Upload
vm-sistemi-spa
View
149
Download
0
Embed Size (px)
Citation preview
SIEM: un fenomeno tecnologico di serendipity -lo strumento IBM Qradar
Alessandro RaniIT Development Manager
2
L'evoluzione delle minacce informatiche
Dal Rapporto Clusit 2015(Associazione Italiana per la Sicurezza Informatica)
In questa fase storica la SUPERFICIE DI ATTACCO complessivamente esposta dalla nostra civiltà digitale CRESCE PIÙ VELOCEMENTE DELLA NOSTRA CAPACITÀ DIPROTEGGERLA.
I difensori non riescono ad essere abbastanza efficaci: come spiegare altrimenti il fatto che, a fronte di CRESCENTI INVESTIMENTI IN SICUREZZA INFORMATICA , (saliti globalmente dell’8% nel 2014, nonostante il perdurare della crisi economica), IL NUMERO E LA GRAVITÀ DEGLI ATTACCHI CONTINUINO AD AUMENTARE, in un
contesto nel quale, per altro,
SI STIMA CHE 2/3 DEGLI INCIDENTI NON VENGANO NEMMENO RILEVATI DALLE VITTIME!
3
L'evoluzione delle minacce informatiche
Ci si trova di fronte ad una svolta, un passaggio epocale nella pur breve storia dell’ICT, ovvero il momento in cui, per tutte le diverse tipologie di soggetti interessati (cittadini,
aziende, istituzioni, Governi)
IL RISCHIO TEORICO DI ESSERE COLPITI DA UN ATTACCO INFORMATICO DI QUALCHE GENERE È DIVENTATO IN PRATICA, NEL BREVE-MEDIO TERMINE, UNA CERTEZZA!
4
L'evoluzione delle minacce informatiche
Dal Rapporto Clusit 2016
Oltre la metà dei casi gravi di attacco informatico registrati l’anno scorso sono stati di livello banale e hanno sfruttato vulnerabilità note!
Nonostante la percezione e l’attenzione nei confronti del CYBERCRIME siano aumentati, le CAPACITÀ DI DIFESA non sono migliorate, o meglio, non è aumentato il livello culturale delle vittime in termini di sicurezza ICT!
Il MODELLO di SICUREZZA oggi più diffuso, in pratica il medesimo da anni, è di tipo REATTIVO ed agisce quindi solo dopo che l’incidente si è verificato!
5
SIEM – Security Information and Event Management!
Che cosa si intende per SIEM?
SIEM è l’acronimo di “Security Information and Event Management” , tradotto in
SISTEMA DI GESTIONE DELLE INFORMAZIONI E DEGLI EVENTI DI SICUREZZA e definisce un prodotto costituito da software e/o servizi che unisce le capacità di:
“Security Information Management” (SIM)+
“Security Event Management” (SEM)
il termine è stato coniato da Amrit Williams e Mark Nicolett nel 2005, quando entrambi lavoravano per Gartner.
SIM si occupa della parte di “LOG MANAGEMENT”, di attività di analisi e della produzione di report per aderire ad esempio norme di compliance.
Un SEM si occupa del MONITORAGGIO IN REAL-TIME DEGLI EVENTI, dell’INCIDENT MANAGEMENT in ambito security, per quanto riguarda eventi che accadono sulla rete, sui
dispositivi di sicurezza, sui sistemi o le applicazioni.
6
Incident & Asset, di cosa parliamo?
Information Security IncidentSono definiti come EVENTI NEGATIVI che possono compromettere alcuni aspetti di sistemi di computer, reti o di sicurezza. Possono ad esempio essere violazioni delle policy di sicurezza aziendali, la trasgressione ad alcune leggi, o più in generale un QUALSIASI EVENTO CHE MINACCI LA STABILITÀ DI UN SISTEMA!
AssetAsset (ITILv3): Ogni risorsa o abilità. Gli asset di un servce provider comprendono ogni cosa che potrebbe contribuire all’erogazione di un servizio. Gli asset possono di diversi tipi: management, organizzazione, processo, conoscenza, persone, informazioni, applicazioni, infrastruttura o capitale finanziario.
Asset (ITILv2): Un asset è pensato come un elemento contro cui le minacce e le vulnerabilità sono identificati e calcolati al fine di effettuare una valutazione dei rischi.
7
SIEM… perché dovremmo dotarcene?
Nella sua accezione di componente del perimetro di sicurezza in ambito IT, il SIEM svolge una serie di compiti e funzioni che vanno nello specifico a rispondere ad una necessità specifica, ossia:
La visibilità totale, in tempo reale, di quanto accade, accadrà o è accaduto all’ interno di un sistema IT.
