Giovanni Abbadessa Security Architect. IBM Security. Intelligence, Integration and Expertise IBM Corporation

Transcript

1 Giovanni Abbadessa Security Architect IBM Security Intelligence, Integration and Expertise

2 Targeted Attacks Shake Businesses and Governments 2 IBM Security X-Force 2011 Trend and Risk Report September 2011

3 Le organizzazioni hanno bisogno di una visione intelligente della loro condizione di sicurezza Security Intelligence Automated Optimized Proficient Proficient Optimized Le organizzazioni utilizzano sistemi di security analytics predittivi e automatici per arrivare allasecurity intelligence Basic Le organizzazioni utilizzano protezione perimetrale, per il controllo degli accessi e report manuali Manual Basic Reactive Proactive Proficient Lasicurezza è inglobata all interno dell IT fabric e business operations 3

4 Security Systems Evoluzione dei Prodotti La sicurezza si sposterà da un approccio che punta ai prodotti verso un approccio Integrato con i processi di business aziendale, basato su elementi chiave fondamentali Che permettano una gestiona proattiva, informazioni in real time, correlazione analitica e gestione predittiva delle minacce Security Domains Today Tomorrow People Deploy role-based governance Manage identities per application and privileged user management Data Deploy access control and encryption Monitor usage and control leakage Applications Scan for vulnerabilities Build securely from day one Infrastructure Security Gap Block unwanted network access Execute real time advanced threat detection and viruses and forensics Apply advanced correlation and deep analytics 4 Reactive Proactive

5 Security Intelligence è il processo abilitante per il raggiungimento della sicurezza che abbia la massima efficacia ed efficenza Security Intelligence Security Intelligence: Information and event management Advanced correlation and deep analytics External threat research Optimized Role based analytics Identity governance Privileged user controls Data flow analytics Data governance Secure app engineering processes Fraud detection Advanced network monitoring Forensics / data mining Secure systems Proficient User provisioning Access mgmt Strong authentication Access monitoring Data loss prevention Application firewall Source code scanning Virtualization security Asset mgmt Endpoint / network security management Basic Centralized directory Encryption Access control Application scanning Perimeter security Anti-virus People Data Applications Infrastructure 5

6 L IBM Security Framework Invece di utilizzare un approccio tecnocentrico l IBM Security Framework propone un approccio dove i requisiti di sicurezza sono stabiliti in base agli obiettivi dell azienda o dell amministrazione.. Lo scopo è quello di erogare servizi sicuri by-design, partendo dai requisiti di business e mappandoli sui domini di sicurezza IT Invece di cercare di proteggersi contro ogni possibile minaccia è essenziale comprendere e prioritizzare i rischi di sicurezza e le attività di gestione più consone Il Security Framework IBM chiude il gap comunicativo tra gli aspetti di business e quelli tecnologici della sicurezza L IBM Security Framework è agnostico dal punto di vista delle tecnologie e dei vendor 6

7 Il posizionamento dell IBM Security Blueprint 7

8 IBM Security Blueprint L IBM Security Blueprint descrive le capacità che bisogna avere sia in termini di infrastruttura di sicurezza IT che di servizi di sicurezza Il blueprint utilizza un approccio vendor-neutral per definire le funzioni e i servizi necessari ad Indirizzare le domande i sicurezza espresse dall IBMFramework L IBM Security Blueprint insieme al framework e all IC è lo strumento che permette di disegnare l architettura di riferimento per la sicurezza con un approccio standard e ottimizzato Tale approccio permette di avere un sistema consistente, efficiente e più economico da gestire 8 Source

9 Il sistema dei componenti fondamentali della sicurezza e le loro relazioni 9

10 Le metodologie IBM di supporto alla progettazione/realizzazione/gestione dei progetti di sicurezza Per ottenere la massima qualità nella realizzazione dei propri progetti l IBM adotta delle metodologie e dei tools che aiutano i propri professionals nella produzione di deliverables che incontrino le necessità dei clienti. Nell ambito specifico della sicurezza si ha: La metodologia MASS 1 Method for Architecting Security Solutions (2001) Il Security Framework 2 e il Security Blueprint IBM adotta la metodologia Unified Method Framework che consiste di cataloghi specializzati per i differenti tipi di engagement PRM-IT è il modello sviluppato a partire da ITIL, COBIT e le best practices IBM per la gestione del service management. ITUP è il tool che a partire dal modello PRM-IT fornisce la rappresentazione grafica dei processi di gestione IT Infine sono disponibili dei database che contengono in termini di Intellectual Capital i deliverable o i tool utilizzati in progetti reali che possono essere riutilizzati come base delle conoscenze. 1 IBM System Journal VOL 40, NO 3, 2001 patent U.S

