membri.

L'approccio della marketplace di DA consente la flessibilità e la scelta dei partner per mantenere la tensione competitiva e la velocità di consegna, e fornisce partnership adatte allo scopo per i suoi clienti. Il team di partnership di DA lavora a stretto contatto con i team di prodotto, cliente e soluzione per garantire che le soluzioni offrano valore ai clienti e ai suoi membri.

DA gestisce direttamente gran parte della presenza online dei suoi clienti nel settore dei servizi finanziari. Di conseguenza, DA possiede insight unici ed è in grado di osservare gli schemi di minaccia mentre si diffondono nel settore mutualistico.

DA offre una solida capacità di cybersecurity multilivello per proteggere i suoi servizi bancari in hosting. I processi della DA garantiscono un funzionamento rigoroso e affidabile dei controlli preventivi, oltre a capacità preparate, strutturate e a livello organizzativo per rilevare, rispondere e recuperare in caso di incidente.

DA protegge i suoi prodotti utilizzando una gamma completa di servizi e tecnologie di sicurezza per salvaguardare le attività dei suoi clienti e dei loro consumatori. I prodotti comprendono firewall per applicazioni web, firewall di nuova generazione e protezione degli endpoint, monitoraggio completo della sicurezza, gestione delle vulnerabilità e test di penetrazione esterni regolari.

Il SIEM è una piattaforma critica per DA, che abilita le funzionalità di cybersecurity attraverso:

• L'inserimento e l'elaborazione di un volume molto elevato di dati di attività dall'ambiente DA.
  
  
• L'esecuzione dell'analytics di sicurezza su quei dati per cercare di identificare e avvisare DA di potenziali attività dannose nell'ambiente.
  
  
• Il confronto dell'attività nell'ambiente DA con indicatori di compromissione noti per allertare DA di una possibile violazione di sicurezza.
  
  
• Esecuzione del triage degli avvisi di sicurezza e delle indagini forensi.
  
  
• Memorizzazione dei dati degli eventi di sicurezza con elevata resilienza e integrità per soddisfare i requisiti di conformità di DA.
  
  
• Supporto a diversi team nell'analisi delle attività in tutto l'ambiente per facilitare la risoluzione dei problemi operativi.

Senza una piattaforma solida, DA avrebbe una probabilità ridotta di rilevare incidenti di sicurezza e una minore efficacia nella risposta a incidenti di sicurezza identificati. DA inoltre non sarebbe in grado di rispettare i requisiti di conformità per il monitoraggio e la conservazione dei dati rilevanti per la sicurezza.

L'implementazione SIEM che questo progetto ha sostituito era una soluzione hardware basata su appliance che stava per raggiungere la fine del ciclo di vita.

Le aree chiave che DA voleva migliorare con l'aggiornamento erano:

•  Riduzione del carico di gestione dell'ingestione dei dati scegliendo una piattaforma con una solida libreria di parser pronti all'uso che corrispondano alle fonti dati.
  
  
• Miglioramento dei casi d'uso del monitoraggio della sicurezza out-of-the-box per ridurre i costi amministrativi.
  
  
• Scelta di una piattaforma che abbia dimostrato di investire costantemente in ricerca e sviluppo.
  
  
• Miglioramento della resilienza complessiva del data ingestion.
  
  
• Rimozione dell'accoppiamento hardware per migliorare i vincoli nell'espansione della capacità di storage. Il costo per espandere lo storage nella piattaforma legacy alle prestazioni relative era altamente non competitivo rispetto alla tecnologia di storage attuale.
  
  
• Migliora le prestazioni delle query complesse e di grandi dimensioni. Era frequente che una query impiegasse 12 ore per essere elaborata, eventualmente rallentando i tempi di risposta in caso di violazione dei dati. Aveva diagnosticato il vincolo alle prestazioni di storage derivante dall'uso di dischi magnetici.
  
  
• Miglioramento della capacità di condurre indagini forensi su set di dati più vecchi. La funzionalità di backup and recovery nella piattaforma legacy era tutto o niente, rendendo estremamente difficile il ripristino dei dati al di fuori del periodo di retention.

QRadar si basa principalmente sul concetto di raccolta, analisi e analisi di eventi e flussi.

