SIEM: un fenomeno tecnologico di serendipity -lo strumento IBM Qradar

Alessandro RaniIT Development Manager

2

L'evoluzione delle minacce informatiche

Dal Rapporto Clusit 2015(Associazione Italiana per la Sicurezza Informatica)

In questa fase storica la SUPERFICIE DI ATTACCO complessivamente esposta dalla nostra civiltà digitale CRESCE PIÙ VELOCEMENTE DELLA NOSTRA CAPACITÀ DIPROTEGGERLA.

I difensori non riescono ad essere abbastanza efficaci: come spiegare altrimenti il fatto che, a fronte di CRESCENTI INVESTIMENTI IN SICUREZZA INFORMATICA , (saliti globalmente dell’8% nel 2014, nonostante il perdurare della crisi economica), IL NUMERO E LA GRAVITÀ DEGLI ATTACCHI CONTINUINO AD AUMENTARE, in un

contesto nel quale, per altro,

SI STIMA CHE 2/3 DEGLI INCIDENTI NON VENGANO NEMMENO RILEVATI DALLE VITTIME!

3

L'evoluzione delle minacce informatiche

Ci si trova di fronte ad una svolta, un passaggio epocale nella pur breve storia dell’ICT, ovvero il momento in cui, per tutte le diverse tipologie di soggetti interessati (cittadini,

aziende, istituzioni, Governi)

IL RISCHIO TEORICO DI ESSERE COLPITI DA UN ATTACCO INFORMATICO DI QUALCHE GENERE È DIVENTATO IN PRATICA, NEL BREVE-MEDIO TERMINE, UNA CERTEZZA!

4

L'evoluzione delle minacce informatiche

Dal Rapporto Clusit 2016

Oltre la metà dei casi gravi di attacco informatico registrati l’anno scorso sono stati di livello banale e hanno sfruttato vulnerabilità note!

Nonostante la percezione e l’attenzione nei confronti del CYBERCRIME siano aumentati, le CAPACITÀ DI DIFESA non sono migliorate, o meglio, non è aumentato il livello culturale delle vittime in termini di sicurezza ICT!

Il MODELLO di SICUREZZA oggi più diffuso, in pratica il medesimo da anni, è di tipo REATTIVO ed agisce quindi solo dopo che l’incidente si è verificato!

5

SIEM – Security Information and Event Management!

Che cosa si intende per SIEM?

SIEM è l’acronimo di “Security Information and Event Management” , tradotto in

SISTEMA DI GESTIONE DELLE INFORMAZIONI E DEGLI EVENTI DI SICUREZZA e definisce un prodotto costituito da software e/o servizi che unisce le capacità di:

“Security Information Management” (SIM)+

“Security Event Management” (SEM)

il termine è stato coniato da Amrit Williams e Mark Nicolett nel 2005, quando entrambi lavoravano per Gartner.

SIM si occupa della parte di “LOG MANAGEMENT”, di attività di analisi e della produzione di report per aderire ad esempio norme di compliance.

Un SEM si occupa del MONITORAGGIO IN REAL-TIME DEGLI EVENTI, dell’INCIDENT MANAGEMENT in ambito security, per quanto riguarda eventi che accadono sulla rete, sui

dispositivi di sicurezza, sui sistemi o le applicazioni.

6

Incident & Asset, di cosa parliamo?

Information Security IncidentSono definiti come EVENTI NEGATIVI che possono compromettere alcuni aspetti di sistemi di computer, reti o di sicurezza. Possono ad esempio essere violazioni delle policy di sicurezza aziendali, la trasgressione ad alcune leggi, o più in generale un QUALSIASI EVENTO CHE MINACCI LA STABILITÀ DI UN SISTEMA!

AssetAsset (ITILv3): Ogni risorsa o abilità. Gli asset di un servce provider comprendono ogni cosa che potrebbe contribuire all’erogazione di un servizio. Gli asset possono di diversi tipi: management, organizzazione, processo, conoscenza, persone, informazioni, applicazioni, infrastruttura o capitale finanziario.

Asset (ITILv2): Un asset è pensato come un elemento contro cui le minacce e le vulnerabilità sono identificati e calcolati al fine di effettuare una valutazione dei rischi.

7

SIEM… perché dovremmo dotarcene?

Nella sua accezione di componente del perimetro di sicurezza in ambito IT, il SIEM svolge una serie di compiti e funzioni che vanno nello specifico a rispondere ad una necessità specifica, ossia:

La visibilità totale, in tempo reale, di quanto accade, accadrà o è accaduto all’ interno di un sistema IT.

