SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi

Transcript

1 SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi Log forensics, data retention ed adeguamento ai principali standard in uso

2 Contenuti SIEM: Definizione e caratteristiche principali Ambiti: Data Collection and Retention Security monitoring Log forensics Normative Compliance 2

3 Definizioni SIM SecurityInformation Management SIM provides reporting and analysis of data primarily from host systems and applications, and secondarily from security devices to support regulatory compliance initiatives, internal threat management and security policy compliance management (Gartner) SEM SecurityEvent Management SEM improves security incident response capabilities. SEM processes near-real-time real data from security devices, network devices and systems to provide real-time event management for security operations (Gartner) SIEM Security Information and Event Management 3

4 È necessario un SIEM in azienda? Per saperlo il management dovrebbe porsi le seguenti domande d Quali sono i sistemi aziendali per monitorare il controllo degli accessi, gli utenti privilegiati, le applicazioni critiche? Con i sistemi disponibili per quanto tempo è possibile conservare i dati? Con i sistemi disponibili in quanto tempo si riescono ad ottenere i dati che servono per fare fronte alle situazioni incontrate? Quali informazioni sono disponibili per eventuali controversie legali? Quali sono i sistemi aziendali per rilevare in tempo reale e in modo proattivo eventuali minacce? Visti gli strumenti ti a disposizione i i riteniamo i che le applicazioni i i e le informazioni critiche siano sufficientemente protette? 4

5 È necessario un SIEM in azienda Il personale operativo dovrebbe porsi le seguenti domande Come avviene la raccolta di informazioni di sicurezza e quali log sono raccolti? Le informazioni sono raccolte da differenti gruppi e dipartimenti? Quali sono gli strumenti disponibili in azienda per la raccolta? L azienda dispone di più strumenti di raccolta specializzati per ambienti e tecnologie o è disponibile un unico strumento? Gli strumenti a disposizione sono adeguati? È possibile monitorare e individuare in tempo reale minacce senza essere sopraffatti da falsi positivi? Quando viene segnalata una minaccia come avviene la ricerca di altre informazioni per meglio qualificarla? È necessario produrre frequenti report di conformità o altri tipo di report? Come verifichiamo la conformità alle politiche aziendali in materia di sicurezza informatica? 5

6 Funzionalità di un SIEM Log Informazioni Di contesto Regole Raccolta Normalizzazione Arricchimento Interfacciamento con varie modalità e protocolli ai sistemi monitorati Archiviazione Formato dati (IP, numeri, date etc.) Exploit, vulnerabilità, risultati VA, informazioni asset, Correlazione Raggruppament o, severità, ià priorità, individuazione criticità, eliminazione i i falsi positivi Output Realtime console, report periodici, allarmi 6

7 Contenuti SIEM: Definizione e caratteristiche principali Ambiti Data Collection and Retention Security monitoring Log forensics Normative Compliance 7

8 Firewall IDS/IPS Router Switch Access point VPN WEB Proxy Directory ACS Server Desktop Mainframe Applicazioni Database Antivirus Antispam Complessità del problema raccolta dei log Sorgenti Metodi raccolta Tipi informazioni Syslog snmp ODBC Sftp rpc Logon, Logoff Accessi a database Accesso a dati critici Accesso a risorse, pagine, file File Upload e download Attività utente Attività di sistema Modifica di privilegi Chiusura di utenze Blocco accessi Transazioni cliente Tentativi di accesso Allarmi IDS Navigazione Sistema 8

9 SIEM per Data collection and retention Sempre più attori in azienda hanno necessità di accedere ad informazioni. Il volume delle informazioni da raccogliere è in continua crescita per ragioni pratiche e normative Sempre più apparati e applicazioni sono coinvolti nella raccolta dei log portando alla generazione di migliaia di eventi per secondo I dati devono essere salvati e resi rapidamente accessibili per periodi di tempo non trascurabili I dati devono essere conservati e trattati nel rispetto delle normative e delle best practices Raccolta Normalizzazione Arricchimento Correlazione Output 9

10 SIEM per il security monitoring Raccogliere e analizzare i log dei dispositivi di rete, degli IDS e delle applicazioni per: Individuare, analizzare e contrastare eventuali situazioni rilevanti per la sicurezza dei sistemi connessi alla rete Essere allertati in tempo reale in caso di situazioni sospette, comportamenti anomali e violazioni di policy Disporre di informazioni per comprendere come sono condotte eventuali attività malevole Correlare le segnalazioni i provenienti dai sistemi i monitorati ti con i risultati ti delle della attività di vulnerability assessment Disporre di una vista d insieme delle informazioni rilevanti per la sicurezza dei sistemi in rete Raccolta Normalizzazione Arricchimento Correlazione Output 10

11 SIEM: security monitoring e supporto al Fraud Management Il fraud management prevede attività di prevenzione, rilevazione, gestione, contrasto, analisi relativamente a frodi effettuabili attraverso sistemi informatici Se un applicazione produce log con elevato contenuto informativo su eventi e transazioni è possibile identificare condizioni di eccezione e generare allarmi. Le capacità di raccolta, arricchimento e correlazione del SIEM possono fornire supporto ai sistemi di fraud management esistenti consentendo la correlazione dei log di applicazioni e apparati. Le informazioni raccolte possono essere utilizzate ai fini forensi e di audit. Raccolta Normalizzazione Arricchimento Correlazione Output 11

12 SIEM e Computer Forensics Aziendale Una definizione di Computer Forensics aziendale è: Attività che consiste nel catturare, processare, preservare e analizzare le informazioni ottenute da un sistema, una rete, un applicazione o altra risorsa informatica Le capacità di archiviazione e la facilità di accesso ai dati raccolti caratteristiche di un SIEM possono essere sfruttate per: accedere da un unico punto ai log di tutti i sistemi interessati dalle indagini recuperare memorizzare e preservare elementi utili come prove ricostruire la sequenza degli eventi e delle attività svolte stabilire bl quale e quando è avvenuto un determinato evento usare la conoscenza acquisita per prevenzione Raccolta Normalizzazione Arricchimento Correlazione Output 12

13 SIEM e la conformità a normative Companies that choose individual solutions for each regulatory challenge they face will spend 10 times more on compliance projects than those that take a proactive approach. Lane Leskela, Gartner SOX GLBA Normativa Vincoli per categoria industriale FISMA JPA PCI HIPAA Requisiti per Security Operations e validazione dei controlli di sicurezza ISO NIST GAISP ITIL CoBit IT Management e Operations IT Best practises 13

14 SIEM e la conformità a normative Le funzionalità di un SIEM sono necessarie per la conformità alle principali normative Il SIEM agevola il monitoraggio della conformità a normative fornendo specifici report prodotti analizzando i log raccolti alla luce dei requisiti delle principali normative generando allarmi automatici di non conformità laddove i dati raccolti evidenziassero tali situazioni Raccolta Normalizzazione Arricchimento Correlazione Output 14

15 Contatti eu 15