partita iva e codice fiscale: 12938200156 c.c.i.a.a. milano n.1599095 registro imprese 12938200156 capitale sociale € 2.418.433,00 i.v. direzione e sede legale via campanini 6 20124 milano tel: +39 02/66.732.1 – fax: +39 02/66.732.300 unità operativa p.zza san benedetto da norcia 33 00071 pomezia (rm) tel: +39 06/9826.9600 – fax: +39 06/9826.9680 Forum ICT Security - 16 ottobre 2015 Michelangelo Uberti, Marketing Analyst Identificare gli attacchi di nuova generazione mediante l’analisi del comportamento degli utenti
Transcript
partita iva e codice fiscale: 12938200156c.c.i.a.a. milano n.1599095registro imprese 12938200156capitale sociale € 2.418.433,00 i.v.
direzione e sede legalevia campanini 620124 milanotel: +39 02/66.732.1 – fax: +39 02/66.732.300
unità operativap.zza san benedetto da norcia 3300071 pomezia (rm)tel: +39 06/9826.9600 – fax: +39 06/9826.9680
Forum ICT Security - 16 ottobre 2015Michelangelo Uberti, Marketing Analyst
Identificare gli attacchi di nuova generazione mediantel’analisi del comportamento degli utenti
2
Chi è Par-Tec
Par-Tec è un software & infrastructure system integrator specializzato nella fornitura di servizi professionalialtamente qualificati e nella progettazione di soluzioni innovative negli ambiti:• Business Solutions• IT Infrastructure & Services• Vertical Solutions dedicate al mercato finanziario
Le nostre attività in ambito IT Security?• Consulenza tecnica e organizzativa sulle normative di riferimento• Privacy compliance: Log Collection e Privileged Activity Monitoring• Realizzazione di Infrastrutture a Chiave Pubblica (PKI) e Certification Authority• Progettazione e realizzazione di piattaforme di Posta Elettronica Certificata• Integrazione di soluzioni per l’Unified Threat Management
La collaborazione con BalaBit è iniziata 6 anni fa con la realizzazione delle prime piattaforme di logcollection centralizzate sul mercato telco.Nel 2013 siamo stati premiati come Partner of the Year e siamo tuttora Gold Partner.
3
I nostri Clienti
4
Il ciclo di vita della sicurezza IT
Gli strumenti, le regole di accesso e i permessi sono progettati per affrontare le minacce note
I sistemi usano regole e pattern stabiliti a priori per prevenire minacce interne o esterne
Tutti i sistemi sono monitorati per tentare di rilevare degli incidenti, tipicamente DOPO che questi sono accaduti
Per evitare il ripetersi dell’incidente vengono progettati dei controlli ancora più stringenti e/o complessi Define
Prevent
Detect
Respond
AccessControls
& policies
5
Proviamo a cambiare approccio:partiamo dalla terminologia
Context Security Intelligence
conoscenza e comprensione di un evento
esenzione da rischi e pericoli
circostanze a contorno di un
evento
Contextual Security Intelligence?Una metodologia che consente di proteggere un bene mediante lacomprensione di uno o più eventi all’interno di un contesto ben preciso.
6
Le fonti alla base del contesto:Log Collection
Ogni giorno i vostri sistemi producono milioni di righe di log di vario genere.Come fare per non perdere nemmeno una riga? Come trasmetterli e archiviarli in modo sicuro?
Apparatidi rete
Firewall,IDS, IPS
Server
Dati macchina
Applicazioni
/dev/null ?
7
Le fonti alla base del contesto:Log Collection
Ogni giorno i vostri sistemi producono milioni di righe di log di vario genere.Come fare per non perdere nemmeno una riga? Come trasmetterli e archiviarli in modo sicuro?
Central Server
oppure
Apparatidi rete
Firewall,IDS, IPS
Server
Applicazioni
Dati macchina
8
Le fonti alla base del contesto:Log Collection
Il syslog-ng Store Box gestisce l'intero ciclo di vita dei loggarantendo il rispetto degli standard e delle normativeinternazionali come PCI-DSS, ISO 27001, SOX e HIPAA.
Feature principali:• Supporta i log da più di 50 piattaforme• Memorizzazione sicura dei log mediante
cifratura, compressione e timestamp• Classificazione e filtraggio dei log ricevuti• Interfaccia web con ricerca avanzata• Store & forward dei log verso strumenti di terze
parti (es. SIEM), anche via REST API• Reportistica integrata
9
Le fonti alla base del contesto:Privileged Activity Monitoring
Ogni giorno i vostri sistemi sono acceduti a vario titolo da una moltitudine di soggetti.Come tenere traccia delle loro azioni? Come limitare la sindrome da “God mode”?
IT Staff
Outsourcing partners
Managers
RDP, VNC
VDI users
Cyber attacker
Data center
10
Le fonti alla base del contesto:Privileged Activity Monitoring
Ogni giorno i vostri sistemi sono acceduti a vario titolo da una moltitudine di soggetti.Come tenere traccia delle loro azioni? Come limitare la sindrome da “God mode”?
IT Staff
Outsourcing partners
Managers
RDP, VNC
VDI users
Cyber attacker
Data center
11
Le fonti alla base del contesto:Privileged Activity Monitoring
Lo Shell Control Box effettua il monitoraggio e l’auditdegli accessi amministrativi remoti a uno o più servermediante il controllo delle connessioni crittografate e non.
