Date post: | 22-May-2015 |
Category: |
Technology |
Upload: | sergio-leoni |
View: | 799 times |
Download: | 0 times |
SIEM questo sconosciuto....
di cui tutti parlano
System/Security Information & Event Management(da prima delle norme “Garante Privacy” ad oggi)
Sergio Leoni
Proprietà di Uniteam Init s.r.l. - Tutti i diritti riservati - Riproduzione vietata
Le immagini riportate sono esempi di mercato reperibili in rete.
Contesto
Il contesto e’ l’IT che rappresenta sempre di più
il substrato su cui si appoggiano vari processi di
business aziendali
Con il temine SIEM si vogliono indicare le
soluzioni che collezionano eventi provenienti dal
contesto IT, li storicizzano, li analizzano e li
normalizzano per svariati scopi (security,
compliance, governance etc).
Cos’e’ un SIEM ?
Fino a 5 anni fa solo le grandi aziende o le
banche collezionavano eventi al fine di
compliance normativi perché obbligate a farlo.
(strumenti antiquati, in genere servizi molto
costosi, raramente veniva fatto un controllo
dell’effettiva completezza dei log acquisiti etc..)
Anni 2005 e dintorni
Le attività di analisi venivano fatte prevalentemente
“post mortem” (a valle di un incident)
Nessuna sensibilità alle tematiche di Governance
che quest’attivita’ consente di poter mettere in
campo.
Nessuna sensibilità alla possibilità di poter evolvere
verso strumenti in grado di rilevare comportamenti
anomali e quindi anticipare problemi.
Anni 2005 e dintorni
6NetworkDevices
ServersMobile DesktopSecurityDevices
PhysicalAccess
AppsDatabasesIdentitySources
Milioni di eventi generati quotidianamente
Punti di raccolta e analisi distinti
Impossiible valutare problematiche di sicurezza e rischio
Impossibile prevedere comportamenti anomali o frodi
Contesto IT senza SIEM
7
NetworkDevices
ServersMobile DesktopSecurityDevices
PhysicalAccess
AppsDatabasesIdentitySources
Gli eventi prodotti vengono normalizzati, resi confrontabili e storicizzati
Risulta possibile generare report, allarmi e consentire la ricerca di eventi cross-platform
Contesto IT che adotta soluzioni SIEM
Il Garante della Privacy il 27 novembre 2008 viste le
cospicue interrogazioni a lui fatte e i molteplici eventi in
termini di divulgazioni di informazioni personali, per la
prima volta, emana direttive che riguardano i log di
accesso ai dati:
soggetti coinvolti:
UN PASSO IMPORTANTE
TUTTE LE AZIENDE(PAC / PAL / MIL / ENTERPRISE / SME)
Scelta Amministratori (responsabilizzazione)
Registrazione su log completi ed immodificabili degli accessi ai sistemi ed agli archivi
Prescrizioni:
• Cosa fanno gli amministratori? E gli utenti normali?
• Solo gli amministratori sono problematici?
• Quante informazioni ottengo dai Log ?
• Di quanti log ho bisogno ?
• Di quali Log ho bisogno?
• Da quali piattaforme?
etc.. etc …
Garante I : la crescente consapevolezza dello strumento
Aumenta la cultura sulla tema Log
• Su alcune Aziende nessuno (hanno trovato il metodo meno costoso per porre una “toppa” alla richiesta normativa) non colgono “il tema”
• Su altre,ha creato cultura su questa nuova possibilità di Governance e controllo
• Ha posto l’attenzione su elementi prima ignorati dai più, evidenziando il loro enorme valore per una corretta gestione delle problematiche IT aziendali ed in senso più esteso dei processi di business che su di loro si poggiano.
Garante I : EFFETTO sulle Aziende?
• Prodotti fatti in casa (si trova di tutto)
• Solo dischi per tenere i dati
(dischi non modificabili Clarion)
• Prodotti di mercato
INIT consiglia
leader vero di questo mercato
In fortissima espansione.
OGGI: da un punto di vista tecnologico
SME ed alcune grandi aziende hanno affrontato il problema
dal solo punto di vista normativo (con soluzioni fatte in casa,
soluzioni custom, soluzioni con batterie di dischi non
modificabili (Clarion) etc etc..
OGGI: C’e’ molto spazio per fare business
Una ghiotta opportunità per evidenziare gli aspetti non rilevati dalle aziende, proponendo soluzioni e progetti che consentono di:
Anticipare e prevedere i problemi ITRidurre costi dovuti alle multipiattaformeAumentare il controllo sull’IT e su tutto ciò che sull’IT si basa (Applicazioni, processi di business aziendali, processi di produzione).
