Date post: | 08-Apr-2017 |
Category: |
Technology |
Upload: | vm-sistemi-spa |
View: | 176 times |
Download: | 3 times |
SIEM: un fenomeno tecnologico di serendipity -lo strumento IBM QRadar
Alessandro RaniIT Pre Sales Manager
2
Alcuni spunti di riflessione…
Dal Rapporto Clusit
In questa fase storica la SUPERFICIE di ATTACCO complessivamente esposta dalla nostra civiltà digitale CRESCE PIÙ VELOCEMENTE della NOSTRA CAPACITÀ di
PROTEGGERLA.
I difensori non riescono ad essere abbastanza efficaci: nonostante i crescenti investimenti in sicurezza informatica ,
il numero e la gravità degli attacchi continuino ad aumentare,
peraltro, si stima che 2/3 degli incidenti non vengano nemmeno rilevati dalle vittime!
il rischio teorico di essere colpiti da un attacco informatico di qualche genere è diventato in pratica, nel breve-medio termine, una certezza!
3
Oltre la metà dei casi gravi di attacco informatico registrati l’anno scorso sono stati di livello banale e hanno sfruttato vulnerabilità note!
nonostante la percezione e l’attenzione nei confronti del cybercrime siano aumentati, le capacità di difesa non sono migliorate, o meglio, non è aumentato il livello
culturale delle vittime in termini di SICUREZZA ICT!
il modello di sicurezza oggi più diffuso, in pratica il medesimo da anni, è di tipo reattivo ed agisce quindi solo dopo che l’incidente si è verificato!
e, aggiungiamo noi, molte delle vittime o possibili tali, non hanno una conoscenza approfondita delle proprie infrastrutture, così come non hanno una visione globale
del perimetro di queste!
4
SIEM – Security Information and Event Management
Che cosa si intende per SIEM?
SIEM è l’acronimo di “Security Information and Event Management” , tradotto in
SISTEMA DI GESTIONE DELLE INFORMAZIONI E DEGLI EVENTI DI SICUREZZA e definisce un prodotto costituito da software e/o servizi che unisce le capacità di:
“Security Information Management” (SIM)+
“Security Event Management” (SEM)
SIM si occupa della parte di “log management”, di attività di analisi e della produzione di report per aderire ad esempio norme di compliance.
SEM si occupa del monitoraggio in real-time degli eventi, dell’incident management in ambito security, per quanto riguarda eventi che accadono sulla rete, sui dispositivi di sicurezza, sui
sistemi o le applicazioni.
5
SIEM… perché dovremmo dotarcene?
Nella sua accezione di componente del perimetro di sicurezza in ambito ICT, il SIEM svolge una serie di compiti e funzioni che vanno a rispondere
ad una necessità specifica:
La visione olistica, in tempo reale, di quanto accade, accadrà o è accaduto all’ interno di un sistema IT.
Le domande che dobbiamo porci sono:
• Come giudichiamo l’ attuale livello di visibilità e di conoscenzadella nostra infrastruttura di sicurezza ICT?
• Come operiamo per rilevare le minacce più o meno avanzate sulla rete?
• Seguiamo una metodologia di tipo reattivo o proattivo?
6
Le risposte di un SIEM
Convergere le informazioni di rete e di security generate da numerosi apparati multi-vendor in un unico framework integrato, fornendo un set di Network Security
Management services
Gestire le Minacce: Chi, Cosa, Dove, Quando, Come? Stato della vulnerabilità, valore dell’asset, minacce attive, storia degli attacchi precedenti, aiutano a fornire ai security team i dati che gli occorrono per agire dovunque si trovino.
7
Un SIEM, quali funzioni svolge?
1. Collezione: raccolta LOG ed Eventi da svariati tipologie di fonti, sistemi, dispositivi, applicazioni.
2. Aggregazione: i dati raccolti vengono combinati opportunamente in un unico data store facilitando così le successive operazioni sui dati.
3. Normalizzazione: la normalizzazione è un processo fondamentale, che si occupa di trasformare le differenti rappresentazioni delle informazioni ricevute, in una forma univoca, normalizzata e rappresentata in maniera comprensibile.