Le domande che dobbiamo porci sono:

• Come giudichiamo l’ attuale livello di visibilità della nostra infrastruttura di sicurezza IT? • Qual è l’ approccio attuale per rilevare le minacce più o meno avanzate sulla rete?

8

SIEM, quali funzioni svolge?

1. Collezione: raccolta LOG ed Eventi da svariati tipologie di fonti, sistemi, dispositivi, applicazione

2. Aggregazione: i dati raccolti vengono combinati opportunamente in un unico data store facilitando così le successive operazioni sui dati.

3. Normalizzazione: la normalizzazione è un processo fondamentale, che si occupa di trasformare le differenti rappresentazioni delle informazioni ricevute, in una forma univoca, normalizzata e rappresentata in maniera comprensibile.

4. Correlazione: altro processo della massima importanza, vero valore del sistema, ossia la capacità di collegare tra loro le informazioni ricevute dai sistemi più disparati, confrontarle con regole predefinite o create ad hoc secondo policy, per andare poi a segnalare la presenza o meno di Incidenti (od Offenses)

5. Segnalazione: definita anche alerting, è quella funzione che in combinazione con la correlazione si occupa di avvisare di minacce o incidenti in atto, sulla base di soglie o regole definite.

6. Reportistica: elemento fondamentale, soprattutto in ambito di IT Governance e di compliance, oltre che di analisi.

7. Analisi Forense: quella componente a supporto delle azioni “investigative” di analisti di sicurezza, che richiede capacità di query avanzate, accesso drill down ai log grezzi e a dati archiviati.

9

Le risposte di un SIEM

Convergere le informazioni di rete e di security generati da numerosi apparati multi-vendor in un unico framework integrato, fornendo un set di Network Security Management services

Gestire le Minacce: Chi, Cosa, Dove, Quando, Come? Stato della vulnerabilità, valore dell’asset, minacce attive storia degli attacchi precedenti, aiutano a fornire ai security team i dati che gli occorrono per agire dovunque si trovino.

10

IBM Security: Threat Intelligence and Behavioral Analytics

Threat Intelligence and Behavioral Analytics

11

IBM Security Intelligence

L’approccio della Security Intelligence

Una visibilità completa sulle attività di utenti, dati, applicazioni ed infrastruttura,fornendo alle Aziende le informazioni su minacce potenziali ed esistenti

12

IBM QRadar Security Intelligence Platform

IBM QRadar è la piattaforma al centro della Security Intelligence IBM

Il Portfolio della piattaforma QRadar integraSIEMLog ManagementAnomaly DetectionVulnerability ManagementRisk ManagementIncident ForensicsIncident Response

In una soluzione unificata, altamente scalabile, real time che fornisce un livellosuperiore di rilevazione delle minacce, semplicità d’uso, performance!

13

IBM QRadar Key Features and Benefits

• Supporta requisiti quali Payment Card Industry Data Security Standard (PCI DSS), Health Insurance Portability and Accountability Act (HIPAA), Gramm-Leach-Bliley Act (GLBA), North American Electric Reliability Corporation (NERC), Federal Energy Regulatory Commission (FERC), Sarbanes–Oxley (SOX), ISO 27001 e altri.

• La conformità con i decreti che si riferiscono al Garante della Privacy

• Un'unica soluzione per la sicurezza delle informazioni e gestione degli eventi ( SIEM ), rilevamento delle anomalie , gestione dei log , la gestione delle vulnerabilità, la gestione del rischio , incident forensics e la risposta agli incidenti.

• Utilizzo in tempo reale correlazione e rilevamento comportamentale delle anomalie per identificare le minacce avanzate

14

IBM QRadar Key Features and Benefits

QRadar risponde nello specifico a queste domande

• Cosa viene attaccato?• Qual è l’impatto di sicurezza?• Chi ci attacca?• Su cosa dobbiamo concentrarci?• Quando avvengono gli attacchi?• L’attacco penetra il sistema?• Si tratta di un falso positivo?

15

QRadar Event collection and processing

Log Sources typically send syslog messages, but they can use other protocols also

Event Collectors receive raw events as log messages from a wide variety of external log sources

Device Support Modules (DSMs) in the event collectors parse and normalize raw events; raw log messages remain intact

Event Processors receive the normalized events and raw events to analyze and store them

Data Nodes (not pictured) provide additional storage for event and flow data

Magistrate correlates data from event processors and creates offenses

Magistrate(Console)

Event/LogSources

EventProcessors

EventCollectors

16

IBM QRadar Security Intelligence Platform

17

IBM QRadar console unificata e scalabile

18

IBM QRadar Portfolio Overview

QRadar Log Manager• Turnkey log management for SMB and Enterprises• Upgradeable to enterprise SIEM

