Dal log management in ambienti eterogenei al monitoraggio degli accessi privilegiati, soluzioni Balabit per un "controllo rinforzato"

Transcript

1 Dal log management in ambienti eterogenei al monitoraggio degli accessi privilegiati, soluzioni Balabit per un "controllo rinforzato" Milano 14 Marzo, 2011

2 Agenda *Chi siamo *Core Competencies *Problematiche di log-management *Utenti privilegiati e sicurezza interna *Metodiche di controllo *Demo

3 Chi siamo Fondata nel 2000 in Ungheria, BalaBit IT Security è specializzata nello sviluppo di soluzioni per la sicurezza delle reti informatiche aziendali ed è stata pioniera nelle tecnogie di sicurezza proxy e per la gestione del logging all interno delle reti aziendali. La tecnologia open source syslog-ng nata da un progetto BalaBit tuttora supportato è tra gli standard del settore (Debian), ed è ancora oggi alla base della famiglia di prodotti BalaBit per il controllo e la sicurezza delle attività in rete. BalaBit ha 180 dipendenti, 200,000 clienti in tutto il mondo e una rete di 80 tra rivenditori e distributori.

4 Core Competencies * Openness (pianificazione prodotti OSE e Commerciali parallela) * Estremamente focalizzata ( 3 linee di prodotto) * Azienda a trazione tecnologica (70% in R&D) * Sviluppo delle performance di prodotto

5 Benefici del log-management La gestione dei registri logici (Log) é una di quelle incombenze a cui tutte le aziende devono fare fronte, il problema é che poche aziende lo fa fanno bene ed in modo adeguato al raggiungimento dello scopo. Raccogliere e analizzare i Log in modo conveniente e con strumenti appropriati ha un impatto positivo indiverse aree come: *Troubleshooting *Monitoraggio ed ottimizzazione di reti e applicativi *Conformitá e Sicurezza. Ció nonostante L'interesse degli specialisti e dei professionisti delegati alla sicurezza delle informazioni resta basso; spesso le attivitá legate al log-management sono svalutate e l'attenzione limitata alla conformitá alle leggi in materia. Specialmente fra le PMI abbiamo spesso l'impressione che occuparsi dei log sia piuttosto una esigenza inevitabile piuttosto che un'opportunitá di migliorare i propri standard. Tuttavia alcuni Benefici Minimi sono riconosciuti: * Identificano breakdown operativi * Offrono protezione contro le minacce interne * Offrono supporto all'analisi forense

6 Problematiche del log-management Le sfide principali che riguardano la gestione dei log negli ambienti di rete odierni includono sovraccarico, complessità dei dati e i requisiti di conformità. In pratica ogni dispositivo e applicazione genera una quache forma di regstro logico. Questi Log contengono informazioni essenziali e sensibili, ma la comprensione delle informazioni rese disponibili resta una sfida significativa. Il numero di fonti e il volume di informazioni generate rendono la gestione e l' analisi manuale impraticabile. Un'altra sfida è la complessità di questi Log. Ogni sorgente ha una diversa organizzazione, un diverso formato e un contenuto strutturato in modo differente. Questo rende estremamente difficile correlare e analizzare le informazioni provenienti da più fonti. Inoltre, gli standard di conformità in evoluzione richiedono alle aziende di fare un largo uso di informazioni di log da una sempre più ampia gamma di fonti per generare report che siano adeguati agli standard normativi imposti. Questa analisi sempre più esigente di informazioni di log richiede la capacità sempre maggiori di correlare, normalizzare e analizzare le informazioni provenienti da un'ampia gamma di fonti.

7 Trusted Logging Infrastructure Per maggiori informazioni: Syslog-ng Premium Edition Performance - Capacitá di raccolta (150k eventi/sec) - Sorgenti supportate (oltre 20 sorgenti supportate) - Normalizzazione automatica in formato coerente - Analisi e reportistica automatizzata - Alarming e analisi rilevanza eventi Sicurezza - Encrypted TLS transfer - No Log-Loss Guaranteed Facilitá di gestione - Integrazione LDAP - Bassisimo impatto sulle performance di rete - Automazione - Classificazione automatica e customizzabile (Pattern DB) - Scalabilitá (Storage, Power, CPU)

8 Controllo accessi privilegiati Purtoppo, per quanto utile un approccio basato solo sull'analisi dei registri logici resta debole, i motivi: - Il Logging senza una verifica/controllo costante é insufficente - Il Logging non permette la gestione del traffico criptato su canali SSH e RDP - Ricostruire una sessione dai messaggi Syslog é difficoltoso Cosa fare? "Rinforzare" il controllo per quelle categorie di operatori con un elevato grado di autorizzazione (SysAdmin e utenti assimilabili) Perché questi con i loro diritti di accesso e privilegi derivanti dalla loro funzione specifica sono evidentemente piú esposti a rischi di imputabilità nel caso di eventi che contravvengono alle Leggi in materia di Privacy e di CyberCrimes più in generale