Gli eventi sono dati che indicano che si è verificato qualcosa di interessante, come ad esempio il passaggio di dati attraverso un firewall di rete, l'accesso degli utenti ai sistemi e ai database. Gli eventi rappresentano i dati fondamentali dei SIEM. Gli eventi sono generati da dispositivi, come router e server di rete, e da applicazioni. I log sono database di dati di eventi.

I flussi sono dati sui pacchetti di rete ottenuti intercettando direttamente i dispositivi di rete e monitorando il traffico che li attraversa. I flussi contengono informazioni come l'indirizzo IP di origine e di destinazione, la quantità di dati trasferiti e anche l'applicazione utilizzata. I flussi possono essere cruciali per rilevare determinati tipi di attacchi. Si noti che il pacchetto di rete effettivo non viene catturato né memorizzato, solo l'intestazione o i primi centinaia di byte di una trasmissione di rete lo sono.

Per comprendere al meglio come QRadar elabora i dati ricevuti da server e dispositivi di rete, si può immaginare il funzionamento del sistema IBM Security QRadar suddiviso in tre livelli:

• Raccolta dati
  La raccolta dati è il livello che raccoglie i dati di sicurezza, come eventi e flussi, provenienti dalla rete del client. Questo livello raccoglie, analizza e normalizza i dati prima di inoltrarli al livello successivo per ulteriori elaborazioni e archiviazioni.

• Trattamento dei dati
  Dopo la raccolta dei dati, il livello di elaborazione esegue l'elaborazione in tempo reale dei dati di eventi e flussi utilizzando il Custom Rules Engine (CRE) di QRadar. Il CRE è responsabile della generazione di offense e allarmi. Questo è anche il livello in cui i dati vengono scritti nello storage.
  
  Il trattamento dei dati di QRadar viene condotto in parallelo, attraverso più processori. Un'architettura con storage dei dati vicino al processore, con ricerca e correlazione che avvengono su più processori in modo altamente distribuito, è un contributo significativo a un'elevata prestazione complessiva del sistema.

• Ricerche di dati
  Il livello superiore è la console e fornisce l'interfaccia utente di QRadar. Il risultato dei dati raccolti e processati viene presentato tramite dashboard, report e ricerche. La console fa emergere le indagini sugli offense e può generare avvisi. Gli amministratori utilizzano la console per gestire QRadar.

Questa segmentazione si applica a qualsiasi struttura di distribuzione QRadar, indipendentemente da dimensione, complessità, numero o sorgenti o moduli di log installati o collegati.

Come già accennato, Gartner ha inserito QRadar tra i leader nel settore SIEM nel suo Magic Quadrant per la gestione delle informazioni e degli eventi di sicurezza. QRadar è riconosciuto come leader per molte ragioni, ma la gestione avanzata degli indici di prodotto è una delle sue caratteristiche principali.

Il valore dell'indicizzazione viene massimizzato una volta compreso quali dati cercano gli utenti e quindi abilitando degli indici per le proprietà frequentemente ricercate. La funzione di gestione dell'indice fornisce delle statistiche agli amministratori su quali proprietà vengono ricercate e quali ricerche utilizzano gli indici. Gli amministratori possono quindi abilitare, modificare o persino disabilitare gli indici per migliorare le prestazioni complessive.

A fronte dei benefici che derivano dall'abilitazione dell'indicizzazione per le proprietà aggiuntive, ci sono anche potenziali svantaggi. L'indicizzazione aggiuntiva influisce sulle prestazioni del sistema durante la scrittura dei dati e richiede una capacità di storage supplementare. Utilizzando i FCM di IBM, entrambi questi svantaggi vengono efficacemente mitigati. Progettati per ambienti aziendali ad alte prestazioni, i FCM sono in grado di inserire costantemente volumi elevati di dati mentre applicano una compressione dei dati in linea; utilizzando I/O con accelerazione hardware, i FCM sono unici nella loro capacità di raggiungere tutto questo senza alcuna riduzione delle prestazioni.

DA ha implementato la soluzione QRadar SIEM all'interno di un cluster VMware dedicato composto da due server fisici dedicati. I requisiti di storage per l'ambiente sono forniti da un IBM FlashSystem 7200 dedicato collegato direttamente agli host.

Sebbene possa essere implementata in un'architettura completamente tollerante ai guasti, la soluzione SIEM attualmente implementata prevede solo la raccolta e il recupero dei log ad alta disponibilità. Le appliance QRadar Processor e QRadar Console non dispongono di ridondanza, ma, essendo virtuali, offrono la flessibilità di poter migrare tra host ESXi.