4. Correlazione: altro processo della massima importanza, vero valore del sistema, ossia la capacità di collegare tra loro le informazioni ricevute dai sistemi più disparati, confrontarle con regole predefinite o create ad hoc secondo policy, per andare poi a segnalare la presenza o meno di Incidenti (od Offenses)
5. Segnalazione: definita anche alerting, è quella funzione che in combinazione con la correlazione si occupa di avvisare di minacce o incidenti in atto, sulla base di soglie o regole definite.
6. Reportistica: elemento fondamentale, soprattutto in ambito di IT Governance e di compliance, oltre che di analisi.
7. Analisi Forense: quella componente a supporto delle azioni “investigative” di analisti di sicurezza, che richiede capacità di query avanzate, accesso drill down ai log grezzi e a dati archiviati.
9
e un SIEM di "nuova generazione", quali funzioni svolge?
1. Collezione e correlazione di Log ai quali si aggiungono Flussi di traffico sia da sorgenti locali che remote NBAD (Network Behavior Anomaly Detection) Vulnerability Assessment Information Asset Inventory e Discovery UBA (User Behaviour Analysis) Cyber Threat Intelligence Feeds
2. Full Packet Capute e Forensics Analisys
3. Risk Assessment tools e data path discovery
10
IBM QRadar Security Intelligence Platform
IBM QRadar è la piattaforma al centro della Security Intelligence IBM
Il Portfolio della piattaforma QRadar integraSIEMLog ManagementAnomaly DetectionVulnerability ManagementRisk ManagementIncident ForensicsIncident Response
In una soluzione unificata, altamente scalabile, real time, che fornisce un livellosuperiore di rilevazione delle minacce, semplicità d’uso, performance!
11
IBM QRadar Key Features and Benefits
QRadar risponde nello specifico a queste domande
• Cosa viene attaccato?
• Qual è l’impatto di sicurezza?
• Chi ci attacca?
• Su cosa dobbiamo concentrarci?
• Quando avvengono gli attacchi?
• L’attacco penetra il sistema?
• Si tratta di un falso positivo?
14
IBM QRadar Components Overview
Network flows and Application Visibility
• Layer 7 application monitoring• Content capture for deep insight & forensics• Physical and virtual environments
• Log, flow, vulnerability & identity correlation• Sophisticated asset profiling• Offense management and workflow
SIEM
• Turn-key log management and reporting• SME to Enterprise• Upgradeable to enterprise SIEM
Log Management
Scalability• Event Processors for remote site• High Availability & Disaster Recovery• Data Node to increase storage & performance
• Network security configuration monitoring• Vulnerability scanning & prioritization• Predictive threat modeling & simulation
Risk & Vulnerability Management
Network Forensics• Reconstructs network sessions from PCAPs• Data pivoting and visualization tools• Accelerated clarity around who, what, when
Incident Forensics
15
QRadar Log Manager vs Qradar SIEM
Raccoglie i dati da una vasta gamma di dispositivi di rete e di sicurezza, inclusi router e switch, firewall, virtual private network gateways (VPN), intrusion detection/preventionsystems (IDS/IPS),applicazioni antivirus, host e server, database, applicazioni e-mail e web, dispositivi personalizzati e applicazioni proprietarie.
16
QRadar Network flows and Application Visibility
• Il traffico di rete NON MENTE. Un attaccante può eliminare le tracce del suo passaggio ma il flussi di traffico non possono essere alterati.• Interpreta flussi NetFlow, IPFIX, sFlow, Jflow, Packeteer• Consente di rilevare gli attacchi zero-day che non hanno firma• Fornisce visibilità in tutte le comunicazioni• Utilizza il monitoraggio passivo per costruire i profili di attività e classificare gli host• Migliora la visibilità della rete e aiuta a risolvere i problemi di traffico
17
QRadar Risk Manager
• Gestione dei rischi automatizzata per monitorare la conformità e le configurazioni dei dispositivi di rete
• Fornisce strumenti di visualizzazione delle connessioni e della topologia di rete per visualizzare i modelli del traffico di rete correnti e potenziali
• Correla le vulnerabilità degli asset con i dati del traffico e delle configurazioni di rete per identificare gli asset ad alto rischio e i percorsi di attacco attivi.
• Simula le minacce di rete, inclusa la diffusione potenziale di un attacco nella rete.Monitora il traffico della rete per migliorare la conformità con le policy.