11 Development planning Application planning Data planning Systems planning Project planning Development and Maintenance control Proj. assignment Proj. scheduling Proj. controlling Proj. requirement control Proj. evaluating Development and Maintenance Application/software dev. & upgrade Appl./soft. procurement & upgrade Hardware/facility install. & upgrade Maintenance Tuning and system balancing system dev.. & upgrade Strategic planning and control Business strategic planning Architecture definition I/S strategic planning and control planning system planning system monitoring Service planning Service mkt. planning Service level planning Recovery planning Security planning Audit planning Resource planning Capacity planning Skills planning Budget planning Tactical plan mgmt. Resource control Change control Resource and data inventory control Administrative services Financial administration Staff performance Education/training Service Control Production and Dist. scheduling Resource and data performance control Problem control Service evaluating Information services Production Distribution IT Governance & System IT Governance & System Framework IT Governance & System Capabilities IT Governance & System Operation IT Governance & System Evaluation IT Customer Relationships Stakeholder Requirements IT Customer Transformation Service Marketing and Sales Service Level Customer Satisfaction IT Direction IT Strategy IT Research and Innovation Architecture Risk IT Portfolio Program and Project Manage the Business of IT Solution Development Solution Requirements Solution Analysis and Design Solution Build Solution Test Solution Acceptance Solution Deployment Change Release Configuration IT Operational Services Service Execution Data Event User Contact Incident Problem IT Resilience Compliance Security Availability Capacity Facility IT Service Continuity IT Administration Financial Asset Supplier Relationship Service Pricing and Contract Administration Workforce Knowledge IBM Security Systems L IBM ha una lunga storia di impegno verso il Service Public Domain Development Academia Other Models ITIL Managers Set Environmental Planning to implement service management Computer Software Set Operations Support Set Set Service management The ICT Service support Environmental business Infrastructure Office Strategy Set perspective management Environment Service delivery Set Security Software Asset management v1 Service v2 Application management v3 Service Delivery Networks Support Set Set Set The business The technology ISO IEC escm SSME IBM Development IBM Information Systems Architecture Information System Architecture Strategic level processes Tactical level process Operational level process D Customer services Service marketing Support IT Services and Solutions IBM IT Process Model Manage IT Assets and Infrastructure Deliver Operational Services Satisfy Customer Relationships Deploy Solutions Realize Solutions Provide Enterprise IT System Manage IT Business Value IBM Systems Solution Life Cycle Phase 1 Define Solution Approach Assessment Strategy Solution Selection Operation Manage Delivery Phase 4 Deliver Service Phase 2 Design Solution Architecture Processes Data Organization High Level Design Detail Design Develop Deploy Phase 3 Implement Solution IBM Component Business Model for the Business of IT IBM Process Reference Model for IT IBM Tivoli Unified Process 11

12 IBM UMF esempio di catolog nel caso di Identity Administration Design & Implementation 12

13 IBM ITUP esempio di WBS nel caso dei processi di Security 13

14 Esempio del modello IBM Cyber Security Lifecycle per scoprire e rispondere velocemente agli attacchi Layers Risk Bilanciamento delle minacce delle risposte Service management Processi Technology Sicurezza, network, systems Threat Tempo Response Tempo Maturity 14

15 Mettiamo tutto insieme per fornire un sistema abilitante alla Cyber Security Security/Compliance Analytics & Reporting Advanced Analytics autonomic attack pattern recognition machine and network speed deep packet inspection enables intuitive situational awareness Governance, Risk, and Compliance Composite COP* (Multi-Environment) IT Infrastructure Operations Domains Application Data Network Endpoint Identity & Security Security Security Security Access Security Maintaining A Trusted Infrastructure Key Foundational Security Elements Foundational Capabilities Sense & Respond Cyber Security acts on intelligence from advanced analytics enables automatic reconfiguration & re-provisioning 15 Discover & Categorize Information Assets * Common Operational Picture Establish & Manage Enterprise & Federated Identities Manage Access Counter Insider Threats Manage Privileged IDs End-to-end Security Apps Network Servers Endpoints Provide Physical Security Ensure Compliance with Policy

16 ibm.com/security Copyright IBM Corporation All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United 16 States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.

17 Governo e protezione dei dati: la soluzione IBM Guardium 17 6 Giugno 2012 Marco Ercolani Tech Specialist Guardium

18 Introduzione a Guardium 18

19 I fondamenti della sicurezza delle Basi Dati Monitoraggio continuo degli accessi ai dati sensibili: 1. Prevenire le violazioni ai dati Attacchi dall Esterno e dall Interno Proteggere i dati degli utenti e della amministrazione 2. Assicurare la data governance Prevenire cambiamenti non autorizzati ai dati sensibili operati dagli utenti privilegiati 3. Ridurre i costi delle verifiche Automatizzare i controlli in modalità continuativa Semplificare i processi di controllo e monitoriaggio 19

