Quando gli attacchi informatici violano anche i più solidi sistemi di sicurezza informatica, la rapidità di rilevamento è fondamentale per gestire l'intrusione e rimediare. Mohawk ha collaborato con il business partner IBM GlassHouse Systems per implementare la soluzione IBM® Security QRadar Security Information and Event Management (SIEM) per rilevare rapidamente le violazioni e dare priorità alla risposta agli incidenti.
Il Mohawk College voleva implementare una soluzione SIEM leader del settore per gestire le difese contro le crescenti minacce che potrebbero violare il già solido sistema di protezione del suo complesso ambiente IT.
L'istituto ha collaborato con GlassHouse per implementare la piattaforma QRadar SIEM e ottenere visibilità sul proprio ambiente, al fine di rilevare, indagare e rispondere alle violazioni della sicurezza informatica.
Gli istituti d'istruzione superiore sono uno dei bersagli più ricchi e più maturi per i criminali informatici, poiché danno accesso a proprietà intellettuale, ricerca e informazioni personali di studenti e docenti. In generale, i malintenzionati hanno gioco facile perché le misure e le tecnologie di sicurezza informatica sono spesso implementate in modo frammentario, senza un occhio di riguardo per la prevenzione e la risposta sistematica in più dipartimenti universitari o di college.
"Ci sono così tanti dipartimenti diversi che fanno cose diverse, che il panorama diventa complicato da proteggere", dichiara Andrew Frank, responsabile dei servizi di sicurezza informatica del Mohawk College di Hamilton, in Ontario. "In genere, se non si dispone di un programma di sicurezza ben pensato, dovrà pensare a tutto il personale tecnico. Che si precipiterà a comprare un anti-malware, o magari a installare qualche firewall di nuova generazione nuovo di zecca. Ma, anche se questi mezzi sono molto importanti, sono solo una parte della lotta contro gli attacchi informatici in un college come Mohawk".
Non sorprende che Mohawk adotti un approccio globale alla sicurezza informatica. Il college si concentra sulla ricerca applicata, con diversi curriculum di studio che consentono agli studenti di acquisire esperienza nel mondo reale con le aziende di Hamilton e dell'area metropolitana di Toronto in generale. Ed è anche noto per l'innovazione delle sue operazioni, con edifici e sistemi di riscaldamento e raffreddamento ecologici certificati LEED.
Per di più, Mohawk annovera la cybersecurity tra le sue materie di insegnamento e dispone di un ampio dipartimento IT centrale che supervisiona la sicurezza informatica dell'istituto. Diversi anni fa è emersa la necessità di utilizzare strumenti all'avanguardia per proteggere e difendere l'università da eventuali malintenzionati.
Frank ricorda come si è evoluto l'ambiente di sicurezza informatica del college. "Il nostro consiglio di amministrazione ha iniziato a porsi delle domande in merito, chiedendosi come potevamo costruire un programma di protezione delle nostre risorse critiche", spiega. Il team IT centrale ha iniziato a esaminare diversi framework di settore per la sicurezza, tra cui gli standard ISO 27001 e ISO 27002 per la gestione della sicurezza delle informazioni. Ha quindi utilizzato il National Institute of Standards and Technology Cybersecurity Framework (NIST CSF) per condurre un'analisi delle lacune e assegnarsi un punteggio in base a cinque pilastri: identificare, proteggere, rilevare, rispondere e recuperare.
L'istituto sapeva di aver ottenuto buoni punteggi nell'identificare le risorse da proteggere e nella loro protezione in generale. Tuttavia, non ha ottenuto lo stesso punteggio nel rilevamento, per cui, se i controlli avessero fallito, non avrebbe potuto identificare rapidamente la violazione né passare alla risposta e al recupero dalla violazione. "Si possono fare tutti gli investimenti possibili nei meccanismi di protezione, ma non esiste una bacchetta magica", afferma Frank. "In fin dei conti, c'è sempre un alto rischio di compromissione e il panorama è pur sempre complesso".
