SIEM visione complessiva

SIEM questo sconosciuto....

di cui tutti parlano

System/Security Information & Event Management(da prima delle norme “Garante Privacy” ad oggi)

Sergio Leoni

[email protected]

Proprietà di Uniteam Init s.r.l. - Tutti i diritti riservati - Riproduzione vietata

Le immagini riportate sono esempi di mercato reperibili in rete.

Contesto

Il contesto e’ l’IT che rappresenta sempre di più

il substrato su cui si appoggiano vari processi di

business aziendali

Con il temine SIEM si vogliono indicare le

soluzioni che collezionano eventi provenienti dal

contesto IT, li storicizzano, li analizzano e li

normalizzano per svariati scopi (security,

compliance, governance etc).

Cos’e’ un SIEM ?

Fino a 5 anni fa solo le grandi aziende o le

banche collezionavano eventi al fine di

compliance normativi perché obbligate a farlo.

(strumenti antiquati, in genere servizi molto

costosi, raramente veniva fatto un controllo

dell’effettiva completezza dei log acquisiti etc..)

Anni 2005 e dintorni

Le attività di analisi venivano fatte prevalentemente

“post mortem” (a valle di un incident)

Nessuna sensibilità alle tematiche di Governance

che quest’attivita’ consente di poter mettere in

campo.

Nessuna sensibilità alla possibilità di poter evolvere

verso strumenti in grado di rilevare comportamenti

anomali e quindi anticipare problemi.

Anni 2005 e dintorni

6NetworkDevices

ServersMobile DesktopSecurityDevices

PhysicalAccess

AppsDatabasesIdentitySources

Email

Milioni di eventi generati quotidianamente

Punti di raccolta e analisi distinti

Impossiible valutare problematiche di sicurezza e rischio

Impossibile prevedere comportamenti anomali o frodi

Contesto IT senza SIEM

7

NetworkDevices

ServersMobile DesktopSecurityDevices

PhysicalAccess

AppsDatabasesIdentitySources

Email

Gli eventi prodotti vengono normalizzati, resi confrontabili e storicizzati

Risulta possibile generare report, allarmi e consentire la ricerca di eventi cross-platform

Contesto IT che adotta soluzioni SIEM

Il Garante della Privacy il 27 novembre 2008 viste le

cospicue interrogazioni a lui fatte e i molteplici eventi in

termini di divulgazioni di informazioni personali, per la

prima volta, emana direttive che riguardano i log di

accesso ai dati:

soggetti coinvolti:

UN PASSO IMPORTANTE

TUTTE LE AZIENDE(PAC / PAL / MIL / ENTERPRISE / SME)

Scelta Amministratori (responsabilizzazione)

Registrazione su log completi ed immodificabili degli accessi ai sistemi ed agli archivi

Prescrizioni:

• Cosa fanno gli amministratori? E gli utenti normali?

• Solo gli amministratori sono problematici?

• Quante informazioni ottengo dai Log ?

• Di quanti log ho bisogno ?

• Di quali Log ho bisogno?

• Da quali piattaforme?

etc.. etc …

Garante I : la crescente consapevolezza dello strumento

Aumenta la cultura sulla tema Log

• Su alcune Aziende nessuno (hanno trovato il metodo meno costoso per porre una “toppa” alla richiesta normativa) non colgono “il tema”

• Su altre,ha creato cultura su questa nuova possibilità di Governance e controllo

• Ha posto l’attenzione su elementi prima ignorati dai più, evidenziando il loro enorme valore per una corretta gestione delle problematiche IT aziendali ed in senso più esteso dei processi di business che su di loro si poggiano.

Garante I : EFFETTO sulle Aziende?

• Prodotti fatti in casa (si trova di tutto)

• Solo dischi per tenere i dati

(dischi non modificabili Clarion)

• Prodotti di mercato

INIT consiglia

leader vero di questo mercato

In fortissima espansione.

OGGI: da un punto di vista tecnologico

SME ed alcune grandi aziende hanno affrontato il problema

dal solo punto di vista normativo (con soluzioni fatte in casa,

soluzioni custom, soluzioni con batterie di dischi non

modificabili (Clarion) etc etc..

OGGI: C’e’ molto spazio per fare business

Una ghiotta opportunità per evidenziare gli aspetti non rilevati dalle aziende, proponendo soluzioni e progetti che consentono di:

Anticipare e prevedere i problemi ITRidurre costi dovuti alle multipiattaformeAumentare il controllo sull’IT e su tutto ciò che sull’IT si basa (Applicazioni, processi di business aziendali, processi di produzione).

