Oracle Identity SOC: identità e machine learning al centro della sicurezza

In un mondo in cui i confini dell’infrastruttura IT aziendale non sono più rigidamente definiti, bensì sfumati dai servizi cloud e permeati da dispositivi mobili e IoT, la gestione delle identità di personale e dispositivi gioca un ruolo centrale nella strategia di cyber security. In più, molti attacchi vengono portati attraverso sistemi automatizzati.

Per contrastare queste nuove sfide, Oracle ha potenziato le suite di sicurezza Oracle Identity SOC, il servizio nativo in cloud per la governance delle identità in ambienti cloud ibridi, e la Oracle Management Cloud, integrando elementi di intelligenza artificiale per rilevare automaticamente i comportamenti anomali da parte di utenti o entità connesse in rete e apportare rimedi automatici riducendo i tempi di identificazione della minaccia e intervento, che talvolta possono richiedere mesi, a pochi minuti.

Per Domenico Garbarino, Sales Director Security Solutions, Oracle Italia e Francia, “la complessità degli attacchi automatizzati e il numero di variabili rende impossibile per un essere umano rilevare le minacce in tempo utile. L’immagine del tecnico di un Security Operations Center che fissa i monitor in attesa di riscontrare un allarme è cosa del passato. La risposta ad attacchi automatizzati deve essere fornita da macchine, basate su intelligenza artificiale e machine learning”.

Identity Cloud Service

Domenico Garbarino_Sales
Director Security Solutions,
Oracle Italia e Francia.

I componenti dell’Oracle Security SOC sono in grado di analizzare il comportamento di utenti identificati ed “entità” (applicazioni e dispositivi IoT) per rilevare attività anomale, come per esempio connessioni da località mai frequentate prima, accesso a dati e risorse non abituali, improvvisa generazione di un elevato traffico di rete, e agire in modi diversi. A seconda delle esigenze, è possibile impostare il sistema per bloccare automaticamente le attività sospette, senza alcun intervento umano, oppure inviare notifiche al personale più indicato ad analizzare e risolvere il problema.

Sul fronte dell’intelligenza artificiale, come avviene anche con altre tecnologie, Oracle ha deciso di non sviluppare una soluzione proprietaria, ma aprirsi invece alle integrazioni con le principali piattaforme open source e non, e al contributo dei partner per implementazioni specifiche. “Siamo consapevoli che la guerra non si vince da soli, ma se si lavora come community ed ecosistema. Le nostre soluzioni di sicurezza sono quindi nate per interagire e integrarsi con prodotti e tecnologie eterogenee, mettendole a sistema e aggiungendo valore”, prosegue Garbarino. Seguendo questa filosofia di apertura, Oracle ha incluso il  programma Identity SOC Security Network nell’Oracle Cloud Marketplace, mettendo a disposizione integrazioni tecnologiche con altri vendor di security che operano nel campo dell’Enterprise Mobility Management, Next Generation Firewall, Endpoint Security e Threat Intelligence.

Log Analysis Cloud Service

Oltre che nella fase di rilevamento attivo, il machine learning può essere impiegato anche per semplificare operazioni e analisi molto complesse e che richiederebbero lunghissimi tempi di implementazione. Garbarino ha citato l’esempio di un’azienda multinazionale che aveva il problema di raccogliere, gestire e organizzare i segnali e le anomalie provenienti da migliaia di firewall distribuiti nelle sue sedi in tutto il mondo, prodotti da molteplici fornitori differenti. Dando “in pasto” a Oracle Security Monitor & Analytics i log di un periodo di attività pregressa, e sfruttando algoritmi di deep learning, si è stati in grado di uniformare i campi e i valori per creare un report unificato e impostare degli alert per le minacce in corso.

Lo stesso può essere fatto anche a posteriori di un attacco, come forma di analisi forense avanzata, per individuare le attività che hanno permesso la violazione, correlando fattori molteplici ed eterogenei.

Cloud Access Security Broker

La gestione dell’identità, certificata e con autenticazione robusta, può e deve anche essere estesa al di là dei confini della rete aziendale. Attraverso l’Oracle Cloud Access Security Broker (CASB), può essere effettuata anche quando gli utenti accedono a servizi cloud, tanto di Oracle quanto di terze parti (come Office 365, Salesforce, Box, Amazon AWS…). “Molti responsabili IT hanno il pieno controllo di quanto avviene sulle infrastrutture aziendali, ma non sanno cosa avvenga sui servizi e sistemi cloud usati dai dipendenti. Una volta attivato CASB, bastano pochi giorni per monitorare il normale uso del cloud e creare automaticamente alert e remediation in caso di utilizzi atipici da parte di alcune utenze”, ha affermato Garbarino, che afferma anche che CASB sia un ottimo strumento per far emergere e gestire la cosiddetta “Shadow IT”, cioè l’insieme dei servizi usati in modalità self service dal personale e quindi invisibili all’IT.

Config & Compliance Cloud Service

“Il database è ovviamente uno degli obiettivi principali di un attacco informatico, perché è lì che risiedono le informazioni. Spesso però, a causa di ritardi nell’applicazione della patch – installate mediamente 3-4 mesi dopo il rilascio – o per via di una errata configurazione, è spesso vulnerabile, e questo può portare a seri problemi di violazione dei dati aziendali. Il Config & Compliance Cloud Service può analizzare e monitorare questi aspetti e agire in base a policy preconfigurate e personalizzabili per segnalare i problemi rilevati o porvi automaticamente rimedio.