Le domande che dobbiamo porci sono:
• Come giudichiamo l’ attuale livello di visibilità della nostra infrastruttura di sicurezza IT? • Qual è l’ approccio attuale per rilevare le minacce più o meno avanzate sulla rete?
8
SIEM, quali funzioni svolge?
1. Collezione: raccolta LOG ed Eventi da svariati tipologie di fonti, sistemi, dispositivi, applicazione
2. Aggregazione: i dati raccolti vengono combinati opportunamente in un unico data store facilitando così le successive operazioni sui dati.
3. Normalizzazione: la normalizzazione è un processo fondamentale, che si occupa di trasformare le differenti rappresentazioni delle informazioni ricevute, in una forma univoca, normalizzata e rappresentata in maniera comprensibile.
4. Correlazione: altro processo della massima importanza, vero valore del sistema, ossia la capacità di collegare tra loro le informazioni ricevute dai sistemi più disparati, confrontarle con regole predefinite o create ad hoc secondo policy, per andare poi a segnalare la presenza o meno di Incidenti (od Offenses)
5. Segnalazione: definita anche alerting, è quella funzione che in combinazione con la correlazione si occupa di avvisare di minacce o incidenti in atto, sulla base di soglie o regole definite.
6. Reportistica: elemento fondamentale, soprattutto in ambito di IT Governance e di compliance, oltre che di analisi.
7. Analisi Forense: quella componente a supporto delle azioni “investigative” di analisti di sicurezza, che richiede capacità di query avanzate, accesso drill down ai log grezzi e a dati archiviati.
9
Le risposte di un SIEM
Convergere le informazioni di rete e di security generati da numerosi apparati multi-vendor in un unico framework integrato, fornendo un set di Network Security Management services
Gestire le Minacce: Chi, Cosa, Dove, Quando, Come? Stato della vulnerabilità, valore dell’asset, minacce attive storia degli attacchi precedenti, aiutano a fornire ai security team i dati che gli occorrono per agire dovunque si trovino.
10
IBM Security: Threat Intelligence and Behavioral Analytics
Threat Intelligence and Behavioral Analytics
11
IBM Security Intelligence
L’approccio della Security Intelligence
Una visibilità completa sulle attività di utenti, dati, applicazioni ed infrastruttura,fornendo alle Aziende le informazioni su minacce potenziali ed esistenti
12
IBM QRadar Security Intelligence Platform
IBM QRadar è la piattaforma al centro della Security Intelligence IBM
Il Portfolio della piattaforma QRadar integraSIEMLog ManagementAnomaly DetectionVulnerability ManagementRisk ManagementIncident ForensicsIncident Response
In una soluzione unificata, altamente scalabile, real time che fornisce un livellosuperiore di rilevazione delle minacce, semplicità d’uso, performance!
13
IBM QRadar Key Features and Benefits
• Supporta requisiti quali Payment Card Industry Data Security Standard (PCI DSS), Health Insurance Portability and Accountability Act (HIPAA), Gramm-Leach-Bliley Act (GLBA), North American Electric Reliability Corporation (NERC), Federal Energy Regulatory Commission (FERC), Sarbanes–Oxley (SOX), ISO 27001 e altri.
• La conformità con i decreti che si riferiscono al Garante della Privacy
• Un'unica soluzione per la sicurezza delle informazioni e gestione degli eventi ( SIEM ), rilevamento delle anomalie , gestione dei log , la gestione delle vulnerabilità, la gestione del rischio , incident forensics e la risposta agli incidenti.
• Utilizzo in tempo reale correlazione e rilevamento comportamentale delle anomalie per identificare le minacce avanzate
14
IBM QRadar Key Features and Benefits
QRadar risponde nello specifico a queste domande
• Cosa viene attaccato?• Qual è l’impatto di sicurezza?• Chi ci attacca?• Su cosa dobbiamo concentrarci?• Quando avvengono gli attacchi?• L’attacco penetra il sistema?• Si tratta di un falso positivo?
