SIEM: Casi d'uso e livelli di maturità

Transcript

1 SIEM: Casi d'uso e livelli di maturità Marco Di Leo Security Consulting Technical Leader LA ISO27001 marco.dileo@hp.com Security Summit Roma, 18/06/2014

2 SIEM Una definizione Cos è Il termine Security Information Event Management (SIEM) è coniato da Mark Nicolett e Amrit Williams di Gartner nel 2005 e descrive le capability di prodotto di raccolta, analisi e presentazione delle informazioni dai dispositivi di rete e di sicurezza, dalle applicazioni di identity and access management, dagli strumenti di vulnerability management e policy compliance, dai log dei sistemi operativi, dei database e delle applicazioni e dalle sorgenti esterne di minacce Log management Real time monitoring Analisi e reporting Raccolta dati da qualsiasi tecnologia in grado di produrre informazione digitale (di sicurezza e non) Filtro, elaborazione e correlazione in tempo reale degli eventi raccolti dalle sorgenti di log Contestualizzazione, aggregazione, archiviazione e recupero selettivo delle informazioni 2

3 SIEM Controllo e visibilità centralizzate Un SIEM offre visibilità centralizzata degli eventi generati all interno dell organizzazione Dispositivi di rete Dispositivi di sicurezza Physical Mobile Server Desktop Cloud IAM Databases CCTV Applicazioni 3

4 Driver principali Quantità enormi di dati di log in quotidiana crescita CyberSecurity Come fare a rilevare e investigare gli incidenti di sicurezza? Compliance Come essere certi di passare gli audit? IT Operations Come gestire i malfunzionamenti e fare troubleshooting nella propria rete? 4

5 Esempi di casi d uso base e avanzati 5

6 SIEM Take Aways Alcuni spunti * SIEM come tecnologia di sicurezza, data management e data analysis; «Plan strategically, deploy tactically»; Non deve essere uno strumento stand-alone bensì parte di un programma di monitoraggio della sicurezza; Processi, procedure, flussi di lavoro, personale dedicato e competente; Centralità dei casi d uso; L architettura di contesto è fondamentale; La maturità di un SIEM richiede un commitment costante da parte dell organizzazione; Approccio di tipo output-driven; Un progetto SIEM non è realmente un progetto ma un processo e un programma al tempo stesso non si completa mai; È sempre necessario personale dedicato; I processi essenziali di sicurezza sono di due tipologie: monitoraggio in tempo reale e investigazioni expost. * "Security Information and Event Management Architecture and Operational Processes", Gartner Gennaio

7 Difficoltà comuni Fattori di insuccesso x x x x x Complessità di deployment; Complessità di amministrazione; Complessità operativa; Difficoltà ad esprimere il pieno valore della soluzione; Mancanza di chiarezza nella definizione degli obiettivi. SIEM implementations often fail to deliver full value not due to broken tools, but due to broken processes and practices by the organization that owns and operates the SIEM tool. * * "Security Information and Event Management Architecture and Operational Processes", Gartner Gennaio

8 Livelli di Maturità

9 SIEM Maturity Scale 9

10 Approccio olistico Tecnologia, Persone, Processi Process Data owners Business Admins 1 Router Technology Firewall 2 Intrusion detection Web server People 5 Level 1 Level 2 4 Engineer Escalation Incident Handler Case closed 6 Network & System Owners Proxy server 3 SIEM 10

11 Transazione Impatto dei Casi d Uso Trasformazione SIEM Maturity Model Risk Management SI e OC Avanzati Monitoraggio delle sicurezza & Response Compliance Voglio iniziare a pensare al rischio in maniera più ampia. Mi serve qualcosa di semplice per garantire la conformità. Siamo stati attaccati e siamo finiti sui giornali. Mi serve qualcosa che mi aiuti. Devo mettere in sicurezza la mia azienda in un contesto fatto di cloud, mobility e social. Gestione operativa Coinvolgimento degli stakeholder C-Level 11

