Sentinet³® è un prodotto di Unified Proactive Monitoring nato per assicurare alle organizzazioni uno strumento in grado di monitorare rete, apparati, host, servizi ed applicativi.
Le peculiarità che ne hanno determinato il successo sono:
- Facilità ed intuitività nell'utilizzo;
- Proattività, ovvero la capacità di eseguire azioni al verificarsi di eventi;
- Trasversalità, ovvero la capacità di operare su qualsiasi piattaforma HW/SW (monitoraggio cross platform).
Una delle funzioni meno conosciute di questo potente sistema è la possibilità di essere utilizzato come Cybersecurity tool.
Per Cybersecurity si intende quell'insieme di tecniche che consentono alle organizzazioni di minimizzare il numero di attacchi con esito positivo al proprio sistema informativo. Questo permette la protezione delle informazioni da furto, distruzione e corruzione consentendo nel contempo che siano accessibili ai destinatari.
La Cybersecurity ha il principale obiettivo di ridurre le vulnerabilità di un sistema ovvero tutti i difetti o debolezze che possono essere sfruttate per violarne la politica di sicurezza.
Per ridurre le vulnerabilità si eseguono tecniche definite di hardening. Queste tecniche prevedono due step:
- riduzione della superficie di attacco, ovvero rimuovere software, disabilitare i servizi, moduli kernel e porte non necessarie. Il concetto alla base di questa operazione è che ogni software porta con sé delle vulnerabilità intrinseche, ogni porta aperta può essere soggetta ad attacco quindi se non servono devono essere disabilitati.
- miglioramento della robustezza dei sistemi, ovvero abilitando policy di complessità delle password, aggiornando le patch di sicurezza, rimuovendo tutti gli utenti non necessari, riducendo i diritti degli utenti a quelli strettamente indispensabili. Solo dopo aver eseguito l'hardening dei sistemi al tempo T0 abbiamo la certezza dello stato della nostra infrastruttura.
Al tempo T0+1 la nostra infrastruttura potrebbe essere mutata perché si potrebbero essere verificati eventi come:
- Installazione di nuovo software
- Creazione di nuovi utenti
- Migrazione di utenti nel gruppo Amministratori
- Mancata installazione di una nuova patch di sicurezza
Questo indica che il processo di riduzione delle vulnerabilità deve essere un processo continuo e non può essere eseguito unicamente al tempo T0.
Sentinet3® per controllare la superficie di attacco
Una volta eseguito l'hardening dell'infrastruttura, bisogna iniziare a controllare che la fotografia al tempo T0 della stessa non vari.
La prima cosa da fare è monitorare costantemente che la superficie di attacco non si estenda.
Questo avviene quando si verificano i seguenti eventi:
- quando si installa nuovo software: come specificato in precedenza, infatti, ogni software ha delle vulnerabilità intrinseche che possono essere più o meno pericolose.
- Quando si attivano nuovi servizi
- Quando si aprono nuove porte tcp e udp
Sentinet3® dispone di check che permettono di:
- Controllare che non vari la configurazione software di un server, ogniqualvolta un nuovo software viene installato questo viene segnalato;
- Controllare che non vi sia nessuna variazione sui servizi attivi, ogniqualvolta un nuovo servizio viene avviato questo viene segnalato;
- Controllare che non vengano aperte nuove porte di rete.
Naturalmente il vantaggio apportato da questo prodotto è che il controllo sarà continuo e duraturo.
Sentinet3® per controllare la robustezza dei sistemi
Una volta controllata l'evoluzione della superficie di attacco, bisogna controllare che i sistemi mantengano la stessa robustezza raggiunta dopo le operazioni di hardening.
Le operazioni da eseguire ciclicamente sono fondamentalmente due:
- IT security patch monitoring
Grazie a questa possibilità Sentinet3® permette di controllare che i sistemi siano aggiornati alle ultime patch di sicurezza disponibili. Questo è possibile con l'ausilio di check di patch monitoring operanti su server Windows, Debian, Ubuntu, Red Hat, Aix e Solaris, su router e switch della famiglia Cisco e sui principali antivirus in commercio. - User policy monitoring
Sentinet3® è in grado di eseguire i seguenti controlli: - a) Abilitazione delle policy di sicurezza delle password;
- b) Controllo sull'inserimento di nuovi utenti;
- c) Controllo sul passaggio di utenti nel gruppo amministratori.
Sentinet3® per controllare i sistemi di protezione
In una infrastruttura che si rispetti e che ha una attenzione alla sicurezza sono presenti sistemi come Firewall, IDS, IPS, SIEM, Antivirus.
Tutti questi sistemi hanno il compito di aumentare la sicurezza dell'infrastruttura e ridurre le possibilità di attacchi con esito positivo.
Ma cosa succede se uno di questi sistemi non funziona correttamente o non funziona affatto?
La risposta alla domanda è scontata!
Sentinet3® è in grado mettere sotto monitoraggio questi sistemi ed avvertire prontamente se uno di questi ha dei problemi.
Sentinet3® per controllare gli attacchi in corso
Sentinet3® è in grado di determinare se l'infrastruttura IT è sottoposta ai seguenti tipi di attacco:
- DNS Redirection
In questo caso viene monitorato il database del DNS per controllare se ci sono tentativi di "avvelenamento". Nel caso in cui il DB del DNS viene modificato, Sentinet3® avviserà prontamente gli amministratori di sistema - Web site defacement
Questo è l'attacco classico portato per minare la reputazione di una organizzazione e consiste nel modificare una home page sostituendola con un'altra che ha l'obiettivo di lanciare un messaggio denigratorio. Grazie a Sentinet3® è possibile monitorare costantemente una home page di un sito per controllare se la stessa viene modificata. Nel caso in cui questo dovesse avvenire Sentinet3® invia un messaggio agli amministratori e può eseguire azioni proattive come mettere il sito in manutenzione o sostituire l'home page incriminata. - Denial of Service
Questo attacco ha l'obiettivo di "far piantare un servizio". In pratica aumentano enormemente le richieste di questo servizio (es. http) e fanno in maniera tale che il servizio o addirittura il server vengano bloccati. Uno dei più conosciuti è l'attacco Syn-Flood.
Grazie alla capacità di eseguire statistiche sulla rete con il modulo Network Monitoring, Sentinet3® può vedere se ci sono picchi di traffico da o verso alcuni indirizzi IP ed avvisare di conseguenza.
Altro
Sentinet3® può fare molto altro. Grazie a questo Security Monitoring System è possibile controllare sistemi di protezione perimetrale come telecamere ip, sensori di apertura e chiusura porte, sensori di temperatura, luminosità, allagamento.
In pratica è possibile eseguire anche un monitoraggio fisico.