19
QRadar Vulnerability Manager (QVM)
Customer Challenge QRadar Vulnerability Manager
Soddisfare i requisiti di conformità e di individuare le debolezze
Scansione dall'interno e dall'esterno di infrastruttura di rete, server ed endpoint per configurazioni errate, impostazioni deboli, prodotti senza patch e altre debolezze chiave
Gestire le priorità delle attività di bonifica e di ridurre i falsi positivi
Utilizza informazioni come l’impegno della rete, l'ambiente, le informazioni di configurazione e di sicurezza, e la disponibilità di patch.
Vista singola di tutte le informazioni sulle vulnerabilità
Integra tutte le informazioni sulle vulnerabilità da sistemi esterni che fornisce una singola vista.
Informazioni aggiornate, accurate e facilmente accessibili
Completa integrazione con Qradar, fornendo informazioni a 360 gradi sulle risorse presenti.
20
QRadar Incident Forensics
Analizza in modo dettagliato le azioni dei cyber criminali per fornire informazioni approfondite sull'impatto delle intrusioni e per prevenire che si verifichino nuovamente.
Ricostruisce i dati di rete non elaborati di un incidente di sicurezza fino alla sua forma originale, per comprendere a fondo l'evento.
Esegue Full Packet Caputer Recupera PCAP da un incident e ricostruisce le sessioni di comunicazione Supporta il formato PCAP (packet capture) standard
22
IBM QRadar, Reporting
• Tutte le informazionicollezionate ed elaborate possono essere inserite in un report
• Circa un migliaio ditemplate report disponibili
• Possibilità di crearereport custom, molto facilmente, per mezzo diun wizard integrato
23
QRadar Event collection and processing
Log Sources le sorgenti che all’ interno del nostrosistema inviano log (ma non solo)
Event Collector riceve raw events sotto forma di log messages da un ampia gamma di log sources
Device Support Modules (DSMs) in the event collectors parse and normalize raw events; raw log messages remain intact
Event Processor riceve eventi normalizzati così come eventi grezzi per analizzarli analyze e immagazzinarli
Magistrate correla i dati presenti nell’ Event processors e crea le offenses
Magistrate(Console)
Event/LogSources
EventProcessors
EventCollectors
30
Last but not Least… IBM QRadar per Gartner
IBM QRadar posizionato nuovamente come Leader nel Gartner Magic Quadrant
• QRadar provides an integrated view of log and event data, with network flow and packets, vulnerability and asset data, and threat intelligence.• Customer feedback indicates that the technology is relatively straightforward to deploy and maintain in both modest and large environments.• QRadar provides behavior analysis capabilities for NetFlow and log events.• The average of IBM reference customers satisfaction scores for scalability and performance, effectiveness of predefined correlation rules, report creation, ad hoc queries, product quality and stability, and technical support is higher than the average scores for all reference customers in those areas.
31
IBM QRadar Key Features and Benefits
• Supporta requisiti quali
ISO 27001Payment Card Industry Data Security Standard (PCI DSS) Health Insurance Portability and Accountability Act (HIPAA)Gramm-Leach-Bliley Act (GLBA) North American Electric Reliability Corporation (NERC)Federal Energy Regulatory Commission (FERC) Sarbanes–Oxley (SOX),
• La conformità con i decreti che si riferiscono al Garante della Privacy
32
QRadar use cases… per chi volesse approfondire
http://www.ibm.com/developerworks/library/se-qradar-manage-offenses/
Offense 1025 - XForce: Connection to a known malware site is detectedOffense 885 - Distributed Denial of Service attack detectedOffense 953 - Authentication attempt by unauthorized userOffense 911 - Potential data lossOffense 995 - Potential data lossOffense 929 - Potentially successful exploitOffense 916 - Traffic from untrusted network to trusted networkOffense 938 - Sensitive in transitOffense 906 - OS attackOffense 901 - Assess devices that allow banned protocols from the InternetOffense 898 - Compliance: Detect assets using out-of-policy protocols within
regulatory networks
Grazie per l’attenzione!
www.vmsistemi.it
VM SISTEMI SpA Faenza: Via R. Ossani, 18 - 48018 - Faenza (RA) - Tel 0546 689511 – Fax 0546 689591Milano: Via L. Tolstoj 86 - Scala H - 20089 San Giuliano Milanese (MI) – Tel 02 57506417Roma: Via Troilo il Grande, 3 – 00131 Roma – Tel 06 41294278www.vmsistemi.it – [email protected]
Alessandro Rani
IT Pre Sales Manager
Email: [email protected]: it.linkedin.com/in/alessandrorani