12 Esempio di Maturity Assessment 12 General Training Certifications Experience People Skill Assessments Career Path Leadership Mission Process Operational Process Analytical Process Business Process Technology SIEM Monitoring Architecture Correlation Monitored Security Technologies Information Lifecycle Management How many SOC analysts do you have per shift? What is your ratio of level-2 analysts to level-1? Do you have defined roles and responsibilities? Do you have documented R&R for teams you interact with? Do you have a dedicated SOC engineer? Who does your SOC support? What is the basic mission of your SOC? Are escalations to internal teams or external clients? Does your SOC conduct any incident response activities? Does your SOC have a documented mission statement? Do other teams know about the SOC mission? What SIEM do you use? Do you have a test implementation of your SIEM? How do you monitor infrastructure performance? (availability, throughout, latency, average > peak > surge) Do you monitor any of the product vendor monitoring consoles to supplement your SIEM? Maturity Level Level 0 - Incomplete 0 Level 1 - Performed 1 Level 2 - Managed 2 Level 3 - Defined 3 Level 4 - Measured 4 Level 5 - Optimizing 5

13 SOC Maturity Assessment Tech Process SOMM Level 2,50 2,00 1,50 1,00 0,50 0,00 People Business Company A Average Current Phase 1 Phase 2 Phase 3 Timeline 6 mos 1 yr 2 yr SOMM Target Use Cases Logging Perimeter, compliance Insider Threat, APT Application Monitoring Staffing Ad hoc 4 x L1, 1x L2 8 x L1, 2x L2 12 x L1, 2x L2, 2x L3 Coverage 8x5 8x5 12x7 24x7 Maturity Assessment Score Business 2.44 Mission 1.86 Accountability 1.21 Sponsorship 2.18 Relationship 2.15 Deliverables 3.00 Vendor Engagement 2.67 Facilities 1.27 People 1.82 General 1.98 Training 2.61 Certifications 1.58 Experience 2.00 Skill Assessments 0.88 Career Path 1.92 Leadership 1.50 Process 0.63 General 2.01 Operational Process 1.67 Analytical Process 0.00 Business Process 0.00 Technology Process 0.00 Technology 2.60 Architecture 1.54 Data Collection 3.69 Monitoring 1.50 Correlation 1.37 General 2.13 Overall SOM Level

14 Metriche operative

15 Perchè misurare? Metriche e misure sono parte essenziale di un SOC Fornire visibilità Dimostrare il Ritorno d Investimento (ROI) Facilitare il miglioramento continuo Costruire casi di business Supporto per due diligence Promuovere il raggiungimento dei risultati 15

16 Cosa potrebbero dire i dati 1. Gli eventi orari per ogni analista sono troppi oppure troppo pochi 2. 99% di tutto il volume di traffico viene generato da due dispositivi 3. Il team sta gestendo oggi un volume di dati 5 volte maggiore rispetto a 1 anno fa 4. Gli incidenti dovuti al malware stanno aumentando in fretta 5. Un analista apre ogni case con priorità alta 6. Il tempo di riconoscimento di un evento è inferiore a 60 minuti

17 Cose da guardare Efficacia Efficienza Quanti dati stanno arrivando? Quanto e cosa sta venendo fuori? Eventi grezzi ( raw ) Eventi correlati Quanti punti vengono controllati Incidenti / Casi Quanti casi d uso Raggiungimento degli SLA Aggiungere il contesto Per ore/giorni/mesi Per analista Per incidente/caso/severity Per business unit Quanto è veloce la gestione? Riconoscimento degli eventi Escalation Risoluzione 17

18 Processo di analisi dei log di un SOC Questo IP sta facendo altre cose? Altri log Questa porta è aperta? port scan Cos è installato su questo sistema? asset inventory L attacco è effettivamente tale? payload Per cosa viene usato? port lookup Come funziona l attacco? Dettagli della signature Qual è la criticità del sistema? BIA Va avanti da molto tempo? Contesto storico Che altro succede? Eventi concorrenti : :1433 SQL Injection Attack 23Mar :003 user=jones 18 traceroute Da dove viene? nslookup Che sistemi vengono chiamati? vulnerability scan Questo sistema è vulnerabile? ITAM Chi gestisce questo sistema? Ci sono cambiamenti in corso? Qual è lo stato di questo utente? Analisi del traffico IDAM Qual è il timing? address book Cosa fa questa persona?