Mohawk ha deciso di concentrarsi e investire nella rilevazione. "Volevamo essere sicuri che, se qualcuno avesse superato la nostra protezione, avremmo potuto individuarlo ed eliminarlo rapidamente dalla nostra rete", spiega Frank. Nel contesto dell'istruzione superiore possono volerci anche mesi prima che qualcuno si renda conto che il sistema è stato infiltrato da criminali informatici. "Non volevamo che accadesse, se i nostri sistemi fossero stati violati".
"Per noi era importante una rilevazione rapida, ma anche il modo di reagire dopo la violazione", osserva Frank. "Volevamo essere in grado di ... poter ripetere la violazione per identificare esattamente cosa era successo e quali sistemi erano stati toccati, per ricostruire i sistemi dopo l'incidente e per mettere nuovamente in sicurezza la rete".
Mohawk si è così messa alla ricerca di una piattaforma di rilevazione leader del settore. All'epoca, l'azienda stava già collaborando con IBM per ampliare il proprio curriculum di sicurezza informatica, includendo strumenti SIEM come la soluzione QRadar. Pensando a questa sinergia, Frank e i suoi colleghi hanno iniziato a esplorare le soluzioni SIEM per il college.
Frank sottolinea i criteri dell'istituto: "Volevamo uno strumento facile da usare, che non richiedesse una lunga formazione affinché gli utenti potessero imparare a cercare tra i dati, sia per vedere i registri eventi che per analizzare il traffico di rete". L'università aveva bisogno di uno strumento che non solo archiviasse le informazioni per le ricerche, ma anche che identificasse e desse priorità agli incidenti e offrisse la possibilità di applicare l'intelligenza artificiale per indagare più rapidamente sulle violazioni.
QRadar è presto diventata una delle soluzioni favorite da Mohawk. Lo strumento si distingueva dagli altri presi in considerazione perché Gartner lo aveva nominato leader SIEM nel suo rapporto Magic Quadrant for SIEM, aveva una buona reputazione tra i fornitori di cloud pubblico ed era stato raccomandato caldamente da altri istituti di istruzione superiore.
Mohawk ha deciso di implementare la piattaforma QRadar SIEM per individuare più rapidamente e dare priorità alle minacce sulla sua rete IT diversificata e distribuita. "Una volta stabilito quale strumento volevamo, QRadar ci ha dato una mano", spiega Frank. "Dovevamo solo trovare qualcuno che non solo ce lo vendesse, ma che ci fornisse anche servizi professionali per l'installazione".
Mohawk ha scelto GlassHouse, un business partner IBM locale, per implementare la soluzione QRadar e fornire un'assistenza continua e personalizzata al college.
"Abbiamo capito fin dall'inizio che in GlassHouse erano tutti estremamente professionali", dice Frank. "Non erano lì solo per venderci qualcosa, per una toccata e fuga. Hanno stabilito un vero e proprio rapporto con noi".
GlassHouse ha implementato la soluzione QRadar, realizzando l'infrastruttura in tre campus e nel centro dati principale per aiutare l'università ad acquisire e analizzare i dati provenienti da più sistemi e dipartimenti. Il business partner IBM ha anche formato il team Mohawk e ha fornito tutta la documentazione e i diagrammi necessari.
La piattaforma QRadar fornisce a Mohawk una dashboard consolidata che aiuta il personale addetto alla sicurezza IT a visualizzare la sicurezza della rete. Quando si verifica una violazione o un reato, gli analisti della sicurezza possono utilizzare la dashboard dei reati per capire come, quando e dove si sono verificati. La soluzione QRadar assegna inoltre una priorità ai reati in base alla loro rilevanza, credibilità e gravità, in modo che Mohawk possa concentrarsi sulla risposta ai reati a priorità più alta.