Poche aziende (molto grandi per lo più Banche), sensibili

alle normative, investono e capiscono che oltre a soddisfare

la normativa Garante I, si e’ in grado di acquisire,

normalizzare, generare report ed allarmi, di avere quindi

strumenti nuovi per un problema in forte crescita: La

Governance Complessiva

OGGI: C’e’ molto spazio per fare business

Proporre nuovi strumenti che consentono di poter sfruttare i log acquisiti per identificare comportamenti anomali, prevedere ed anticipare allarmi, rilevare minacce zero-day (*) rilevare frodi, etc.. etc..

Crescita dal contesto IT ai processi di business aziendali (con gli stessi vantaggi)

(*) tutti quegli attacchi non gestibili con i metodi tradizionali basati sul riconoscimento attraverso pattern

STRUMENTI DI CORRELAZIONE DEI DATI

Processo di Business aziendale

RegoleUtenti

Applicazioni

Strato IT

FISSIAMO ALCUNI CONCETTI

LogPortals

I diversi processi di business e come questi interagiscono, definiscono come l’azienda, nel suo complesso persegueil suo obiettivo

LOG

Generico processo di Business Aziendale

L’allarmistica e’ la rilevazione nel momento in cui si fa il controllo di

un valore, del superamento di una soglia o di un insieme di dati

(anche di tipo diverso) - effettuato il rilevamento viene emesso un

allarme l’allarme

Ex.

C’e’ fumo allarme

Sito web fermo allarme

acqua alta, diga piena, pioggia in atto allarme

Il valore da considerare e’ SOLO quello al momento della

rilevazione.

Differenza tra ALLARMISTICA e CORRELAZIONE


Nella correlazione, la rilevazione di dati per emettere un allarme

avviene considerando anche gli eventi passati.

Ex

Se e’ la decima volta oggi che un utente usa una porta d’emergenza

Se il carico del server e’ maggiore del 20% della media degli ultimi giorni

Se oggi (che e’ giovedi’) il comportamento di un operatore varia per piu’ del 30% rispetto a tutti i

giovedi’ passati

Se qualcuno accede al 40% dei file in più rispetto al solito

etc. etc.

Tutte queste analisi sono effettuate considerando un intervallotemporale che va anche significativamente nel passato per decidere se una serie di eventi corrisponde ad un aventoanomalo o e’ da considerare un andamento consueto.


Differenza tra ALLARMISTICA e CORRELAZIONE

Hanno il problema di anticipare le anomalie piuttosto che gestirle (aumentano i costi, spesso la gestione non risolve completamente l’evento accaduto)

Gli strumenti attuali non consentono di risolvere se non puntualmente (non ho una visione complessiva)

La gestione delle applicazioni e’ fatta a semafori

Non ho elementi storici o comportamentali negli strumenti attuali

CHI HA BISOGNO DI QUESTE SOLUZIONI?

TUTTE LE AZIENDE(PAC / PAL / MIL / ENTERPRISE)

Il 12 Maggio 2011, vengono pubblicate nuove “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e il tracciamento delle operazioni bancarie”

Il garante evidenzia le numerose istanze (segnalazioni, reclami, quesiti) che gli sono state rivolte da diversi enti a diverso titolo relative al tema della “circolazione” delle informazioni riferite ai clienti all’interno dei gruppi bancari e alla relativa tracciabilità

12 Maggio 2011 - Garante II - Le prescrizioni

Ambito d’applicazione:

– Banche

– Chi fa parte di gruppi Bancari

– Altre società anche diverse da Banche purché parti di tali

gruppi.

– Poste Italiane

– Da approfondire caso per caso, l’estensione ai “terzi”

che risultano “titolari del trattamento dei dati” bancari .


Il Garante Prescrive: Misure Necessarie

Designazione dell’outsourcer (misura organizzativa)

Tracciamento delle operazioni

“Devono essere adottate idonee soluzioni informatiche per il controllo

dei trattamenti condotti sui singoli elementi di informazione presenti

sui diversi DB”

Registrazione dettagliata su LOG delle inquiry (retention di

almeno 24 mesi)

• il codice di chi ha fatto l’operazione

• la data e l’ora d’esecuzione

• il codice della postazione di lavoro utilizzata

• il codice del cliente interessato

• il rapporto contrattuale del cliente

12 Maggio 2011 - Garante II - Le prescrizioniINIT consiglia

Il Garante Prescrive: Misure Necessarie

Implementazione di Alert

i. Deve essere prefigurata da parte delle banche l’attivazione di

specifici alert che individuino comportamenti anomali o a

rischio relativi alle operazioni di inquiry

ii. Negli applicativi di business intelligence devono confluire i log

relativi a tutti gli applicativi utilizzati per gli accessi

Audit interno di controllo-Rapporti periodici

i. deve essere svolta una costante e periodica attività di

controllo svolta da chi non opera sui dati ( segregation of

duty)

ii. Verifiche a posteriori su legittimità delle operazioni svolte,

integrità (dei dati) e procedure utilizzate



Acquisizione di log completi relativi all’accesso ai dati

Queste semplice richiesta implica che:

i. Gli applicativi generino i log

ii. Che le soluzioni utilizzate siano in grado acquisirli

iii. Che siano in grado di normalizzarli

iv. Che siano in grado di trasportarli (immodificati)