Feature principali:• E’ indipendente dai client e dai server• Non richiede alcuna modifica alle applicazioni
esistenti• I dati sono salvati in file legalmente inoppugnabili
crittografati e firmati con timestamp• Supporta la notifica dell’esecuzione di comandi
malevoli e l’eventuale blocco delle connessioni in tempo reale
• Gestisce l’autenticazione centralizzata, lo user mapping e la 4-eyes authentication
Protocolli supportati• SSH (v2)• SCP e SFTP• X11 rediretto via SSH• RDP (v4 – 8)• VMware View su client che usano RDP• Telnet (tra cui TN3720 e TN5250)• Citrix ICA (XenApp 5-6.5, XenDesktop 5-7)• VNC (v3.3 – 3.8)• HTTP/HTTPS
12
Dalle fonti all’intelligence:Contextual Security Intelligence Platform
Context Activity Repository
SystemLogs
Application Logs
ActivityMonitoring
Context D
ata Ingestion Hub
Threat M
anagement
API
UserDirectory
UserProfiles
ActivityRecords
Context Intelligence
BehavioralAnalytics
VideoReplay
RiskLandscape
Search
Real-time trusted data collection
Risk Assessment
Real-timeResponse
Report
FilterN
ormalize
Enrich Indexing
13
Dalle fonti all’intelligence:Contextual Security Intelligence Platform
Ci siamo assicurati di avere le migliori fonti disponibili.
Context Activity Repository
SystemLogs
Application Logs
ActivityMonitoring
Context D
ata Ingestion Hub
Threat M
anagement
API
UserDirectory
UserProfiles
ActivityRecords
Context Intelligence
BehavioralAnalytics
VideoReplay
RiskLandscape
Search
Real-time trusted data collection
Risk Assessment
Real-timeResponse
Report
FilterN
ormalize
Enrich Indexing
14
Dalle fonti all’intelligence:Contextual Security Intelligence Platform
I dati raccolti vengono collezionati con procedure affidabili e in tempo reale. Il processo di collezionamento include l’esclusione delle informazioni inutili, la normalizzazione dei dati e l’eventuale arricchimento degli stessi con l’incrocio di altre fonti dati.
Context Activity Repository
SystemLogs
Application Logs
ActivityMonitoring
Context D
ata Ingestion Hub
Threat M
anagement
API
UserDirectory
UserProfiles
ActivityRecords
Context Intelligence
BehavioralAnalytics
VideoReplay
RiskLandscape
Search
Real-time trusted data collection
Risk Assessment
Real-timeResponse
Report
FilterN
ormalize
Enrich Indexing
15
Dalle fonti all’intelligence:Contextual Security Intelligence Platform
Sulla base dei dati raccolti vengono creati dei profili utente che determineranno la baseline. I dati sono memorizzati in modo sicuro e inalterabile e sono indicizzati per facilitarne la fruizione da parte dei modelli di analisi comportamentale.
Context Activity Repository
SystemLogs
Application Logs
ActivityMonitoring
Context D
ata Ingestion Hub
Threat M
anagement
API
UserDirectory
UserProfiles
ActivityRecords
Context Intelligence
BehavioralAnalytics
VideoReplay
RiskLandscape
Search
Real-time trusted data collection
Risk Assessment
Real-timeResponse
Report
FilterN
ormalize
Enrich Indexing
16
Dalle fonti all’intelligence:Contextual Security Intelligence Platform
Context Activity Repository
SystemLogs
Application Logs
ActivityMonitoring
Context D
ata Ingestion Hub
Threat M
anagement
API
UserDirectory
UserProfiles
ActivityRecords
Context Intelligence
BehavioralAnalytics
VideoReplay
RiskLandscape
Search
Real-time trusted data collection
Risk Assessment
Real-timeResponse
Report
FilterN
ormalize
Enrich Indexing
Il sistema analizza in tempo reale ciò che accade e, confrontandolo con la baseline, identifica gli eventi difformi e li classifica stimandone la pericolosità. In base al tipo di minaccia può anche applicare delle contromisure.
17
Dalle fonti all’intelligence:Contextual Security Intelligence Platform
La console di amministrazione fornisce una panoramica del rischio generale e consente di analizzare in dettaglio il rischio per ogni utente.
Context Activity Repository
SystemLogs
Application Logs
ActivityMonitoring
Context D
ata Ingestion Hub
Threat M
anagement
API
UserDirectory
UserProfiles
ActivityRecords
Context Intelligence
BehavioralAnalytics
VideoReplay
RiskLandscape
Search
Real-time trusted data collection
Risk Assessment
Real-timeResponse
Report
FilterN
ormalize
Enrich Indexing
18
Blindspotter in actionComprendere la baseline dell’utente
19
Blindspotter in actionComprendere la baseline dell’utente
20
Blindspotter in actionComprendere la baseline dell’utente
21
Blindspotter in actionComprendere la baseline dell’utente
22
Blindspotter in actionMisurazione del rischio in tempo reale
direzione e sede legalevia campanini 620124 milanotel: +39 02/66.732.1 – fax: +39 02/66.732.300
unità operativap.zza san benedetto da norcia 3300071 pomezia (rm)tel: +39 06/9826.9600 – fax: +39 06/9826.9680
Grazie per l’attenzione
Volete approfondire l’argomento?Venite a trovarci al nostro desk!
