<Insert Picture Here> Security Summit 2011 Milano XSecure, La Soluzione di Log Management F. Pierri, Xech Insert Company
Obiettivi Raccolta di informazioni (log, eventi) generate da sistemi (apparati di rete, server, sistemi di sicurezza,...), software di base (OS, DB, Middleware,...) e applicazioni per attività di: Audit Sicurezza Troubleshooting Monitoring Guide to Computer Security Log Management NIST National Istitute of Standards and Technology
Utilità dei Log (Sicurezza) Molte organizzazioni ignorano l utilità di tali log fino a quando non capita un incidente. Sono svariate le tipologie di incidenti che possono essere intercettati ed analizzati con una seria politica di Security Log Management Security incidents Password hacking Large numbers of login failures Malware attacks Port scans Denial of service attacks Excessive errors on network devices Policy violations Fraudulent activities Operational problems Regulatory compliance (vedi Provvedimento del Garante sugli Amministratori di Sistema)
Gli Strumenti di Log Management: Caratteristiche Affidabilità Performance Sicurezza Flessibilità Semplicità
La sfida Efficace compromesso tra una quantità limitata di risorse per la gestione dei log e incremento sempre maggiore di fonti e dati di log Potenziali criticità: varietà delle sorgenti di log la riservatezza, l'integrità e la disponibilità di log generati potrebbe essere violata accidentalmente o intenzionalmente i responsabili per l'analisi dei log sono spesso non adeguatamente preparati e supportati
XSecure Log Management E una soluzione di Log Collection & Aggregation Colleziona, Normalizza e Correla Sicurezza Sicurezza Audit Audit Monitoraggio Marketing Marketing Statistiche e Reporting Troubleshooting Troubleshooting Compliance
XSecure: Architettura External System Sistema di accesso Web Services HTTPs LOG LOG LOG DB LOG LOG LOG DB GW ACC COLLECTION COLLECTION XSecure J2EE APP. SERVER JDBC CORRELATION ENCRYPTION CORRELATION ENCRYPTION XStore XSTORE QUERY ENGINE XSTORE DATABASE LOADER Storage Area
XSecure: Architettura Distribuita Possibilità in infrastrutture complesse e distribuite, di creare collettori che semplificano la raccolta delle informazioni Roma Milano Roma Milano DB LOG LOG LOG DB DB LOG LOG LOG DB LOG LOG LOG LOG Collettore LOG XSecure LOG XSecure
Performance, Scalabilità, Alta Affidabilità Performance Insert rate: fino a 400.000 record/sec (35 miliardi di record al giorno) per ciascuna CPU Query su 1.000.000.000 di record: < 5 sec Scalabilità Scalabilità lineare con l aggiunta di nuove CPU e/o nuovi server Alta affidabilità Tutti gli elementi dell architettura sono completamente ridondati Nessuna perdita di dati in caso di fault Disservizio limitatissimo (< 1 sec) in caso di switch del cluster
Alta Affidabilità
Profilazione Utenti FAD vs NAD Function Access Domain (FAD) Definisce il profilo funzionale dell utente, cioè le funzioni a disposizione Network Access Domain (NAD) Definisce il gruppo di risorse associate all utente I NAD vengono definiti dall utente con una struttura gerarchica ALL MS EXPERT Integrazione con gli eventuali sistemi di autenticazione dell utente: LDAP, ActiveDirectory e Radius (OTP, SA) SYSTEM UNIX SYSTEM ORACLE DBA MS SYSTEM MYSQL
Raccolta Log - Caratteristiche connettori disponibili per eterogene fonti di log e possibilità raccogliere i log da applicazioni custom Normalizzazione (log parsing) Filtering Aggregazione
Raccolta Log - Modalità XSecure permette la raccolta dei log sia con modalità proprietare sia con metodi permessi dagli ambienti che generano i log PULL Agent proprietari XSecure Agent Less WMI SSH JDBC PUSH Agent Less Syslog like ftp sftp
XSecure: XStore il DB dei Dati Raccolti Database distribuito: Elevate performance Partizionamento dei dati Elaborazione parallela Compressione dei dati Riduzione dello storage necessario Protezione dei dati Crittografia (3DES, AES) Data file binari e indicizzati Affidabilità e semplicità di gestione Ciascun data file è auto-consistente Sistema di backup/restore basato sul file system Gestione della Retantion dei Dati (differenziata) Zero administration Non sono richiesti DBA
XStore: Inalterabilità e Accesso ai log Crittografia I log (data file) vengono cifrati I dati vengono trasferiti con protocolli cifrati (SSL) Impronta Memorizzazione delle checksum (impronte digitali) Sistema di verifica di integrità Indicizzazione Indici interni o esterni ai data file Indici multipli (username, server,...)