19 Gestire, misurare, migliorare Chiamate e Ticket CERT, Severity, Categorie Intelligence quotidiana Situational awareness Report settimanali delle minacce Panorama delle minacce Report esecutivi mensili Visibilità agli executive 19

20 Esempi di report mensili «C-Level» 20

21 Case Study Evoluzione di un SIEM

22 Contesto di riferimento L attuale infrastruttura abilita sia i servizi di conformità alle leggi/normative italiane (Log Management) sia quelli relativi monitoraggio degli eventi di sicurezza (Correlation): L'ambito di Compliance (Log Management) è definito dalla normativa di riferimento, che determina anche modalità e tempi di conservazione minimi dei dati raccolti; L'ambito di Sicurezza (Correlation) è rappresentato dalle sonde di Intrusion Detection Systems, attestate sui segmenti di rete critici, e da altre sorgenti di log di sicurezza (Firewall, Domain Controller, AntiVirus). 22

23 Obiettivi e risultati attesi Gli obiettivi principali sono: consolidamento e potenziamento dell infrastruttura; innalzamento del livello di maturità del SIEM. I driver di trasformazione dell attuale infrastruttura sono molteplici: armonizzazione con i progetti di evoluzione dell'infrastruttura; refresh tecnologico piattaforma SIEM; integrazione del nuovo perimetro; miglioramento di efficienza ed efficacia della componente di correlazione. L'ambito di Compliance verrà alimentato tramite l integrazione con il nuovo perimetro, unitamente alle normali attività day by day. L'ambito di Sicurezza verrà notevolmente aumentato tramite la definizione di Use Case specifici e la correlazione di eventi generati dai sistemi di monitoraggio della sicurezza presenti. 23

24 Sorgenti di Log Ambito Sistema - Ruolo Tipo di log - Informazioni nel log Tipologia raccolta Modalità raccolta Numerosità sorgenti EPS medi stimati MS_Windows Domain Controller EventView Security: log on-off PULL WMI IBM RACF RACF RACF for z/os file: log on-off PUSH SFTP Password Vault Gestione utenze locali privilegiate Syslog: operazioni delle utenze amministrative, logon-logoff, orario PUSH SYSLOG Oracle DB DB Oracle File pclogdw_ora PUSH SCP Microsoft File Server File Server Audit Log su operazioni effettuate su file e directory PULL WMI Unix Unix Syslog: operazioni delle utenze amministrative, logon-logoff, sudo, cron, orario PUSH SYSLOG Virtualizzazione DHCP DHCP: New lease, released, renewed PUSH Connettore installato su server RADIUS Firewall Firewall Eventi IPS: Vulnerabilità, sistemi interessati, orario PUSH SYSLOG

25 Casi d uso attuali 1 di 2 MS Windows Accessi di tutte le utenze del dominio; IBM RACF Accessi degli amministratori di sistema dei Mainframe; Password Vault Accessi locali degli amministratori di sistema sui server Microsoft e Unix; Oracle DB Accessi degli amministratori del database; 25

26 Casi d uso attuali 2 di 2 Microsoft File Server Unix Audit delle operazioni di Read, Write, List, Modify e Delete di file e cartelle sui File Server individuati; Accessi degli amministratori di sistema Unix; Virtualizzazione Informazioni DHCP dell ambiente virtualizzato; Firewall Log di sicurezza generati dai firewall (UTM, AV, IPS, clean-up rules, etc). 26