Poche aziende (molto grandi per lo più Banche), sensibili
alle normative, investono e capiscono che oltre a soddisfare
la normativa Garante I, si e’ in grado di acquisire,
normalizzare, generare report ed allarmi, di avere quindi
strumenti nuovi per un problema in forte crescita: La
Governance Complessiva
OGGI: C’e’ molto spazio per fare business
Proporre nuovi strumenti che consentono di poter sfruttare i log acquisiti per identificare comportamenti anomali, prevedere ed anticipare allarmi, rilevare minacce zero-day (*) rilevare frodi, etc.. etc..
Crescita dal contesto IT ai processi di business aziendali (con gli stessi vantaggi)
(*) tutti quegli attacchi non gestibili con i metodi tradizionali basati sul riconoscimento attraverso pattern
STRUMENTI DI CORRELAZIONE DEI DATI
Processo di Business aziendale
RegoleUtenti
Applicazioni
Strato IT
FISSIAMO ALCUNI CONCETTI
LogPortals
I diversi processi di business e come questi interagiscono, definiscono come l’azienda, nel suo complesso persegueil suo obiettivo
LOG
Generico processo di Business Aziendale
L’allarmistica e’ la rilevazione nel momento in cui si fa il controllo di
un valore, del superamento di una soglia o di un insieme di dati
(anche di tipo diverso) - effettuato il rilevamento viene emesso un
allarme l’allarme
Ex.
C’e’ fumo allarme
Sito web fermo allarme
acqua alta, diga piena, pioggia in atto allarme
Il valore da considerare e’ SOLO quello al momento della
rilevazione.
Differenza tra ALLARMISTICA e CORRELAZIONE
FISSIAMO ALCUNI CONCETTI
Nella correlazione, la rilevazione di dati per emettere un allarme
avviene considerando anche gli eventi passati.
Ex
Se e’ la decima volta oggi che un utente usa una porta d’emergenza
Se il carico del server e’ maggiore del 20% della media degli ultimi giorni
Se oggi (che e’ giovedi’) il comportamento di un operatore varia per piu’ del 30% rispetto a tutti i
giovedi’ passati
Se qualcuno accede al 40% dei file in più rispetto al solito
etc. etc.
Tutte queste analisi sono effettuate considerando un intervallotemporale che va anche significativamente nel passato per decidere se una serie di eventi corrisponde ad un aventoanomalo o e’ da considerare un andamento consueto.
FISSIAMO ALCUNI CONCETTI
Differenza tra ALLARMISTICA e CORRELAZIONE
Hanno il problema di anticipare le anomalie piuttosto che gestirle (aumentano i costi, spesso la gestione non risolve completamente l’evento accaduto)
Gli strumenti attuali non consentono di risolvere se non puntualmente (non ho una visione complessiva)
La gestione delle applicazioni e’ fatta a semafori
Non ho elementi storici o comportamentali negli strumenti attuali
CHI HA BISOGNO DI QUESTE SOLUZIONI?
TUTTE LE AZIENDE(PAC / PAL / MIL / ENTERPRISE)
Il 12 Maggio 2011, vengono pubblicate nuove “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e il tracciamento delle operazioni bancarie”
Il garante evidenzia le numerose istanze (segnalazioni, reclami, quesiti) che gli sono state rivolte da diversi enti a diverso titolo relative al tema della “circolazione” delle informazioni riferite ai clienti all’interno dei gruppi bancari e alla relativa tracciabilità
12 Maggio 2011 - Garante II - Le prescrizioni
Ambito d’applicazione:
– Banche
– Chi fa parte di gruppi Bancari
– Altre società anche diverse da Banche purché parti di tali
gruppi.
– Poste Italiane
– Da approfondire caso per caso, l’estensione ai “terzi”
che risultano “titolari del trattamento dei dati” bancari .
