La soluzione STRM e il provvedimento del Garante Privacy del 27/11/2008 MarketingDept. Jun/09
La soluzione STRM e il provvedimento del Garante Privacy del 27/11/2008 JUNIVERSITY Q2 / 2009 1
Agenda La soluzione STRM Le richieste del provvedimento 27/11/2008 La linea di prodotti STRM Esempi di soluzioni 2
Perché gestire i log? Minacce onnipresenti Sovraccarico del IT Compliancy regulation Mare di informazioni dalla rete Moltissimi eventi ricevuti dai device di rete e dagli apparati di rete Contenuto prezioso per diagnosi e planning dell IT Richieste di compliancy Security best practice mandatarie per la compliance a standard Suggerimenti da IT auditor Evoluzione delle minacce esterne ed interne Furto di dati o abuso di sistemi interni Attacchi complessi multi-vettore 3
La soluzione Juniper: STRM Unifica gli eventi provenienti dai device di rete, di sicurezza e dagli applicativi Funzionalità principali di STRM Log management Fornisce l archiviazione lungo termine di eventi e flow con funzionalità di query e reportistica. Security Information & Event Management (SIEM) Centralizza l aggregazione, normalizzazione e correlazione di eventi eterogenei Network Behavior Analysis & Application Visibility Rileva attività di rete che deviano dalla normalità e le correla con gli eventi di sicurezza. Log Management STRM Network Behavior Analysis & Application Visibility Security Information & Event Management 4
I benefici di STRM Unica console di gestione di tutti gli eventi&flow della rete Integra gli eventi di sicurezza e applicativi, solitamente separati Correlazione dei layer di rete, security, application e identity La flessibilità nella gestione dei dati e nella correlazione permettono di estrarre dati utili per la compliancy a regulation Rilevazione avanzata di attacchi e minacce 0-zay detection basata su behavior analysis della rete Funzionalità per la security compliancy Permette di implementare le best practice necessarie alla compliancy con regulation Aggregazione e archiviazione dei log scalabile Permette di far crescere l infrastruttura di log collection per soddisfare qualsiasi necessità 5
Architettura di STRM Log Management e Reporting Security Information e Event Management Network Behavior Analysis Visibilità sullo stato della rete e della sicurezza in real-time con check fino a L7 La correlazione di eventi da varie fonti permette di capire un evento fino a L7 Il motore di correlazione estendibile e con regole preconfigurate agevola l uso a utenti non-esperti Gli eventi correlati vengono ordinati in base ad una priorità calcolata sulla base dei dati raccolti La soluzione permette di raccogliere e gestire al meglio gli eventi generati dalla rete per ottenere informazioni sullo stato del IT 6
Gestione dei log & reportistica Necessità Troppi log da gestire per gli amministratori Device multi-vendor, formati in continuo cambiamento Validità legale dei log raccolti Reportistica automatizzata e flessibile Soluzione di STRM Aggregazione e normalizzazione dei log scalabile Supporto un grande numero di vendor e API per la copertura di formati meno conosciuti Funzionalità avanzate di gestione dei log con supporto per meccanismi tamper proof Più di 500 report già inclusi e possibilità di estendere e creare nuovi report a piacimento 7
Log Management Tamper proof I log degli eventi e dei flow sono protetti mediante la scrittura del loro hash sul disco Richiesto da alcune security regulations (es. PCI) Molti algoritmi di hashing supportati, incluso SHA-2 Tra gli algoritmi di hash supportati: MD2: Message Digest definito da RFC1319 MD5: Message Digest definito da RFC1321 SHA-1: Secure Hash Algorithm definito da NIST FIPS 180-1 SHA-2: Compresi SHA-256, 384 e 512 definiti da NIST FIPS 180-2. 8
Log Management - Reportistica 500+ report già pronti, Report schedulabili e customizzabili Report sugli eventi e sull andamento nel tempo Report già pronti per PCI, SOX, FISMA, GLBA, e HIPAA Report basati su framework: NIST, ISO e CoBIT Report per vendor Router/Switch VPN/SSL Firewall/IDP UTM Applicativi Database Accesso 9