La soluzione è inoltre altamente configurabile in base alle esigenze specifiche degli utenti. Ad esempio, l'università subisce numerosi attacchi di phishing attraverso e-mail destinate a docenti, personale e studenti. "Siamo riusciti a creare una dashboard tutta per noi", spiega Frank. "Quando un attacco di phishing arriva e supera la nostra barriera di protezione, siamo rapidamente in grado di scorrere i dati, che si tratti dell'oggetto, dei mittenti, dei destinatari o del contenuto dei messaggi, individuare rapidamente quei messaggi e capire quanto sono penetrati a fondo nella nostra organizzazione, qual è stata la diffusione e quanti utenti sono stati colpiti".
Il team di sicurezza può quindi contattare gli utenti per avvisarli di essere stati destinatari di un messaggio di phishing e chiedere loro di comunicare al team se hanno interagito con esso. Il team Mohawk può anche rimuovere i messaggi dal server di posta elettronica prima che altri utenti li aprano.
Ma, quando ha scelto la soluzione QRadar, Mohawk guardava anche al futuro. Anche se attualmente non esegue QRadar nel cloud, Mohawk può sfruttare l'app QRadar Cloud Visibility. "Volevamo essere sicuri di scegliere una soluzione a prova di futuro, in grado di acquisire informazioni dai cloud pubblici, se dovessimo trovarci a utilizzarli", spiega Frank. "Se decideremo di collocare la nostra istanza nel cloud, invece di gestirla in loco, QRadar soddisferà le nostre esigenze, e questo è un importante vantaggio rispetto ad altre soluzioni".
Mohawk può anche creare facilmente un data lake di sicurezza all'interno di QRadar per la gestione dei log e per i casi d'uso SIEM con QRadar Data Store. Con QRadar Data Store, Mohawk può raccogliere, analizzare e archiviare in modo conveniente grandi volumi di dati sulla sicurezza e sulle operazioni IT. Una volta riuniti tutti i dati sulla sicurezza in un unico posto, Mohawk è in grado di generare rapporti di conformità in maniera più semplice, ottenere risultati più approfonditi e fornire ai team un set di dati più solido da interrogare. Questo ha semplificato l'implementazione e al contempo ridotto i costi per Mohawk, altro elemento di differenziazione che ha spinto il college a scegliere QRadar.
GlassHouse ha collaborato con il team di sicurezza per mettere a punto il sistema in modo da eliminare gli avvisi che non richiedono un intervento immediato. Secondo Jeff Wilson, direttore delle vendite di cloud e servizi gestiti di GlassHouse, "vogliamo arrivare ai dati utilizzabili... il 10% su cui concentrarsi, di cui capire la causa principale e a cui rimediare rapidamente".
Frank è soddisfatto dell'assistenza pratica fornita da GlassHouse. "Per arrivare a quel punto avevamo davvero bisogno di servizi professionali", spiega. "Abbiamo lavorato con GlassHouse per ... assicurarci di aver messo a punto correttamente la soluzione per il nostro ambiente. Così ora sappiamo che, in caso di potenziale compromissione in futuro, non dovremo setacciare una quantità abnorme di dati e potremo contare su un'interfaccia più pulita".
Anche con i migliori sistemi di protezione della sicurezza informatica, alcune minacce riescono a colpire. E se il team di sicurezza non riesce a vedere la minaccia, non può rispondere. Ora, dopo l'implementazione di QRadar, Mohawk è in grado di individuare e rispondere rapidamente alle violazioni della sicurezza.
"È tutta una questione di visibilità", dice Frank. "Di poter vedere ciò che accade sulla rete, vedere come le diverse macchine si connettono e comunicano tra loro. Di creare avvisi per capire se c'è una potenziale compromissione nella rete che richiede un'indagine. Con QRadar, c'è un livello di visibilità che prima non avevamo".
Frank paragona la complessità della supervisione con il precedente sistema di sicurezza usato da Mohawk alla semplicità della visualizzazione con la dashboard di QRadar. "Come potete immaginare, in un'organizzazione di grandi dimensioni possono esserci molti strumenti e dispositivi di sicurezza diversi", spiega. "Anti-malware sugli endpoint, centro dati, firewall esterni all'organizzazione, o anche interni in alcune sedi, sensori di prevenzione delle intrusioni… e chi più ne ha più ne metta". In precedenza, questi elementi avevano tutti una propria interfaccia, a cui il team di sicurezza doveva accedere singolarmente per visualizzare le possibili minacce. E di ogni elemento c'erano molte versioni, distribuite in tutta l'organizzazione in diversi dipartimenti, campus e sedi.
