Copyright © 2014 Splunk Inc.

Roma – 26 Marzo 2015

Splunk @ HBG Gaming

2

Splunk @ HBG Gaming

Privacy & Security Event Search

Marcello David, Sicurezza e

Compliance IT

Roma, 26 Marzo 2015

3

Agenda

Profilo aziendale

Ruolo ed esperienze

Esigenze

Perché Splunk

Splunk @ HBG Gaming

Dashboard

Sviluppi futuri

Lessons Learned

4

Profilo aziendale HBG Gaming è uno dei più grandi operatori italiani presenti nel panorama del gioco sicuro e legale regolato dall’Agenzia delle Dogane e dei Monopoli; con 660 dipendenti ed oltre 14 anni di esperienza nel settore, offre una gamma completa di prodotti di gioco quali New Slot, Videolottery, Bingo, Scommesse e Giochi Online.

35.000 NEWSLOT GESTITE

11.000 ESERCIZI COMMERCIALI

4.798 VIDEOLOTTERY

470 SALE DA GIOCO

42 NEGOZI DI GIOCO

1 PIATTAFORMA ONLINE

16 SALE BINGO

6.000 POSTI A SEDERE

1 PIATTAFORMA ONLINE

GESTIONE REMOTA

ASSISTENZA DEDICATA

GESTIONE REMOTA

ASSISTENZA DEDICATA

FOOD

EVENTI

CONCORSI

EVENTI SPORTIVI

IPPICA

VIRTUAL BETTING

POKER

CASINO’

BINGO

CARD GAMES

ISO-9001 SERVIZI

5

Ruolo ed esperienze

Assicurare la Compliance dei sistemi IT agli obblighi normativi nazionali (Codice Privacy, D.Lgs. 231/2001, AAMS … )

Definire i requisiti e le policy di sicurezza a mitigazione dei rischi residui

Splunk> CSI: Logfiles.

Tag line preferita Esperienze

Progettare ed esercire le piattaforme centralizzate di sicurezza, trasversali per i servizi di business

Verificare l’efficacia e l’efficienza dei controlli di sicurezza a protezione delle informazioni

6

Esigenze Collezionamento centralizzato e correlazione di eventi di sicurezza generati da fonti dati eterogenee e dislocate in modo distribuito su base geografica

Ottimizzazione delle misure IT a supporto degli obblighi* sugli Amministratori di Sistema:

– Registrazione degli accessi logici (sia ai sistemi che alle postazioni di lavoro)

– Record aventi caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità

– Conservazione per un periodo non inferiore a sei mesi

– Verifica dell'operato degli amministratori di sistema con cadenza almeno annuale

Efficacia ed efficienza nell’analisi delle informazioni collezionate, anche per periodi temporali di lungo termine

Individuazione proattiva degli eventi con potenziale impatto in ambito di sicurezza e generazione dei relativi allarmi

* Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema (G.U. n. 300 del 24/12/08 e succ. modifiche)

7

Perché Splunk Le esigenze precedentemente illustrate sono in genere soddisfatte per mezzo di soluzioni SIEM (Security Incident Event Management), di seguito alcuni esempi high level in merito alle valutazioni effettuate in fase di selezione del prodotto:

Collezionamento e correlazione di eventi

Registrazione a norma degli accessi

logici sui sistemi

Efficacia ed efficienza nell’analisi delle

informazioni

Customizzazione (allarmi, cruscotti di

monitoraggio, …)

Automatico sulle fonti dati supportate, viceversa

manuale e complesso

Inalterabilità e integrità assicurate tramite

cifratura ed hashing

Flessibilità legata alle logiche interne, tempi di

ricerca standard

Richiede pieno know-how sul prodotto, a volte

anche di programmazione

Indicizzazione automatica dei dati,

correlazione semplice

Inalterabilità e integrità assicurate tramite

cifratura ed hashing

Elevata flessibilità di ricerca delle informazioni,

tempi di ricerca rapidi

Rapida e graduale grazie a linguaggio user-friendly

SIEM Tradizionale

Last but not least, il licensing di Splunk basato sul volume di dati/gg consente di limitare i rischi di un’errata progettazione, più complessi da gestire nel caso di logiche basate su eventi/secondo.

