Il municipio di Modena ha scelto di affidarsi alle soluzioni di SGBoxper rispondere alle necessità di sicurezza della propria infrastruttura informatica. Il Comune del capoluogo emiliano aveva la necessità di gestire in modo efficace, sicuro e centralizzato i log generati dal proprio sistema informatico, consentendo il monitoraggio puntale di una serie di attività, come gli accessi effettuati in un dato lasso temporale (evidenziando anche quelli avvenuti fuori dall’orario di lavoro, quelli non andati a buon fine o quelli tramite VPN), le transazioni fallite, eventuali anomalie (sia software che hardware) e possibili minacce malware.
L’obiettivo chiaramente posto dall’amministrazione pubblica è stato quello di avere a disposizione un tool potente ma facile da usare, che garantisse il massimo livello di protezione anche in termini preventivi. La soluzione richiesta a SGBox doveva essere in grado di gestire log in formato proprietario, consentendo analisi dinamiche e sistemi di anti-manipolazione.
Il Comune ha inoltre chiesto di poter intercettare gli incidenti e le anomalie, analizzare il comportamento degli utenti, migliorare le funzionalità di investigazione sul perimetro dell’infrastruttura aziendale, ottenere visibilità e reportistica delle attività utente rispetto all’utilizzo delle risorse aziendali; gestire configurazione e vulnerabilità.
Attraverso il motore di correlazione, il Comune di Modena ha potuto creare regole per individuare relazioni tra due o più log (catene di eventi) da una fonte dati singola o da più sorgenti, basandosi su valori preesistenti come il timestamp, l’indirizzo IP, il tipo di evento, ma anche aggiungendo nuovi parametri come la geolocalizzazione, la risoluzione dei nomi a dominio e la creazione di alias. Grazie anche alla possibilità di definire e utilizzare KPI complessi, la piattaforma di SGBox è in grado di rilevare anomalie anche inusuali rispetto ad un traffico di dati apparentemente omogeneo. Proprio questa capacità è una caratteristica fondamentale per la rilevazione di frodi, intrusioni nella rete e altri eventi significativi che sarebbero impossibili da identificare.