15
QRadar Event collection and processing
Log Sources typically send syslog messages, but they can use other protocols also
Event Collectors receive raw events as log messages from a wide variety of external log sources
Device Support Modules (DSMs) in the event collectors parse and normalize raw events; raw log messages remain intact
Event Processors receive the normalized events and raw events to analyze and store them
Data Nodes (not pictured) provide additional storage for event and flow data
Magistrate correlates data from event processors and creates offenses
Magistrate(Console)
Event/LogSources
EventProcessors
EventCollectors
16
IBM QRadar Security Intelligence Platform
17
IBM QRadar console unificata e scalabile
18
IBM QRadar Portfolio Overview
QRadar Log Manager• Turnkey log management for SMB and Enterprises• Upgradeable to enterprise SIEM
QRadar SIEM• Integrated log, flow, threat, compliance mgmt• Asset profiling and flow analytics• Offense management and workflow
Network Activity Collectors (QFlow)• Network analytics, behavior and anomaly detection• Layer 7 application monitoring
QRadar Risk Manager• Predictive threat modeling & simulation• Scalable configuration monitoring and audit• Advanced threat and impact analysis
QRadar Vulnerability Manager• Integrated Network Scanning & Workflow• Leverage SIEM, Threat, Risk to prioritize vulnerabilities
QRadar Incident Forensics• Reconstruct raw network packets to original format• Determine root cause of security incidents and help prevent recurrences
19
IBM QRadar Portfolio Overview
Network and Application Visibility
• Layer 7 application monitoring• Content capture for deep insight & forensics• Physical and virtual environments
• Log, flow, vulnerability & identity correlation• Sophisticated asset profiling• Offense management and workflow
SIEM
• Turn-key log management and reporting• SME to Enterprise• Upgradeable to enterprise SIEM
Log Management
Scalability• Event Processors for remote site• High Availability & Disaster Recovery• Data Node to increase storage & performance
• Network security configuration monitoring• Vulnerability scanning & prioritization• Predictive threat modeling & simulation
Risk & Vulnerability Management
Network Forensics• Reconstructs network sessions from PCAPs• Data pivoting and visualization tools• Accelerated clarity around who, what, when
Incident Forensics
20
QRadar Log Manager vs Qradar SIEM
Raccoglie i dati da una vasta gamma di dispositivi di rete e di sicurezza, inclusi router e switch, firewall, virtual private network (VPN), intrusion detection/prevention systems(IDS/IPS),applicazioni antivirus, host e server, database, applicazioni e-mail e web, dispositivi personalizzati e applicazioni proprietarie.
Inputs to QRadar
Log Sources– AutoDiscovered:
.
22
QRadar SIEM Network Flow Visibility
• Interpreta flussi NetFlow, IPFIX, sFlow, Jflow, Packeteer• Consente di rilevare gli attacchi zero-day che non hanno firma• Consente il monitoraggio delle politiche e l'identificazione del server canaglia (rogue)• Fornisce visibilità in tutte le comunicazioni attaccante • Utilizza il monitoraggio passivo di costruire i profili di attività e classificare gli host• Migliora la visibilità della rete e aiuta a risolvere i problemi di traffico
23
Offenses investigation
Un icona ROSSAindica la presenza di un Offense
24
QRadar use cases… per chi volesse approfondire
http://www.ibm.com/developerworks/library/se-qradar-manage-offenses/
Offense 1025 - XForce: Connection to a known malware site is detectedOffense 885 - Distributed Denial of Service attack detectedOffense 953 - Authentication attempt by unauthorized userOffense 911 - Potential data lossOffense 995 - Potential data lossOffense 929 - Potentially successful exploitOffense 916 - Traffic from untrusted network to trusted networkOffense 938 - Sensitive in transitOffense 906 - OS attackOffense 901 - Assess devices that allow banned protocols from the InternetOffense 898 - Compliance: Detect assets using out-of-policy protocols within
regulatory networks
25
IBM QRadar, Reporting
• All collected information is available for reports• Over a thousand of report templates are available• With the report wizard, you can create new templates and change existing templates
26
IBM QRadar, modello architetturale on premise All in One
27
IBM QRadar, modello architetturale on premise Distribuito
28
IBM QRadar, modello architetturale SaaS
29
Last but not Least… IBM QRadar per Gartner
IBM QRadar posizionato nuovamente come Leader nel Gartner Magic Quadrant
• QRadar provides an integrated view of log and event data, with network flow and packets, vulnerability and asset data, and threat intelligence.• Customer feedback indicates that the technology is relatively straightforward to deploy and maintain in both modest and large environments.• QRadar provides behavior analysis capabilities for NetFlow and log events.• The average of IBM reference customers satisfaction scores for scalability and performance, effectiveness of predefined correlation rules, report creation, ad hoc queries, product quality and stability, and technical support is higher than the average scores for all reference customers in those areas.
Grazie per l’attenzione!
www.vmsistemi.it
VM SISTEMI SpA Faenza: Via R. Ossani, 18 - 48018 - Faenza (RA) - Tel 0546 689511 – Fax 0546 689591Milano: Via L. Tolstoj 86 - Scala H - 20089 San Giuliano Milanese (MI) – Tel 02 57506417Roma: Via Troilo il Grande, 3 – 00131 Roma – Tel 06 41294278www.vmsistemi.it – [email protected]
Alessandro Rani
IT Development Manager
Email: [email protected]: it.linkedin.com/in/alessandrorani