"Ora, QRadar inserisce tutti i dati in un'unica vista affinché possiamo esaminarli", spiega Frank. "Poi, tutti gli avvisi, gli avvertimenti e le potenziali minacce che emergono da queste soluzioni sono ordinati per priorità in un approccio basato sul rischio, affinché possiamo condurre le nostre indagini. In sostanza, ci aiuta davvero a vagliare le informazioni; la procedura è rapida e ci assicura di concentrarci sui rischi o sulle minacce più urgenti".
Mohawk utilizza QRadar Data Store anche per una gestione centralizzata dei log, che incrementa il livello di conformità dell'istituto allo standard PCI DSS (Payment Card Industry Data Security Standard). Secondo Frank, la registrazione centralizzata aiuta anche il team operativo. "Quando risolviamo problemi nel centro dati che non hanno a che vedere con la sicurezza, il team operativo può ora accedere per poter esaminare i dettagli", spiega. "Può effettuare ricerche per trovare rapidamente le informazioni di cui ha bisogno senza dover entrare manualmente in ogni singola macchina e provare a esaminare manualmente i registri. Penso che questo consenta di risolvere più rapidamente tutta una serie di sfide che il gruppo infrastruttura medio si trova ad affrontare".
Frank è lieto che l'università abbia scelto di lavorare con un business partner IBM come GlassHouse, che elogia così: "Il personale è di alta qualità, tecnico e competente in materia non solo di QRadar, ma anche di sicurezza informatica in generale. Siamo rimasti veramente colpiti".
Jeff Wilson, di GlassHouse, spiega a sua volta perché il rapporto stretto con Mohawk ha portato al successo. "Nell'ambiente di Mohawk non c'era nulla che potesse complicare l'integrazione in QRadar", spiega. "Nel campo della sicurezza, impegnarsi appieno ed efficacemente con i clienti, capire i loro processi, la loro infrastruttura e il loro ambiente software, e sapere dove si trovano i loro dati più critici, è fondamentale per garantire la sicurezza e trovare il modo di colmare le lacune esistenti. La sintonia tra un'azienda di medie dimensioni come GlassHouse e un cliente di medie dimensioni come Mohawk credo sia perfetta per far funzionare un impegno di questo tipo".
L'impegno è stato coronato da successo anche grazie al sostegno del consiglio d'istituto e all'adesione di altri dipartimenti, come i team operativi e infrastrutturali, che hanno già raccolto i frutti della soluzione QRadar. "Hanno capito cos'è lo strumento, come funziona e come, nei loro reparti, possono iniziare a vederne i benefici", dice Frank. "Credo che questo sia stato un fattore critico per il successo, insieme alla capacità di far collaborare tutti per trovare la soluzione giusta all'interno dell'università".
Il college sta creando una sinergia tra il dipartimento di sicurezza e i programmi accademici, offrendo corsi di sicurezza informatica che includono le soluzioni SIEM. In ultima analisi, l'uso della piattaforma QRadar può diventare uno strumento di reclutamento: gli studenti che desiderano acquisire competenze in un settore richiestissimo come quello della sicurezza informatica vedranno infatti che l'università sta mettendo in pratica ciò che insegna, implementando una soluzione SIEM all'avanguardia.
Fondato nel 1966, il Mohawk (link al di fuori di ibm.com), situato a Hamilton, in Ontario (Canada), è un istituto universitario noto per la sua cultura dell'innovazione. La sua missione è quella di istruire laureati altamente qualificati e prepararli al successo e al contributo alla comunità. Il Mohawk College conta più di 32.500 studenti a tempo pieno, part-time, in apprendistato e internazionali, per circa 1.000 docenti. Gestisce tre campus principali: Fennell, Stoney Creek e il Mohawk-McMaster Institute for Applied Health Sciences della McMaster University.