Log Management supporto multi-vendor Eventi di rete Switch & router, incluso flow Security log Firewall, IDS, IPS, VPN, Vulnerability Scanners, Gateway AV, Desktop AV, & UTM Log di sistemi operativi Microsoft, Unix e Linux Compliance Templates Forensics Search Policy Reporting Applicativi Database, mail & web Autenticazione utente RADIUS, TACACS+ Supporto per tutti i maggiori vendor: Networking: Juniper,Cisco, Extreme, Nokia, F5, 3Com, TopLayer e altri Security: Juniper, Bluecoat, Checkpoint, Fortinet, ISS, McAfee,Snort, SonicWall, Sourcefire, Secure Computing, Symantec, e altri Network flow: NetFlow, JFlow, Packeteer FDR, & SFlow Sistemi operativi: Microsoft, AIX, HP-UX, Linux (RedHat, SuSe), SunOS, e altri Applicativi: Oracle, MS SQL, MS IIS, MS AD, MS Exchange, e altri Utility per security map: Maxmine Shadownet Botnet Supporto per la customizzazione tramite ALE e DSM generici 10
Correlazione & Gestione delle minacce Necessità Soluzione di STRM Regole di correlazione difficili da gestire Formato dei log in continuo cambiamento Modifiche costanti alla rete Numerose regole di correlazione già presenti e possibilità di crearne nuove tramite wizard Normalizzazione dei log per la trasformazione di formati differenti ad uno comune Utilizzo estensivo di dati storici per comprendere le modifiche avvenute sulla rete 11
STRM Correlazione Rileva minacce e attacchi alla sicurezza Si basa su una engine di correlazione facilmente estendibile e configurabie Costruisce uno storico sugli incidenti e conserva le informazioni necessarie per risalire all identità degli utenti Correla gli eventi di sicurezza con le informazioni di flow per comprendere il comportamento dei bersagli o degli attaccanti E in grado di prioritizzare sulla base della credibilità della fonte, della rilevanza dell attacco e della sua gravità 12
Semplificazione dell analisi STRM Eventi e flow generati nelle ultime 24h (2.7M logs) Correlazione degli eventi e creazione delle offense (129) Le offense contengono tutte le informazioni necessarie all analisi dell incidente Alla offense viene attribuita una priorità in base all impatto effettivo 13
Gestione delle offense Workflow Chi sta attaccando? Che cosa sta attaccando? Quale è l impatto? Dove devo investigare? 14
Network Behavior Analysis Necessità Tenere traccia dei nuovi servizi quando vengono introdotti sulla rete Requisiti di monitoring e reportistica in conformità agli standard di compliancy Monitoraggio dei problemi per sfruttare al meglio gli asset Soluzione di STRM Analisi costante di flow e eventi con notifica immediata in caso di rilevazione di nuovi asset o servizi Regole di alerting e report già pronti all uso Rappresentazione visuale e intuitiva degli aggregati di flow con la possibilità di un drill down interattivo 15
Network Behavior Analysis Il monitoring passivo dei flow creare un database di asset con i servizi scoperti attivi su di essi Correlazione con informazione di vulnerabilità dei servizi scoperti 0-day detection per attacchi senza signature su IPS Monitoring di nuovi servizi per la verifica di conformità a policy IT Visibilità di tutte le comunicazioni generate da un attaccante indipendentemente dal successo riportato Network troubleshooting (non legato alla security) Mail loop, applicazioni malconfigurate, problemi di performance Rappresentazione visuale dei flow 16
Possibilità di definire amministratori per device Possibilità di definire gruppi di device e legare ruoli amministrativi ai vari gruppi Gli utenti possono visualizzare e analizzare solo gli eventi provenienti da device del suo gruppo Fondamentale in scenari di managed services Cust A Cust B Logs and Reports 17
Agenda La soluzione STRM Le richieste del provvedimento 27/11/2008 La linea di prodotti STRM Esempi di soluzioni 18
Le richieste del provvedimento 27/11/2008 Nel provvedimento del 27/11/2008 sugli amministratori di sistema il Garante della Privacy specifica: f. Registrazione degli accessi Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi; 19
