Tra le aziende che hanno fatto la storia del web c'è certamente
eBay, nome prima associato alle aste tra privati ed ora più
marketplace "istituzionale". È uno dei grandi del web e lo si vede nei numeri: conta circa
147 milioni di utenti e si stima che circa 430.000 persone negli Stati Uniti traggono la totalità o la maggior parte del loro guadagno vendendo su eBay. A cui si aggiunge
PayPal, altro nome notissimo e ormai sinonimo dei
pagamenti online.
I grandi nomi del web hanno anche, purtroppo,
grandi questioni di sicurezza da affrontare. Specie nel caso di realtà come eBay, che non gestiscono solo informazioni ma anche transazioni commerciali vere e proprie. Secondo
Chris Lalonde, Senior Manager of Information Security, Divisione Audit & Investigations di eBay, le importanti dimensioni dell’infrastruttura di rete di eBay hanno sempre richiesto una soluzione efficace di
gestione delle vulnerabilità: "
Il nostro ambiente cambia rapidamente, quindi avevamo bisogno di una soluzione che trovasse automaticamente le vulnerabilità più recenti senza impegnare continuamente i nostri responsabili IT alla ricerca di ogni problematica".
eBay necessitava di un approccio concreto per la
sicurezza della rete dei partner commerciali, aiutandoli anche a correggere rapidamente le vulnerabilità. Poiché la maggior parte dei partner dispone di piccoli network e di meno risorse IT, eBay cercava una
soluzione automatizzata che rendesse semplice la valutazione della vulnerabilità delle infrastrutture di terze parti. La
gestione efficiente della sicurezza dei dati era una delle principali criticità. La scelta si è orientata verso
Qualys Enterprise per la
scansione perimetrale con l’aggiunta di scanner Qualys per il controllo delle vulnerabilità sui segmenti di rete all’interno del firewall aziendale e sulle reti dei partner.
Gli strumenti di automazione di Qualys hanno permesso a eBay di effettuare
valutazioni delle vulnerabilità on demand, comprese le scansioni rapide per le vulnerabilità più attuali, in qualsiasi punto della propria rete e nelle reti
dei partner. Il risultato ottenuto dalla divisione Audit & Investigations è stato un r
eport immediato e di sintesi a livello internazionale. "
Prima dovevamo spulciare tra vari risultati e gestire molteplici analisi manuali per ottenere report significativi che risultavano poi incoerenti", spiega Lalonde
eBay utilizza i report Qualiys con una duplice modalità. La prima è per
fornire un feedback immediato al gruppo Security Operation che utilizza i dati per le attività di remediation, la seconda invece è quella di utilizzare i dati per
definire il budget degli strumenti di sicurezza. I manager usano gli avvisi automatici di vulnerabilità per supervisionare i team di assistenza, incluso lo sviluppo automatico di uno SLA per le patch da applicare e altre indicazioni per la remediation, mentre le scansioni post-remediation verificano che le medesime funzionino correttamente.
I report di Qualys integrano anche le
metriche nel programma di sicurezza di eBay: "
I report presentano ai nostri manager una visione concisa e in tempo reale dei rischi per la sicurezza di eBay e misurano il cambiamento di tali rischi mentre implementiamo le misure di sicurezza necessarie", racconta Lalonde. Non da ultimo, c'è un aspetto di
compliance che Qualys ha contribuito ad affrontare: i report di controllo infatti aiutano anche a fornire una traccia cartacea per la conformità alle normative vigenti.
Oltre alla reportistica, Qualys semplifica anche i
processi di gestione delle vulnerabilità su eBay. La funzione di autorizzazione role-based di Qualys permette a eBay di suddividere le responsabilità dei suoi esperti, consentendo loro di scansionare e visualizzare i report per specifici indirizzi IP.