Fondata nel 1993 a Toronto, in Canada, il business partner IBM GlassHouse (link all'esterno di ibm.com) ha aiutato i suoi clienti del settore pubblico e privato a ridurre la complessità e i costi operativi dei loro ambienti IT. L'azienda è specializzata in soluzioni per il cloud, i servizi gestiti, la sicurezza aziendale, l'infrastruttura e altro ancora. Opera dalla sede centrale canadese di Toronto e da quella statunitense di Lisle, in Illinois, grazie ai suoi circa 80 dipendenti.
Legale
© Copyright IBM Corporation 2021. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Prodotto negli Stati Uniti d'America, aprile 2021.
IBM, il logo IBM, ibm.com, IBM Security e Trusteer sono marchi di International Business Machines Corp. registrati in molte giurisdizioni del mondo. Altri nomi di prodotti e servizi potrebbero essere marchi di IBM o di altre società. Un elenco aggiornato dei marchi IBM è disponibile sul web all'indirizzo "Copyright and trademark information" (Informazioni sul copyright e sui marchi) all'indirizzo www.ibm.com/it-it/legal/copytrade.shtml.
Le informazioni contenute nel presente documento sono aggiornate alla data della prima pubblicazione e possono essere modificate da IBM senza preavviso. I business partner IBM stabiliscono i propri prezzi, che possono variare. Non tutte le offerte sono disponibili in ogni Paese in cui opera IBM.
Gli esempi citati relativi a dati di prestazione e clienti sono presentati unicamente a scopo illustrativo. Gli attuali risultati in termini di performance possono variare a seconda delle specifiche configurazioni e delle condizioni operative. La valutazione e la verifica del funzionamento di qualsiasi altro prodotto o programma con prodotti e programmi IBM sono responsabilità dell’utente. LE INFORMAZIONI RIPORTATE NEL PRESENTE DOCUMENTO SONO DA CONSIDERARSI “NELLO STATO IN CUI SI TROVANO”, SENZA GARANZIE, ESPLICITE O IMPLICITE, IVI INCLUSE GARANZIE DI COMMERCIABILITÀ, DI IDONEITÀ A UN PARTICOLARE SCOPO E GARANZIE O CONDIZIONI DI NON VIOLAZIONE. I prodotti IBM sono coperti da garanzia in accordo con termini e condizioni dei contratti sulla base dei quali vengono forniti.
È responsabilità del cliente assicurare la conformità a normative e regolamenti applicabili. IBM non fornisce consulenza legale né dichiara o garantisce che i propri servizi o prodotti assicurino al cliente la conformità con qualsivoglia legge o regolamento.
Dichiarazione di buone pratiche di sicurezza: la sicurezza dei sistemi IT comporta la protezione dei sistemi e delle informazioni tramite la prevenzione, il rilevamento e la risposta ad accessi impropri all'interno e all'esterno dell'azienda. Gli accessi impropri possono causare alterazione, distruzione, appropriazione indebita o abuso dei dati e danni o abuso dei sistemi, anche per essere utilizzati per attacchi verso terzi. Nessun sistema o prodotto IT va considerato totalmente sicuro e nessun singolo prodotto, servizio o misura di sicurezza è da considerarsi completamente efficace nella prevenzione dell’uso o dell’accesso improprio. I sistemi, i prodotti e i servizi IBM sono progettati per far parte di un approccio legittimo e completo alla sicurezza, il quale implica necessariamente procedure operative supplementari, e potrebbe richiedere altri sistemi, prodotti o servizi per fornire la massima efficacia. IBM NON GARANTISCE CHE SISTEMI, PRODOTTI O SERVIZI SIANO ESENTI DA O RENDERANNO L’AZIENDA ESENTE DA CONDOTTA MALEVOLA O ILLEGALE DI UNA QUALSIASI PARTE.