12 Maggio 2011 - Garante II - Le prescrizioni
Il Garante Prescrive: Misure Necessarie
Designazione dell’outsourcer (misura organizzativa)
Tracciamento delle operazioni
“Devono essere adottate idonee soluzioni informatiche per il controllo
dei trattamenti condotti sui singoli elementi di informazione presenti
sui diversi DB”
Registrazione dettagliata su LOG delle inquiry (retention di
almeno 24 mesi)
• il codice di chi ha fatto l’operazione
• la data e l’ora d’esecuzione
• il codice della postazione di lavoro utilizzata
• il codice del cliente interessato
• il rapporto contrattuale del cliente
12 Maggio 2011 - Garante II - Le prescrizioniINIT consiglia
Il Garante Prescrive: Misure Necessarie
Implementazione di Alert
i. Deve essere prefigurata da parte delle banche l’attivazione di
specifici alert che individuino comportamenti anomali o a
rischio relativi alle operazioni di inquiry
ii. Negli applicativi di business intelligence devono confluire i log
relativi a tutti gli applicativi utilizzati per gli accessi
Audit interno di controllo-Rapporti periodici
i. deve essere svolta una costante e periodica attività di
controllo svolta da chi non opera sui dati ( segregation of
duty)
ii. Verifiche a posteriori su legittimità delle operazioni svolte,
integrità (dei dati) e procedure utilizzate
12 Maggio 2011 - Garante II - Le prescrizioniINIT consiglia
12 Maggio 2011 - Garante II - Le prescrizioni
Acquisizione di log completi relativi all’accesso ai dati
Queste semplice richiesta implica che:
i. Gli applicativi generino i log
ii. Che le soluzioni utilizzate siano in grado acquisirli
iii. Che siano in grado di normalizzarli
iv. Che siano in grado di trasportarli (immodificati)
INIT consiglia
grosso Impatto molte banche devono rivedere le applicazioni o parte di esse
servono soluzioni flessibiliper l’acquisizione dei log
operazione fondamentaleper una efficace allarmisticaI dati li devo poter confrontare
Si devono utilizzare tecnologiein grado di garantire l’immodificabilità dalla sorgentealla destinazione
Generazione di alert quando si identificano comportamenti
anomali
Componente Organizzativa: e’ necessario definire cos’e’ un
comportamento anomalo
Componente Operativa: e’ necessario identificarlo e generare alert
( e organizzare una remediation)
Questa richiesta puo’ essere risolta soltanto con prodotti
che effettuano correlazione dei dati nel tempo come Arcsight su
Log acquisiti dai sistemi e normalizzati
poche Banche dispongono di questa tecnologia
12 Maggio 2011 - Garante II - Le prescrizioniINIT consiglia
Impatto organizztivo,da soglie statiche a dinamiche
Impatto sullapersonalizzazionedella soluzione
Tutti i log di tutti gli applicativi di accesso devono essere
utilizzati
Verifica, reportistica e ricerca post su base dati acquisita
12 Maggio 2011 - Garante II - Le prescrizioniINIT consiglia
Criticita’ sui volumi di dati da storicizzare, Correlare. Importante disporre di unasoluzione che scala con facilita’ e consente di avere semplice governabilita’Della retention dei dati
Necessita’ di avere in-lineagrosse moli di dati non modificabili per molto tempo
12 Maggio 2011 - Garante II - Le prescrizioniINIT consiglia
La Normativa Garante 2011 non ha certamente colto di sorpresa il
mondo Finance, ma sicuramente ha un effetto profondo.
Viene ribadita rafforzata la centralità dei Log come elemento cardine di
tutte le operazioni di Governance
Viene introdotto il concetto di comportamento anomalo (che porta con
se la funzione di correlazione) innovativo per il mercato.
In tanti pensano che questo nuovo paradigma “comportamenti anomali
di chi opera” possa essere esteso a tutte le realta’ che trattano grossi
volumi di dati personali: Assicurazioni, ASL, Ospedali, Comuni, etc. che
hanno gli stessi problemi del mondo Finance.
Si può efficacemente dimostrare che gli strumenti messi a
disposizione da Arcsight consentono una serie di benefici di cui
un’azienda ha bisogno:
“perché non si può governare cio’ che non si puo’ vedere”
Ed i log rappresentano i “sensori” del contesto IT di un’azienda, dei
processi, dell’azienda stessa, quindi sono l’elemento fondamentale
per il suo efficace governo.
Scenari di Mercato: Chi non ha investito
( e dispone di soluzioni fatte in casa) INIT consiglia
Colti i limiti dei prodotti scelti rispetto ad Arcsigh, si possono
semplicemente evidenziare le mancanze in termini di funzioni
base come l’acquisizione di dati, la normalizzazione, la semplice
storicizzazione e la reportistica oltre che evidenziare la
mancanza di funzioni di correlazione e l’impossibilita’ di
evidenziare comportamenti anomali o la flessibilità d’utilizzo
Scenari di Mercato: chi ha investito male
( e dispone di prodotti di mercato ma non Arcsight) INIT consiglia
Chi ha gia’ Arcsight ha certamente presente le problematiche di
dettaglio relative all’acquisizione di Log.
INIT ha sviluppato soluzioni per i temi più delicati che possono
compromettere l’intera struttura di acquisizione:
• Variazione di EPS (*) (possono compromettere la struttura di
acquisizione)
• Controllo dello stato della Singola Log Source
• Variazioni del formato dei log (compromettono normalizzazione e
reportistica)
Scenari di Mercato: chi ha già scelto ArcsightINIT consiglia
(*) EPS = gli Eventi Per Secondo sono il volume di Log generati da un sistema al secondo
che vengono acquisiti dal sistema di collezionamento dei Log
– analisi in real-time
– sviluppo di riferimenti statistici da utilizzarsi come riferimento per le analisi comportamentale
– duttilità nella presentazione di risultati e nella creazionedi dashboard di correlazione (policy di correlazione).
Disponibile come:
Data Center Rackable Appliance Installable Software
Benefit: Massima efficacia nell’evidenziare i log che contano tra i milioni prodotti
ESM / Express: (correlazione)
Domande ?
Sergio Leoni
0289546000