La valutazione del progetto di aggiornamento del SIEM di DA ha incluso test che hanno confrontato i tempi di risposta delle azioni tipicamente intraprese durante le indagini sui casi. Con la soluzione QRadar ora pienamente operativa, sono state registrate le azioni intraprese durante una recente indagine ad alta priorità. Con ogni azione, sono stati rilevati i seguenti dati:

• Il periodo storico in cui è stata eseguita la query di ogni azione
  
  
• La dimensione dei set di dati analizzati (ove pertinente)
  
  
• Il tempo impiegato per il completamento delle azioni

Il periodo storico e le dimensioni dei set di dati vengono pubblicati per fornire contesto alla complessità e alla scala dell'analisi svolta.

A scopo di confronto, il team di cybersecurity di DA ha fornito tempi di completamento relativi per i quali è stata eseguita un'azione equivalente nell'ambito del SIEM precedente. Sebbene confrontare i risultati su entrambi i sistemi SIEM tramite test affiancati sarebbe stato ideale, non è stato possibile poiché la precedente soluzione SIEM era stata dismessa una volta che QRadar è diventato operativo.

Pur riconoscendo che i tempi di completamento citati per la precedente soluzione SIEM sono stime, sono ancora rilevanti per diverse ragioni:

• I tempi di completamento stimati si basano sul giudizio dei membri del team altamente qualificati che avevano molta familiarità con entrambi i sistemi.
  
  
• Nell'ambito del progetto di aggiornamento SIEM di DA, le prestazioni relative di QRadar sono state testate rispetto al sistema esistente: il miglioramento significativo delle prestazioni complessive è stato un fattore importante nella scelta finale di quel prodotto rispetto ad altre potenziali soluzioni.
  
  
• I log e i dati della precedente soluzione SIEM sono stati conservati e possono essere utilizzati per verificare le prestazioni su azioni equivalenti.

Più rilevante, però, i tempi di completamento per tutte le azioni comparabili su QRadar sono ordini di grandezza più rapidi rispetto a quelli del precedente sistema SIEM. È ragionevole sostenere che anche se si aggiunge un ampio margine di errore ai tempi di completamento stimati indicati per la precedente soluzione SIEM, le azioni QRadar si completano in un tempo significativamente inferiore. Ciò che prima richiedeva ore, ora si completa in pochi minuti. Allo stesso modo, i report la cui esecuzione richiedeva pochi minuti ora vengono completati in pochi secondi.

Nel 2020, DA ha condotto un progetto per sostituire la sua precedente soluzione SIEM. Sebbene il business planning di ogni organizzazione richieda una solida strategia di cybersecurity, l'importanza per un'organizzazione che fornisce servizi bancari fondamentali per cooperative di credito, banche e altre istituzioni finanziarie non può essere sottovalutata. Dopo un accurato processo di valutazione, DA ha assegnato un contratto a Vectra per sostituire la sua soluzione SIEM esistente con QRadar in esecuzione su un ambiente virtualizzato e utilizza lo storage FlashSystem.

Sia nei test di benchmarking iniziali che nell'utilizzo reale, l'implementazione di QRadar si è dimostrata uno strumento estremamente efficace e potente per indagare eventi legati alla sicurezza. Distribuire i componenti QRadar all'interno di un cluster VMware offre molti benefici: un'impronta fisica più ridotta e costi energetici più bassi, con maggiore flessibilità e scalabilità futura. Incorporando lo storage FlashSystems popolato con la tecnologia IBM FCM, DA usufruisce di soluzioni progettate per alte prestazioni e affidabilità.

Utilizzando una combinazione di funzionalità di ottimizzazione degli indici di QRadar e una piattaforma di storage ad alte prestazioni, DA è stata in grado di ridurre in modo significativo i tempi di esecuzione delle query più comuni da minuti a secondi. Questo approccio ha portato a miglioramenti dimostrabili in tutti i tipi di casi d'uso SIEM presso DA, tra cui la risposta agli incidenti, le revisioni regolari dell'ambiente e la reportistica. Un'analisi più rapida degli eventi di sicurezza si traduce in un miglioramento del triage e della risposta agli incidenti, che notoriamente riduce l'impatto complessivo. Revisioni ambientali più rapide riducono il tempo impiegato e la frustrazione degli analisti di sicurezza, generando più tempo per un lavoro produttivo.

