L’università siciliana ottiene una vista panoramica sul rischio informatico dell’intera infrastruttura
Gaetano Pisano, amministratore di rete e sicurezza presso l’Università degli Studi di Palermo in Sicilia, in Italia, sa cosa significa dover monitorare un grande ambiente IT con un piccolo team.
Per svolgere il proprio lavoro in modo efficace, si è affidato alla potenza basata su cloud di InsightIDR, la soluzione di rilevamento e risposta agli incidenti di Rapid7 e su InsightVM, l’evoluzione della principale soluzione di gestione delle vulnerabilità di Rapid7 Nexpose.
Ora, lui e il suo team sono in grado di monitorare centinaia di migliaia di risorse, ottenendo un “panorama” di tutte le loro vulnerabilità e il loro rischio complessivo. In queste domande e risposte, descrive il successo del suo programma in modo più dettagliato.
Ci parli dell’Universita’ degli Studi di Palermo.
GAETANO: abbiamo 42.000 studenti e 3.600 impiegati in totale, professori inclusi. E’ una delle 10 maggiori università in Italia. Siamo al 6° posto su 10 per una varietà di aspetti e criteri, come i servizi offerti agli studenti, le borse di studio, le risorse e attrezzature disponibili, il livello di computerizzazione e i servizi digitali offerti, e il livello di “internazionalità”.
Chi c’è nel suo team di sicurezza e quali sono le sue responsabilità?
GAETANO: Siamo in 3, 2 persone per l’IT e una per IT/security. Usiamo InsightVM e InsightIDR. E’ la classica situazione dove una piccola squadra si occupa di tutto, dalla gestione IT alla security.
Ci parli dell’ambiente che state monitorando.
GAETANO: Siamo responsabili per centinaia di migliaia di asset in tutta l’Università. Questo include il monitoraggio di una classe transiente e insidiosa di dispositivi da gestire: quelli di proprietà dei nostri studenti.
Come si colloca il vulnerability management e l’incident response all’interno della vostra strategia di security?
GAETANO: Volevamo poter utilizzare una singola query per cercare su più server e servizi. Nel passato, dovevamo effettuare ogni query separatamente. Desideravamo anche un “panorama” di tutte le vulnerabilità e visibilità sul livello generale di rischio e sui servizi esposti. Mi piace poter usare i dati di Project Sonar di Rapid7 per capire quali asset universitari sono davvero esposti a rischi provenienti dall’esterno.
Quali erano le sfide da affrontare in tema di sicurezza, e i problemi da risolvere?
GAETANO: Dovevamo raccogliere e archiviare i nostri log in una location sicura per raggiungere la compliance, e con quei dati volevamo rispondere ad alcune domande. Dopo aver implementato InsightIDR, non c’era più la necessità di dover fare query su ciascun server syslog per trovare risposte. Avevamo anche bisogno di flessibilità verso diversi sistemi operativi, da Windows, Mac e Linux fino ad iOS, Android, e telefoni Windows.
Cosa vi ha portati a scegliere Rapid7?
GAETANO: Abbiamo conosciuto Rapid7 grazie a un forum chiamato Cybrary (https://www.cybrary.it/forums/). Da qui abbiamo provato Nexpose e InsightIDR, verificando quanto fossero facili da utilizzare e configurare.
Quali strumenti utilizzavate prima di Rapid7?
GAETANO: Utilizzavamo Snort e AlienVault. Prima di Nexpose usavamo OpenVas (open source).
Qual’era il processo di ricerca degli incident prima di InsightIDR?
GAETANO: Usavamo Snort e AlienVault OSSIM. La ricerca dei log con InsightIDR e il suo Log Entry Query Language (LEQL) è molto più semplice e intuitiva. Poi, InsightIDR fornisce dati statistici ed è molto più ricco di funzionalità già pronte. InsightIDR centralizza i dati di log dell’Università in un’architettura cloud sicura.
Siete soddisfatti per come InsightIDR fornisce accesso a quei dati (log search, dashboard, e visibilità nel comportamento utenti)?
GAETANO: Siamo molto contenti per la velocità delle ricerche, e la qualità e chiarezza dei cruscotti, che sono molto intuitivi – ne apprezzo in particolare la sintesi nel rappresentare solo le informazioni di cui ho effettiva necessità.
Quale ruolo gioca InsightIDR nella vostra strategia SIEM?
GAETANO: Usiamo InsightIDR per la gestione centralizzata dei log, la ricerca e la visualizzazione dei dati. Possiamo quindi monitorare l’attività generale, nonché i picchi di traffico sugli endpoint degli utenti. Dopo aver identificato queste anomalie, possiamo quindi decidere se vale la pena indagare o meno. Un giorno, mentre studiavamo un picco del traffico, abbiamo trovato una macchina interessata da SYN flood, originata da un dispositivo compromesso.
Che tipi di incidenti ha rilevato sinora InsightIDR?
GAETANO: Il prodotto ha rilevato traffico di malware, infiltrazioni e persistenza. Ha rilevato inondazioni SYN in un’occasione e in generale offre la possibilità di indagare su picchi di attività e query personalizzate per verificare, ad esempio, minacce come WannaCry.
C’è qualche aneddoto sul prodotto che vorrebbe condividere?
GAETANO: Sì! Un giorno il nostro sito di backup è caduto a causa dell’alta temperatura (siamo in Sicilia…), ma non abbiamo avuto problemi con l’archiviazione dei log grazie a InsightIDR e al fatto che centralizza i nostri dati in un’architettura cloud sicura.
Come vorrebbe riassumere i benefici che InsightIDR porta alla vostra organizzazione?
GAETANO: Ci consente di correlare e interrogare i log dalle origini dati attraverso la nostra rete. Ci piace il fatto che InsightIDR memorizzi in modo sicuro i nostri log nel cloud a un buon prezzo. Il prodotto è facile da usare e pronto all’uso con numerosi rilevamenti comportamentali, query e dashboard.
Quali i prossimi passi per l’università di Palermo e Rapid7?
GAETANO: Nel prossimo futuro, aggiungeremo a InsightIDR la threat intelligence proveniente dal nostro Intrusion Detection System (IDS), e utilizzeremo l’Agent incluso in InsightIDR per raccogliere i dati degli endpoint. Siamo anche appena passati da Nexpose a InsightVM con grande soddisfazione. I cruscotti e i dettagli che Rapid7 ha inserito in questa nuova versione vanno aldilà delle nostre aspettative.
