RETI
SICUREZZA
PROG
RCA
CORSI
SERVIZI
ABOUT
 
  ►base   ►avanzato
  ►base   ►avanzato   ►crittografia
  ►algoritmi
  ►base   ►avanzato   ►tools
  ►reti   ►rca   ►sicurezza   ►programmazione
  ►chi siamo   ►mission   ►cosa facciamo   ►team   ►contatti
  ► quadro generale   ► sicurezza reattiva vs sicurezza proattiva   ► sicurezza reattiva   ► sicurezza proattiva   ►formazione
SERVIZI - SICUREZZA REATTIVA ► Network Security Monitoring & Analysis

Le recenti statistiche di settore mostrano che la maggior parte degli attacchi informatici utilizzano come veicolo privilegiato l'infrastruttura di rete utilizzata dalla vittima dell'atto ostile. Inoltre, l'attaccante può tentare di sfruttare la rete telematica violata per spingere in profondità la propria azione intrusiva su altri segmenti ove risiedano asset aziendali maggiormente sensibili e preziosi. Infine, anche tecniche di attacco sofisticate come rootkit e reflective DLL injection, che non sempre vengono correttamente rilevate dai vari software di difesa (Anti-Virus, Firewall, ecc...), lasceranno comunque una traccia della propria attività malevola nel traffico di rete generato.

Si evince perciò che i flussi di rete debbano essere ritenuti imprescindibili oggetti di analisi al fine di poter verificare e monitorare il reale livello di sicurezza in un dato momento e di implementare così un corretto "Piano di Incident Response".

Purtroppo, il principale problema è che un complesso sistema a pieno regime può generare milioni di eventi legati all'attività di rete rendendo estremamente difficile il discriminare tra ciò che deve essere considerato "normale" e ciò che invece deve far scattare un adeguato e tempestivo piano di risposta. Infatti, il rischio più grande è quello di non accorgersi (a volte anche per parecchi mesi o anni) di attività malevole che producano livelli di traffico opportunamente congegnati per celarsi sotto il cosiddetto "rumore di fondo".

Il servizio di Network Security Monitoring si avvale di avanzate tecniche nate in ambito militare al fine di monitorare in modo altamente selettivo ed analitico i flussi di rete che attraversano una data infrastruttura telematica rilevati e registrati attraverso l'installazione di sonde di rete ( Network Tap, Transparent Bridge, Honeypot-HoneyNet ) la cui tipologia e topologia vengono scelte in base al livello di analisi che ci si propone come obiettivo.

Infine, si vuole evidenziare come un tale servizio sia da considerarsi un valore aggiunto per tutte le realtà che avvalendosi di tecnologie come IDS ( Intrusion Detection System ), IPS ( Intrusion Prevention System ), SIEM ( Security Information and Event Management ), MSSP ( Managed Security Service Provider ) vogliano assicurarsi di condurre a fondo l'attività di correlazione ed analisi dei dati registrati al fine di non confondere il "necessario" livello di sicurezza con un "presunto" livello di sicurezza.

Torna Indietro