Verifica dell integrità I log degli eventi sono protetti mediante la scrittura del loro hash sul disco Tra gli algoritmi di hash supportati: MD2: Message Digest definito da RFC1319 MD5: Message Digest definito da RFC1321 SHA-1: Secure Hash Algorithm definito da NIST FIPS 180-1 SHA-2: Compresi SHA-256, 384 e 512 definiti da NIST FIPS 180-2. 20
Conservazione del log originale I log originali vengono mantenuti all interno dell evento e selvati nel formato originale Visualizzabile nel formato originale 21
Log retention (almeno 6 mesi) STRM supporta meccanismi di storage esterni IPSAN (IP Storage Area Network) con ISCSI NAS (Network Attached Storage) con NFS Il database degli eventi può essere archiviato giornalmente sul disco locale e poi copiato su file server remoti Gli archivi possono essere richiamati per essere analizzati 22
ISCSI (IP-SAN) Deployment Scenario STRM Event Processor Raccolta log dalla infrastruttura (Fino a 10,000 EPS ognuno) STRM Console Correlation, Reporting &, Analysis LAN Network STRM Flow Processor Flow Processing e Storage (Fino a 10,000 flow al secondo) STRM EP STRM EP STRM FC STRM FC 23 IP-SAN Appliance
Agenda La soluzione STRM Le richieste del provvedimento 27/11/2008 La linea di prodotti STRM Esempi di soluzioni 24
La linea di prodotti STRM STRM 2500 EP/FP Combo distribuito Large enterprises &Service Providers STRM5000 STRM 5000 STRM 2500 FP STRM5000 STRM 5000 STRM 2500 EP STRM 500 QFC STRM 500 QFC Small Medium Enterprise STRM2500 STRM 500 QFC Small Enterprise STRM500 STRM 500 QFC 250EPS 500EPS 1000EPS 2500EPS 5000EPS 10000 + EPS 15K flows 25K 50K flows 100K 200K flows 200K 400K flows 25
Juniper STRM 500 Monoprocessore multicore RAM: 8 GB Porte di rete 2x RJ45 10/100/1000 1x RJ45 come Console 1x USB Alimentazione Singolo (AC autorange) Hard Drive 2 x 500 GB RAID 1: Field replaceable 2U Rack 26
Juniper STRM 2500 Monoprocessore multicore RAM: 8 GB Porte 3x RJ45 10/100/1000 1x RJ45 come Console 1x USB Alimentazione Singolo alimentatore AC (autorange) Opzione per alimentatore ridondato Hard Drive 6 X 250 GB RAID 5 Array Hot swappable 2U Rack 27
Juniper STRM 5000 Biprocessore Multicore RAM: 8 GB Porte 3x RJ45 10/100/1000 Alimentazione Singolo alimentatore AC (autorange) Opzione per alimentatore ridondato Hard Drive 6 X 500 GB RAID 10 Array Hot swappable 2U Rack 28
Agenda La soluzione STRM Le richieste del provvedimento 27/11/2008 La linea di prodotti STRM Esempi di soluzioni 29
STRM Scenario 1: Log Management low end Esempio 1 La necessita e quella di gestire fino a 250 log/sec, 250 devices Cosa si deve ordinare? STRM500-A-BSE STRM500-LM-ADD-250E Condizioni d acquisto? In relazione alla rilevanza della nuova normativa I nostri partner effettueranno sconti particolari (Volendo upgradare a 500 log/sec, comperare una seconda licenza ADD). 30
STRM Scenario 2: Log Management mid Esempio 2 La necessita e quella di gestire fino a 1250 log/sec, 750 devices Cosa si deve ordinare? STRM2500-A-BSE STRM2500-LM-ADD-1250E Condizioni d acquisto? In relazione alla rilevanza della nuova normativa I nostri partner effettueranno sconti particolari (Volendo upgradare a 2500 log/sec, comperare una seconda licenza ADD. E possibile dover utilizzare storage esterno per stoccare i log degli ultimi 6mesi). 31
STRM Scenario 2: Log Management Large Esempio 3 La necessita e quella di gestire fino a 5000 log/sec. Cosa si deve ordinare? 1 x STRM5000-A-BSE 2 x STRM5000-LM-ADD-2500E Condizioni d acquisto? In relazione alla rilevanza della nuova normativa I nostri partner effettueranno sconti particolari (e raccomandato l utilizzo di storage esterno per lo stoccaggio di 6 mesi di log. Oltre I 5000 log/sec occorre un architettura distribuita) 32
Esempio di deployment distribuito STRM Web Console EP/FP combo STRM 2500 STRM 5000 Console STRM 5000 STRM 2500 Event Processor STRM 5000 STRM 2500 Flow Processor STRM 500 Qflow Collector 50MB 200MB Sorgenti di eventi Sorgenti di flow STRM 500 QFlow Collector 33
STRM 2008.3 Licenze supportate QFlow Collector Event Processor Flow Processor EP/FP Combo Distributed Support Log Management Only STRM 500 STRM 2500 STRM 5000 34
THANK YOU 35
Info Symbolic S.p.A. Viale Mentana, 29 43100 Parma T. 0521 708811 F. 0521 776190 www.symbolic.it sales@symbolic.it MarketingDept.