9 Controllo accessi privilegiati Qualche dato: Il 48% delle violazioni è stato attribuito a utenti che hanno usato i propri privilegi di accesso alle informazioni per scopi illeciti (dato 2010). Nel 2009 questa percentuale era del 26%. Verizon Data Breach Investigation Report (Dibr) 2010 L'86% di tutti gli attacchi interni sono opera di personale o ex-personale tecnico. CERT FBI report 2010 I criminali informatici scelgono i bersagli in base ad un preciso ROI. E sono anche piuttosto pazienti: nel caso di un importante istituto finanziario hanno studiato per settimane il traffico interno della rete per mappare il network e capire le procedure interne prima di impadronirsi dei dati. Matt Van Der Wel, Manager Principal Forensics Emea di Verizon Business Il Dibr ci da una altro dato ancora piú preoccupante: a quanto pare circa il 60% delle violazioni viene Identificato dopo molto tempo da personale esterno e spsso accade che nonostante ci sia evidenza della violazione dei log di sicurezza, il problema non viene affrontato per mancanza di personale, strumenti o processi ad hoc. Verizon Data Breach Investigation Report

10 Quando questo puó diventare un problema? Quando si manifesta l esigenza di un maggior controllo? Garante privacy, magistratura Sarbanes-Oxley Act (SOX) BS 7799 (ISO/IEC 17799:2005) HIPAA Basel II EU 8. Directive (EuroSOX) Nel caso in cui l azienda abbia dato in outsourcing la gestione del suo IT Nel caso in cui l azienda abbia predisposto una policy di audit interni Nel caso di IT Service Provider Adozione di soluzioni Cloud-based

11 Approntare le difese Limitare ma sopratutto monitorare gli accessi privilegiati Come visto il dato degli attacchi interni e' forte crescita Controllare anche le violazioni 'minori' delle policy Legame tra violazioni minori e possibilitá di attachi futuri Monitorare e analizzare il traffico in uscita Conoscere il traffico regolare aiuta a indentificare anomalie e violazioni Cambiare approccio al log-management Predisporre strumenti processi e risorse per sfruttare al meglio i dati contenuti nei registri 11

12 Strumenti: Shell Control Box Per P maggiori informazioni: *SCB è un dispositivo che controlla, monitora e verifica gli accessi dell Amministratore ai Servers e dispositivi di rete, registrandone l'attivitá In audit trails *SCB è conforme alle normative: PCI- DSS, SOX, HIPAA, Basel II *SCB cattura e memorizza tutti i processi dell AdS in Audit Trails indicizzati e in forma criptata, compressa, marcata temporalmente e con firma digitale *I due flussi di traffico, client -> server e viceversa, possono essere separati e criptati con differenti chiavi. *Inoltre SCB può decriptare il traffico e inoltrarlo quindi ad un Intrusion Detection System (IDS) SCB è un dispositivo a sè, completamente indipendente sia dai servers che dai clients e basa la sua azione di controllo agendo sulle connessioni criptate usate dall AdS. 12

13 Strumenti: Shell Control Box Per maggiori informazioni: SCB è capace di rilevare ed analizzare i protocolli tunneled in SSH. La lista dei files trasferiti e catturati da tali flussi può anche essere inviata ad un Data Leakage Prevention (DLP) system. La lista dei protocolli monitorabili è: SSH, RDP5, RDP6 (Windows Vista e 2008 server), VNC, X11, Telnet, e TN3270. (SCB opera come proxy gateway a layer 7) Con SCB si può decidere chi, quando, come e da dove può accedere ai servers, quali canali abilitare/disabilitare (es: SSH port forwarding; RDP file sharing; etc.) SCB può verificare le host Keys ed i certificati di un server per prevenire attacchi di tipo man-in-themiddle o altre manipolazioni. Per semplificare l integrazione con ambienti dotati di firewall, SCB supporta le traslazioni di indirizzo sia per sorgente che destinazione (SNAT e DNAT) 13

14 Scenari di utilizzo Per maggiori informazioni: 14

15 Modalitá Bridge Per maggiori informazioni: * SCB agisce come un network switch * Collega le reti a livello data link * Utile per gli amministratori esterni ( dainternet) 15

16 Modalitá Router Per maggiori informazioni: * SCB agisce come un router * Collega le reti a livello network layer * Utile per reti point to point 16

17 Modalitá Bastion Per maggiori informazioni: * SCB agisce come un proxy * I firewall o I router devono impedire l accesso ai server diretto e riderezionare il traffico verso SCB * Oppure I client puntano diretti a SCB * Utile per reti interne 17

18 Autenticazione Per maggiori informazioni: * Aggiunge uno step AAA * La sessione passa solo se autenticato su SCB * Log dell utente su SCB e dell utente sul Server 18

19 Demo 19