27 Mappare i requisiti di business sui casi d uso Stakeholder Requisiti di business Casi d Uso Sorgenti dati CISO Misura della security posture Report e dashboard mensili di alto livello verso o da host o domini malevoli noti Security Operations Compliance Identificare exploit 0-day e perdita di dati sensibili Mantenere la compliance alla PCI (sezione 10) Monitoraggio e rilevazione delle APT Collezionare, conservare I log di sicurezza e fare analisi per eventuali violazioni Firewall IDS/IPS Antivirus Authentication Vulnerability Scanner Frodi Controllare gli account di vendor/partner per attività fraudolente Controllare attività e transazioni sospette 27

28 Perimetro Caso d Uso Sorgenti di log principali Criteri di allarme Azione Attività Botnet Firewall, IDS, Proxy, Mail, Threat Intelligence Connessione verso o da host o domini malevoli noti Visualizzazione nell active channel dell analista Virus outbreak Antivirus 3 virus rilevati con lo stesso nome in 10 minuti Attivazione del supporto antivirus/visualizzazione su dashboard Attacco / Codice malevolo IDS/IPS, Vulnerability L asset attaccato ha una vulnerabilità con relevance=10 Attivazione del gruppo di supporto/visualizzazione nell active channel dell analista/visualizzazione su dashboard SQL injection Web Server, DAM, IDS/IPS 5 tentativi di injection in una specifica finestra temporale Visualizzazione nell active channel dell analista Phishing Threat Intelligence, Firewall, IDS, Proxy, Mail Connessione verso o da host o domini malevoli noti Visualizzazione nell active channel dell analista Accesso remoto non autorizzato VPN, Applicazioni Autenticazione avvenuta con successo da parte di un membro esterno al dominio Visualizzazione nell active channel dell analista/attivazione del gruppo di supporto Nuova vulnerabilità su un host in DMZ Vulnerability Nuova vulnerabilità identificata su un host pubblicamente accessibile Invio di report quotidiano tramite al gruppo di gestione delle vulnerabilità Attività sospetta Firewall, IDS, Mail, Proxy, VPN Escalation watch lists (recon, exploit, brute force, etc.) Invio quotidiano di con il report delle attività sospette Anomalia statistica IDS, Firewall, Proxy, Mail, VPN, Web Server Variazione medi di magnitudine X durante una specifica finestra temporale Visualizzazione degli allarmi nella dashboard di situational awareness 28 Nuovo pattern di IDS, Firewall, Proxy, Mail, VPN, Web Rilevazione di un pattern sconosciuto attività Server Visualizzazione nell active channel dell analista

29 Minacce interne Caso d Uso Sorgenti di log principali Criteri di allarme Azione Violazione Policy OS, Business Applications, Network Devices, DAM Utilizzo di applicazioni P2P Eccessivo consumo di banda Accessi fuori policy verso siti web Visualizzazione nell active channel dell analista/ al manager dell impiegato/visualizzazione nella summary dashboard Violazione dei Ruoli OS, Business Applications, Network Devices, DAM Accesso diretto ai database da parte di utenti non DBA Accesso ai sistemi HR da parte di impiegati non HR Visualizzazione nell active channel dell analista/escalation al livello successivo/visualizzazione nella summary dashboard Utenti ad alto rischio (neo-assunti, consulenti, etc) OS, Business Applications, Network Devices, DAM Escalation watch lists (violazione policy, violazione ruoli, codice malevolo) con report quotidiano dell attività sospetta Utenti privlegiati & account condivisi OS, Business Applications, Network Devices Campi sensibili aggiornati (salario, costo, etc) dal DBA Account DBA acceduto da «root» o da «administrator» Account amministrativo acceduto da un utente non di dominio Visualizzazione nell active channel dell analista/escalation per la risposta all incidente Report delle attività utente AD or IAM, OS, Business Applications, Network Devices Report completo sulle attività degli utenti ad alto rischio con report quotidiano dell attività sospetta Nuovo pattern di attività IDS, Firewall, Proxy, Mail, VPN, Web Server Rilevazione di un pattern sconosciuto Visualizzazione nell active channel dell analista 29