INIT consiglia

grosso Impatto molte banche devono rivedere le applicazioni o parte di esse

servono soluzioni flessibiliper l’acquisizione dei log

operazione fondamentaleper una efficace allarmisticaI dati li devo poter confrontare

Si devono utilizzare tecnologiein grado di garantire l’immodificabilità dalla sorgentealla destinazione

Generazione di alert quando si identificano comportamenti

anomali

Componente Organizzativa: e’ necessario definire cos’e’ un

comportamento anomalo

Componente Operativa: e’ necessario identificarlo e generare alert

( e organizzare una remediation)

Questa richiesta puo’ essere risolta soltanto con prodotti

che effettuano correlazione dei dati nel tempo come Arcsight su

Log acquisiti dai sistemi e normalizzati

poche Banche dispongono di questa tecnologia


Impatto organizztivo,da soglie statiche a dinamiche

Impatto sullapersonalizzazionedella soluzione

Tutti i log di tutti gli applicativi di accesso devono essere

utilizzati

Verifica, reportistica e ricerca post su base dati acquisita


Criticita’ sui volumi di dati da storicizzare, Correlare. Importante disporre di unasoluzione che scala con facilita’ e consente di avere semplice governabilita’Della retention dei dati

Necessita’ di avere in-lineagrosse moli di dati non modificabili per molto tempo


La Normativa Garante 2011 non ha certamente colto di sorpresa il

mondo Finance, ma sicuramente ha un effetto profondo.

Viene ribadita rafforzata la centralità dei Log come elemento cardine di

tutte le operazioni di Governance

Viene introdotto il concetto di comportamento anomalo (che porta con

se la funzione di correlazione) innovativo per il mercato.

In tanti pensano che questo nuovo paradigma “comportamenti anomali

di chi opera” possa essere esteso a tutte le realta’ che trattano grossi

volumi di dati personali: Assicurazioni, ASL, Ospedali, Comuni, etc. che

hanno gli stessi problemi del mondo Finance.

Si può efficacemente dimostrare che gli strumenti messi a

disposizione da Arcsight consentono una serie di benefici di cui

un’azienda ha bisogno:

“perché non si può governare cio’ che non si puo’ vedere”

Ed i log rappresentano i “sensori” del contesto IT di un’azienda, dei

processi, dell’azienda stessa, quindi sono l’elemento fondamentale

per il suo efficace governo.

Scenari di Mercato: Chi non ha investito

( e dispone di soluzioni fatte in casa) INIT consiglia

Colti i limiti dei prodotti scelti rispetto ad Arcsigh, si possono

semplicemente evidenziare le mancanze in termini di funzioni

base come l’acquisizione di dati, la normalizzazione, la semplice

storicizzazione e la reportistica oltre che evidenziare la

mancanza di funzioni di correlazione e l’impossibilita’ di

evidenziare comportamenti anomali o la flessibilità d’utilizzo

Scenari di Mercato: chi ha investito male

( e dispone di prodotti di mercato ma non Arcsight) INIT consiglia

Chi ha gia’ Arcsight ha certamente presente le problematiche di

dettaglio relative all’acquisizione di Log.

INIT ha sviluppato soluzioni per i temi più delicati che possono

compromettere l’intera struttura di acquisizione:

• Variazione di EPS (*) (possono compromettere la struttura di

acquisizione)

• Controllo dello stato della Singola Log Source

• Variazioni del formato dei log (compromettono normalizzazione e

reportistica)

Scenari di Mercato: chi ha già scelto ArcsightINIT consiglia

(*) EPS = gli Eventi Per Secondo sono il volume di Log generati da un sistema al secondo

che vengono acquisiti dal sistema di collezionamento dei Log

– analisi in real-time

– sviluppo di riferimenti statistici da utilizzarsi come riferimento per le analisi comportamentale

– duttilità nella presentazione di risultati e nella creazionedi dashboard di correlazione (policy di correlazione).

Disponibile come:

Data Center Rackable Appliance Installable Software

Benefit: Massima efficacia nell’evidenziare i log che contano tra i milioni prodotti

ESM / Express: (correlazione)

Domande ?

Sergio Leoni

[email protected]

0289546000

SIEM visione complessiva

Technology

Transcript of SIEM visione complessiva