Monitoraggio Capacità di associare contatori agli eventi raccolti Log Counter su eventi specifici Event Aggregation
Sistema di Reporting e Statistiche Capacità di rappresentare le informazioni a seconda della necessità dell utente Dashboards e Report Report schedulati e su richiesta Esportazione delle informazioni (PDF, CSV, XLS, XML) Dashboard Real-time Interface for External Systems Web Services for External Systems (SOAP)
XSecure - Monitoraggio Applicativo (XSpotter) Capacità di monitoraggio delle componenti sistemistiche dell infrastruttura di XSecure Monitoraggio real-time delle componenti applicative di XSecure (disponibilità, affidabilità e performance) Cruscotti e consolle real-time Reportistica su base storica Integrabile con altre soluzioni di monitoraggio Allarmi sistemistici integrabili con strumenti di monitoraggio del Cliente
XSecure: alcuni contesti di utilizzo (1/2) Data Retention per un primario TLC Operator - Xech ha implementato una soluzione per la conformità con la Direttiva Europea sulla Data Retention (2006/24/CE) e con la direttiva sulla sicurezza dei dati di traffico telefonico e telematico del 17 gennaio 2008 emanata dal Garante per la Protezione dei dati personali La stessa soluzione, originariamente utilizzata per raccogliere i dati provenienti dagli accessi ad Internet dei cellulari e delle data card, è stata estesa per raccogliere i dati provenineti da accessi ADSL e Wi-fi La soluzione attualmente in esercizio storicizza oltre 3 miliardi di record al giorno, per un periodo di retention di un anno solare (ha raggiunto oltre 4 miliardi di record al giorno) per una primaria società di servizi, Xech ha implementato una soluzione per la raccolta delle informazioni relative al servizio di mailing gratuito con finalità forensi
XSecure: alcuni contesti di utilizzo (2/2) Sicurezza per un primario TLC Operator - Xech ha implementato una soluzione per la correlazione di eventi di sicurezza per la pianificazione di contromisure adeguate per un primaria società in ambito militare è stato implementata una soluzione per la correlazione di eventi di sicurezza interna gestione delle informazioni riservate per un primaria società in ambito industriale è stato implementata una soluzione per la correlazione di eventi di sicurezza interna proprietà intellettuale Compliance per diverse società in ambito industriale, banche, assicurazioni, militare, sanitario, di servizi e editoriale sono stati implementati i progetti di "Compliance della direttiva del Garante della Privacy (Amministratori di Sistema) Marketing per una importante società di telecominicazioni vengono raccolti i log relativi alle chiamate al call.center e analizzate per comprendere il comportamente degli utenti e migliorare l uso dell IVR
XSecure: esempi (Amm. di sistema compliance)
XSecure: esempi (Amm. di sistema compliance)
XSecure: esempi (Amm. di sistema compliance)
XSecure: esempi (sicurezza)
XSecure: esempi (sicurezza)
XSecure: esempi (sicurezza)
XSecure: esempi (sicurezza)
XSecure: esempi (sicurezza)
Caratteristiche fondamentali di XSecure Affidabilità ridondanza su tutte le componenti sw recovery sulla raccolta dei log allarmi sulle componenti di sistema Performance raccolta di volumi importanti di log analisi di grandi volumi delle informazioni raccolte Sicurezza dati criptati e protetti (anche nel trasporto delle informazioni) gestione profilazione utenti allarmi sugli eventi raccolti Flessibilità raccolta da qualsiasi fonte di log (personalizzazione) Semplicità gestione delle informazioni raccolte (normalizzazione) definizione di nuovi report e allarmi