30 Key Performance Indicator

31 Esempio di KPI 1 Numero di eventi/ Numero di eventi per sorgente Perchè: Base per molti altri KPI Il trend mostra la qualità della gestione degli eventi Sorgenti dati: Tutte Come: Log Mgmt: Report quotidiani per contare gli eventi SIEM: Trend con report on top 31

32 Esempio di KPI 2 Numero di login falliti di utenti privilegiati Perchè: Potenziali pericoli per la sicurezza Sorgenti dati: Sistemi Operativi Applicazioni Server di autenticazione Come: Log Mgmt: Report usando i nomi degli utenti nelle query SIEM: Report tramite active list popolate, ad esempio, dall integrazione con AD 32

33 Esempio di KPI 3 Numero di incidenti di sicurezza Perchè: Base per altri KPI Mostra il trend degli incidenti di sicurezza Sorgenti dati: SIEM Service Desk, Ticketing System Come: Log Mgmt: applicabile se integrato con il sistema di ticket SIEM: applicabile se viene usato per il case management o se è integrato con il sistema di ticket 33

34 Esempio di KPI 4 Numero di indirizzi IP non autorizzati, porte e tipologie di traffico negate Perchè: Mostra le violazioni di sicurezza Indicatore di successo delle attività di awareness Sorgenti dati: Firewall e router con ACL IDS/IPS Come: Log: Report MGMT: Report tramite active list e zone 34

35 Thank you!

36 Le persone, l'esperienza e la leadership fanno la differenza Ecosystem partners Account utente resi sicuri da HP 47m Eventi di sicurezza gestiti ogni mese 23mld HP Global Research Clienti di HP sulla Sicurezza Professionisti di HP sulla Sicurezza HP ESS Enterprise Security Services 36

37 Why HP for Security Consulting? People Industry-recognized, qualified and accredited expertise; and consultancy experience in your sector Average 9 years experience CISSP, CISM, IISP, CISA, ISO 27001, PCI-DSS, forensic qualifications, government security clearance Experience Constantly updated, effective methodologies and use of best-of-breed technology. HP s world leadership in threat and vulnerability research and analysis, finding more vulnerabilities than the rest of the market combined. Using actionable intelligence to deliver tailored, proactive risk management systems, using leading technologies. Expert teams available 24 x 7 to deliver advice and assistance anywhere in the world, tailored to your needs. Globally available forensic laboratories and testing facilities. Consistent, cost-effective responses that enable issues to be dealt with rapidly while causing minimum disruption to your business. Leadership Gartner Magic Quadrant leader for Security Information and Event Management Gartner Magic Quadrant leader for Static and Dynamic Application Security Testing Gartner Magic Quadrant leader for Intrusion Prevention Systems 37

38 A complete security consulting portfolio Security strategy and risk management Security strategy & transformation Risk & compliance management Enterprise security architecture Cyber assurance services Security intelligence and incident response Security information & event management Security incident response Digital forensics, e-discovery Data recovery, secure disposal Penetration testing Social engineering Vulnerability scanning & management Threat and vulnerability management Perimeter, network security Web and security Endpoint and server security Web application security & availability Infrastructure and network security Data loss prevention PKI/certificate management Data governance Encryption Rights management Data protection and privacy Identity governance & administration Privileged identity management Secure identity and access Secure application development & delivery Application vulnerability scanning & testing Application security Expertise in all sectors and verticals 38 Consumer Financial Travel and Energy & Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without Communications Industries Manufacturing Retail Services Transportation notice. HP Restricted. Utilities Media and Entertainment Public Sector Health and Life Sciences

39 Next steps HP.com/security Breached? Call HP Security Incident Response teams Benchmark against your competitors hpsecurityassesment.com Vulnerability and penetration testing 39