Check Point Software Technologies ha presentato CloudGuard Log.ic, una soluzione in grado di offrire in modalità cloud, security intelligence e prevenzione delle minacce. Grazie a CloudGuard Log.ic, i clienti possono tenere sotto controllo il flusso dei dati e le tracce di controllo in ambienti cloud elastici e dedicarsi ai dati e alle attività cloud per accelerare i processi di analisi forense.
CloudGuard Log.ic individua le anomalie del cloud, blocca le minacce e le intrusioni e offre una visualizzazione contestualizzata per consentire indagini approfondite sugli incidenti di sicurezza nelle infrastrutture cloud pubbliche come AWS. Log.ic entra a far parte così della suite di Check Point dei prodotti sviluppati per la sicurezza cloud.
Un recente sondaggio sulla cloud security condotto da CyberSecurity Insiders per conto di Check Point ha rilevato che i principali problemi di sicurezza del cloud operativo delle organizzazioni IT siano le conformità (34%) e la mancanza di visibilità nella sicurezza dell’infrastruttura (33%). Mentre la maggioranza delle aziende afferma che le loro applicazioni cloud non siano state violate (54%), un allarmante 25% ha dichiarato di non essere venuto a conoscenza di eventuali violazioni. Il 15% delle organizzazioni ha confermato, poi, di aver subìto almeno un incidente di cloud security.
La parte centrale di CloudGuard Log.ic è un motore di arricchimento che raccoglie dati provenienti da una varietà di fonti, tra cui VPC Flow Logs e AWS CloudTrail, con lo scopo di creare consapevolezza contestuale della sicurezza negli ambienti cloud pubblici. I team di sicurezza e DevOps possono ora utilizzare questa soluzione chiave in mano per accelerare le attività di “incident response” e “caccia alle minacce”, rivedere le politiche di sicurezza e applicarle su più account. CloudGuard Log.ic può anche integrarsi con soluzioni SIEM di terze parti, come Splunk e ArcSight.
Le principali funzionalità di CloudGuard Log.ic comprendono:
- prevenzione avanzata delle minacce, grazie all’integrazione con il sistema di intelligence di ThreatCloud capace di individuare gli IP malevoli;
- possibilità di creare facilmente alert personalizzati che si attivano in base ad attività sospette della rete e dell’utente, violazioni della conformità ed errori di configurazione;
- analisi dell’attribuzione assegnata a utenti, gruppi e ruoli per tenere traccia anche degli eventi federati, poiché le modifiche alla configurazione sono tracciate e collegate all’individuo o al ruolo;
- la possibilità di segnalare eventi significativi, statistiche e dati sul traffico tramite report definiti e programmati via e-mail e vari strumenti ITMS, quali ServiceNow, PagerDuty, Jira ecc;
- le funzioni di riparazione automatica di CloudBots possono essere utilizzate per agire automaticamente su specifici avvisi di attività dannose e per automatizzare ulteriori passaggi come la messa in quarantena o l’etichettatura per ulteriori analisi.
Come riferito in una nota ufficiale da Fernando Montenegro dell’istituto di ricerca 451 Research: «Una delle principali differenze negli ambienti cloud è la natura transitoria degli elementi. Poiché i carichi di lavoro e le applicazioni di macchine virtuali, container o funzioni serverless vengono eseguite, le informazioni che prima erano considerate statiche, come gli indirizzi IP, non possono più essere sollecitate. Sicuramente vediamo la necessità di nuovi strumenti di sicurezza che comprendano i nuovi concetti in modo nativo e arricchiscano le informazioni provenienti dai registri di flusso, dai bilanciatori del carico e da altri componenti nativi del cloud. Di conseguenza, l’IT ottiene una visione più dettagliata degli eventi in fase di esecuzione, consentendo una comprensione più precisa dell’ambiente oltre a un’applicazione più rigorosa delle regole di sicurezza».