Grazie all'adozione della tecnologia QRadar e IBM FlashCore, DA ora esegue analisi e report degli incidenti in una frazione di tempo rispetto a quanto era in grado di fare la precedente soluzione SIEM. Laddove il costo medio di una violazione dei dati è di milioni di dollari, il valore commerciale di qualsiasi soluzione che aiuti a garantire tassi di rilevamento più rapidi è evidente, offrendo potenziali risparmi in termini di tempo e denaro.

Sebbene l'implementazione di controller di storage FlashSystem dotati di FCM sia un fattore significativo, è troppo semplicistico affermare che questa sia l'unica ragione dei miglioramenti delle prestazioni. I miglioramenti di prestazioni possono anche essere attribuibili al prodotto QRadar stesso, in particolare per quanto riguarda le sue capacità di gestione degli indici. Qualunque siano le cause dei livelli di miglioramento delle prestazioni, la combinazione delle tecnologie IBM si è dimostrata nel caso di DA molto efficace nel raggiungere gli obiettivi di sicurezza dell'organizzazione.

Ex Head of Cybersecurity, Data Action

Simeon Finch (BCompSc, MCSE, VCAP) è stato il responsabile della cybersecurity presso DA, con responsabilità complete per il team di cybersecurity, le tecnologie, i processi di conformità e la strategia.

Simeon vanta oltre 20 anni di esperienza in diverse di funzioni IT, tra cui leadership tecnica, architettura e cybersecurity. Simeon è certificato TOGAF e Chartered Security Architect da SABSA, e ha contribuito a progetti su larga scala come il Critical Infrastructure Centre del governo federale in materia di legislazione sulla cybersecurity nel settore energetico e di open banking nei servizi finanziari.

Lead Cybersecurity Analyst, DA

Lucien Dabrowski è Lead Cybersecurity Analyst presso DA, responsabile del monitoraggio della sicurezza, della gestione degli incidenti, della garanzia della conformità ai requisiti normativi e di conformità informatici, nonché del continuo miglioramento della maturità della cybersecurity di DA per consentire prevenzione, rilevamento, risposta e recupero efficaci dalle minacce informatiche.

Lucien ha maturato più di 8 anni di esperienza nella cybersecurity con un background in infrastrutture ICT. È un SIEM evangelist, avendo progettato, implementato e gestito molteplici piattaforme SIEM su larga scala. Lucien fornisce attivamente mentoring e guida tecnologica sia per DA che per la comunità più ampia.

Technical Product Specialist, IBM

Brendan Scott (MIT, BEng) è un Technical Product Specialist presso IBM, con un focus principale sul supporto ai clienti e ai partner in A/NZ con il portfolio IBM Systems Storage.

Brendan vanta oltre 25 anni di esperienza in diversi ruoli e settori IT. In 10 anni di carriera in IBM, Brendan ha massimizzato il valore di clienti e partner utilizzando le soluzioni hardware e software IBM, fornendo consulenza e guida tecnica.

Responsabile delle soluzioni di cybersecurity, Vectra

Jesse è responsabile dell'adozione generale, della consulenza, dell'implementazione e del supporto continuo delle soluzioni e dei servizi di sicurezza gestiti pertinenti. Lavora a stretto contatto con i team di consulenza sulla sicurezza, i test di penetrazione, il centro operativo di sicurezza (SOC) e i team di risposta agli incidenti di Vectra per supportare la base clienti di Vectra nella regione ANZ.

DA è una società tecnologica fondata come cooperativa nel 1986 da un insieme di cooperative di credito locali e banche mutuali in Australia per ospitare servizi bancari di base. Questa orgogliosa eredità - fondata dai soci per i soci - rimane oggi al centro dell'attività di DA.

Vectra è una delle principali aziende australiane di cybersecurity, di proprietà e gestione diretta. Fornisce servizi di consulenza specialistica, servizi di sicurezza gestiti e soluzioni di sicurezza in tutta la regione Asia Pacifico dal 2001. Il team Vectra offre una vasta gamma di esperienze e funzionalità, che includono, a titolo esemplificativo ma non esaustivo, la consulenza su Governance Risk & Compliance (GRC), test di penetrazione e valutazione delle vulnerabilità, sicurezza degli endpoint, sicurezza della rete, sicurezza delle identità, sicurezza del cloud, SIEM gestito e risposta agli incidenti.