QRadar SIEM• Integrated log, flow, threat, compliance mgmt• Asset profiling and flow analytics• Offense management and workflow

Network Activity Collectors (QFlow)• Network analytics, behavior and anomaly detection• Layer 7 application monitoring

QRadar Risk Manager• Predictive threat modeling & simulation• Scalable configuration monitoring and audit• Advanced threat and impact analysis

QRadar Vulnerability Manager• Integrated Network Scanning & Workflow• Leverage SIEM, Threat, Risk to prioritize vulnerabilities

QRadar Incident Forensics• Reconstruct raw network packets to original format• Determine root cause of security incidents and help prevent recurrences

19

IBM QRadar Portfolio Overview

Network and Application Visibility

• Layer 7 application monitoring• Content capture for deep insight & forensics• Physical and virtual environments

• Log, flow, vulnerability & identity correlation• Sophisticated asset profiling• Offense management and workflow

SIEM

• Turn-key log management and reporting• SME to Enterprise• Upgradeable to enterprise SIEM

Log Management

Scalability• Event Processors for remote site• High Availability & Disaster Recovery• Data Node to increase storage & performance

• Network security configuration monitoring• Vulnerability scanning & prioritization• Predictive threat modeling & simulation

Risk & Vulnerability Management

Network Forensics• Reconstructs network sessions from PCAPs• Data pivoting and visualization tools• Accelerated clarity around who, what, when

Incident Forensics

20

QRadar Log Manager vs Qradar SIEM

Raccoglie i dati da una vasta gamma di dispositivi di rete e di sicurezza, inclusi router e switch, firewall, virtual private network (VPN), intrusion detection/prevention systems(IDS/IPS),applicazioni antivirus, host e server, database, applicazioni e-mail e web, dispositivi personalizzati e applicazioni proprietarie.

Inputs to QRadar

Log Sources– AutoDiscovered:

.

22

QRadar SIEM Network Flow Visibility

• Interpreta flussi NetFlow, IPFIX, sFlow, Jflow, Packeteer• Consente di rilevare gli attacchi zero-day che non hanno firma• Consente il monitoraggio delle politiche e l'identificazione del server canaglia (rogue)• Fornisce visibilità in tutte le comunicazioni attaccante • Utilizza il monitoraggio passivo di costruire i profili di attività e classificare gli host• Migliora la visibilità della rete e aiuta a risolvere i problemi di traffico

23

Offenses investigation

Un icona ROSSAindica la presenza di un Offense

24

QRadar use cases… per chi volesse approfondire

http://www.ibm.com/developerworks/library/se-qradar-manage-offenses/

Offense 1025 - XForce: Connection to a known malware site is detectedOffense 885 - Distributed Denial of Service attack detectedOffense 953 - Authentication attempt by unauthorized userOffense 911 - Potential data lossOffense 995 - Potential data lossOffense 929 - Potentially successful exploitOffense 916 - Traffic from untrusted network to trusted networkOffense 938 - Sensitive in transitOffense 906 - OS attackOffense 901 - Assess devices that allow banned protocols from the InternetOffense 898 - Compliance: Detect assets using out-of-policy protocols within

regulatory networks

25

IBM QRadar, Reporting

• All collected information is available for reports• Over a thousand of report templates are available• With the report wizard, you can create new templates and change existing templates

26

IBM QRadar, modello architetturale on premise All in One

27

IBM QRadar, modello architetturale on premise Distribuito

28

IBM QRadar, modello architetturale SaaS

29

Last but not Least… IBM QRadar per Gartner

IBM QRadar posizionato nuovamente come Leader nel Gartner Magic Quadrant

• QRadar provides an integrated view of log and event data, with network flow and packets, vulnerability and asset data, and threat intelligence.• Customer feedback indicates that the technology is relatively straightforward to deploy and maintain in both modest and large environments.• QRadar provides behavior analysis capabilities for NetFlow and log events.• The average of IBM reference customers satisfaction scores for scalability and performance, effectiveness of predefined correlation rules, report creation, ad hoc queries, product quality and stability, and technical support is higher than the average scores for all reference customers in those areas.

Grazie per l’attenzione!

www.vmsistemi.it

VM SISTEMI SpA Faenza: Via R. Ossani, 18 - 48018 - Faenza (RA) - Tel 0546 689511 – Fax 0546 689591Milano: Via L. Tolstoj 86 - Scala H - 20089 San Giuliano Milanese (MI) – Tel 02 57506417Roma: Via Troilo il Grande, 3 – 00131 Roma – Tel 06 41294278www.vmsistemi.it – vm@vmsistemi.it

Alessandro Rani

IT Development Manager

Email: arani@vmsistemi.itLinkedin: it.linkedin.com/in/alessandrorani