8

Splunk Enterprise 6.1 @ HBG Gaming

Indexer Indexer + Search Head Indexer + Backup Search Head

Antivirus Web Server

Application Application Application

Database Database

DHCP DHCP DHCP Active Directory Active Directory Active Directory

File Server

Wi-Fi VPN

Windows Windows Windows Linux Linux Linux

Firewall Firewall Firewall

Syslog Syslog Syslog

A B C

Log F. Metrics Log F. Metrics Log F. Metrics

9

Dashboard “Accessi Amministratori” Consente di monitorare gli accessi logici effettuati dagli Amministratori di Sistema; è stata interamente creata da zero al fine di presentare le informazioni in modo chiaro e completo.

• Funzionalità di filtraggio per:

– Tipologia di evento (logon, logoff,

logon failed, logoff pending)

– Tipologia di accesso (remoto,

locale, cartella di rete, ..)

– Intervallo temporale

– Host di interesse

– Tipologia di destinazione

(Windows, Linux, Database, Rete,

Workstation, Applicazione,

Sicurezza)

– Sito geografico

– Amministratore di Sistema

1

0

Dashboard “Data Source” Consente di monitorare i sistemi che hanno generato variazioni significative rispetto alla media temporale degli eventi e/o che hanno interrotto l’invio di log verso gli indexer.

• Funzionalità:

– Filtraggio per sito geografico

– Filtraggio su base temporale

– Identificazione degli host

– Identificazione dei data source

che hanno causato la varianza

nel periodo di riferimento

– Identificazione dell’ultimo

evento di log ricevuto

1

1

Dashboard “Application Log” Consente di monitorare il volume di accessi giornalieri sui portali aziendali, rilevando eventuali attacchi brute-force sulle password e/o potenziali furti d’identità.

• Funzionalità:

– Filtraggio su base

temporale, geografica ed

applicativa

– Trend degli eventi di logon

riusciti/falliti

– Allarmistica al

superamento della soglia

sul numero di tentativi errati

di accesso

– Individuazione degli

account la cui

geolocalizzazione vari

sensibilmente nell’arco di

1h

1

2

Dashboard “VPN” Consente di monitorare gli accessi effettuati da remoto alla rete aziendale e di produrre una reportistica pro verifica di eventuali accessi anomali (es. accessi notturni non pianificati)

• Funzionalità:

– Filtraggio per tipologia di evento

(logon, logoff, timeout di sessione,

timeout per inattività)

– Filtraggio su base temporale ed

utente

– Rilevamento numerosità di

eventi generati per singolo utente

– Dettaglio accessi effettuati da

remoto (timestamp, utente, IP di

provenienza, tipologia di

dispositivo)

1

3

Dashboard “Firewall” Consente di monitorare l’andamento dei flussi sui firewall, individuando gli IP che insistono maggiormente sugli apparati e la loro geolocalizzazione.

• Funzionalità:

– Monitoraggio real-time dei flussi di

frontiera inbound ed outbound

per sito geografico

– Individuazione della Top 10 IP

generatori di traffico sui firewall

– Geolocalizzazione grafica degli

IP al fine di individuare

rapidamente eventuali tentativi di

connessione anomali in relazione

al traffico atteso di business

14

Sviluppi futuri

• Verticalizzazione del monitoraggio effettuato per singolo applicativo, al fine di rilevare informazioni di sicurezza specifiche in funzione del contesto di business

• Estensione delle regole di correlazione sui dati provenienti da fonti eterogenee, al fine di attuare un sistema di allarmistica intelligente e proattivo in ottica di sicurezza IT

• Creazione di interfacce dedicate in ottica di Incident Management, che a partire dagli allarmi di sicurezza generati consentano di tracciare l’evento e di effettuarne l’analisi e la risoluzione

15

Lessons Learned

Documentare sempre i razionali di ricerca individuati per il monitoraggio di un evento, a distanza di tempo consentirà di effettuarne la manutenzione in modo rapido

Il concatenamento di più ricerche semplici in luogo ad una singola ricerca complessa consente una maggiore flessibilità qualora occorra apportare lievi modifiche in tempi brevi

Oltre a collezionare log dai sistemi, Splunk genera a sua volta log contenenti indicatori sul suo stato di salute: effettuarne il monitoraggio per prevenire imprevisti

Porre attenzione alla corretta configurazione delle transizioni hot/warm/cold, la velocità di ricerca e l’uso dello spazio disco miglioreranno sensibilmente

GRAZIE