20 L architettura della soluzione Guardium Architettura non Invasiva Esterna al database Minimo impatto sulle performance (3-5%) Nessun cambiamento per le applicazioni Soluzione cross per tutti database Visibilità del 100% inclusi gli accessi locali del DBA Separazione dei ruoli Non impiego dei log dei database che sono facilmente manipolabili Policy granulari in tempo reale Verifiche organizzate per CHI, COSA, QUANDO, COME Report di conformità automatici, con gestione dei processi di escalation secondo i più diffusi standard (SOX, PCI, NIST, etc.) 20

21 Architettura Scalabile Oracle on Linux for System z Integration with LDAP, IAM, SIEM, IBM TSM, BMC Remedy, 21

22 Protezione dei dati 22

23 La definizione delle policy di Sicurezza Indentificare: CHI, COSA, QUANDO, DOVE e COME per ogni singola transazione CHI: Utenti del database, Utenti Applicativi, Utenti dei Sistemi Operativi COSA: Database, Tabella, Tupla, Campo, Oggetto Sensibile QUANDO: Orario, Intervallo Orario. (diurno, notturno, festivo,..) DOVE: IP del Client, IP del Server, gruppo di Client, gruppo di Server COME: accesso, estrazione dati, eccezioni per SQL/login Azioni: Regole di Comportamento Tracciamento Allarme Terminazione/blocco 23

24 Un esempio di report delle attività degli utenti 24

25 Generazione automatica degli allarmi Allarme in tempo reale quando una richiesta viola le regole di sicurezza Allarme quando viene riscontrata una sequenze di anomalie correlate 25

26 Prevenire gli attacchi Data-Level Access Control (S-GATE) Privileged Users Outsourced DBA Application Servers Issue SQL Connection terminated SQL S-GATE Hold SQL Oracle, DB2, MySQL, Sybase, etc. Check Policy On Appliance Gestione delle policy fra i DBMS Blocco delle azioni degli utenti privilegiati Blocco dei cambiamenti DBMS Blocco dei cambiamenti negli applicativi Senza il rischio di appliance invasive che si interpongono fra client e server Policy Violation: Drop Connection Session Terminated 26

27 Identificazione di violazioni attraverso il layer applicativo Joe Marc Application Server User Database Server Problema: L application Server usa un unico utente privilegiato per accedere ai DBMS Non Identifica chi ha iniziato la transazione, gestisce il connection pooling Soluzione: Guardium traccia gli accessi agli application server ed è in grado di associare l utente applicativo per ogni singolo comando SQL sottomesso al DBMS É predisposto per la maggior parte delle applicazioni (Oracle EBS, PeopleSoft, SAP, Siebel, Business Objects, Cognos ) e per quelle custom basate su specifici application server (WebSphere.)

28 Database Auto-Discovery Module Una funzione che effettua la scoperta delle basi dati presenti nella rete Analizza la rete, ricercando i servizi database attivi Creazione di report semplici sulla base dei risultati del rilevamento Pianificazione delle attività di rilevamento Report ed attività di analisi personalizzabili secondo le esigenze 28

29 Dettagli tecnici sul DBAD 29

30 Classifier È possibile che delle informazioni sensibili siano presenti in più ubicazioni senza che gli attuali proprietari di tali dati ne siano a conoscenza La funzione Guardium Classifier rileva e classifica i dati sensibili eseguendo il crawling dei database o dei file non strutturati, ricercando il modello dati specificato e, nel caso dei database, catalogando le informazioni o le autorizzazioni 30

31 Verifica di vulnerabilità (Vulnerability Assessment) Test di verifica di vulnerabilità predefiniti e configurabili dall utente Misure in tempo reale con associata storicizzazione Test precostituiti basati su standard di sicurezza industriali-best practices Verifica di vulnerabilità secondo standard di sicurezza internazionali (SOX, PCI-DSS) Aggiornamento delle regole/criteri di verifica trimestrale Assenza di impatto sulle performance dei DBMS Evidenziazione delle scoperture e raccomandazioni di azioni correttive in ordine di priorità Integrazione con il modulo CAS 31

32 Esempio di Valutazione di Vulnerabilità (Vulnerability Assessment) Historical Progress or Regression Overall Score Detailed Scoring Matrix Filter control for easy use 32

33 Workflow automatici di conformità La soluzione Guardium automatizza l intero processo di verifica di conformità che consiste in: Definizione del processo di verifica Piano di distribuzione - Destinatari, che possono essere utenti individuali, gruppi di utenti o ruoli - Responsabilità di revisione/firma per ogni destinatario - Sequenza di distribuzione (impostando l'indicatore Continuous) Definizione di attività specifiche 33 Programmazione delle attività secondo tempistiche prestabilite

34 Indirizzare l intero ciclo di vita della Sicurezza 34 34

35 Grazie 35 Marco Ercolani TECH SPECIALIST GUARDIUM