Transcription
PublicPublicUna possibile soluzione perl’analisi di sicurezza all-in-oneAlienVault-OSSIM in configurazione all-in-one per branch office e sedi medio piccoleGianluca PecoINFN CCR Workshop
PublicPublicContesto 4Panoramica dei sistemi esistenti e sceltaSommarioCos’è e cosa fa OSSIM 3Com’è fatto OSSIM 2Implementazione del sistema 1Demo 5 min.24 maggio 2021Gianluca Peco - INFN CCR Workshop2
PublicPublicContestoAnche a seguito dell’evoluzione delle linee guida di sicurezza delle informazioni risultaestremamente utile dotarsi di uno strumento per il monitoring, l’analisi e la correlazione di eventidi sicurezza (ma non solo), a supporto della difesa attiva, della compliance e dell’analisi forense.Grandi quantità di dati prodotti dai sistemi di log, dai firewall perimetrali, dalle sonde IDS (IntrusionDetection Systems) e dai sistemi EDR (Endpoint Detection and Response) sono spesso inutilizzatifino all’evento negativo. Esistono strumenti per l’analisi e la correlazione real-time degli eventi disicurezza sia opensource che commerciali.I sistemi IT si sono stratificati e differenziati al punto da richiedere la gestione distribuita di attivitàstoricamente centralizzate come l’analisi dei log e degli eventi.24 maggio 2021Gianluca Peco - INFN CCR Workshop3
PublicPublicStadi evolutivi della cybersecurityFonte: https://www.trianz.com/cybersecurity24 maggio 2021Gianluca Peco - INFN CCR Workshop4
PublicPublicDefinizione di SIEM (1/2)https://it.wikipedia.org/wiki/Security Information and Event ManagementSoftware e servizi che integrano vari componenti per fornire analisi in tempo reale degli eventi, lapossibilità di fornire report inerenti ai dati raccolti, rispondendo alle esigenze di incident response,compliance e analisi forense.010203Raccolta dati: I log sono la fonteParsing e normalizzazione: OgniCorrelazione: La correlazione traprincipale di dati analizzati da un SIEM.Ogni apparato di sicurezza, software,database, presente nel sistema invia i daticontenuti all’interno dei file di log al serverprincipale sul quale risiede il SIEM. L’inviodei dati può essere gestito tramitesoftware agent oppure consentendo alSIEM di accedere direttamente aldispositivo. La scelta su quale metodoutilizzare è correlata ai dispositivi cheutilizziamo.24 maggio 2021dispositivo gestisce e conserva i dati amodo suo, il SIEM provvede ad uniformarei dati raccolti, catalogandoli per tipo didispositivo e tipo di dato, agevolandonel’interpretazione.Gianluca Peco - INFN CCR Workshopeventi diversi è una delle funzionalitàprincipali, consente di integrare edanalizzare gli eventi provenienti da diversefonti. Sebbene il SIEM disponga di unaserie di regole di correlazione giàpredefinite, mette a disposizione lapossibilità di creare delle regolepersonalizzate al fine di soddisfare leesigenze degli amministratori. Basandocisulla correlazione tra gli eventi di sicurezzae i dati sulle vulnerabilità presenti nelsistema è possibile attribuire una prioritàad un evento.5
PublicPublicDefinizione di SIEM (2/2)https://it.wikipedia.org/wiki/Security Information and Event ManagementSoftware e servizi che integrano vari componenti per fornire analisi in tempo reale degli eventi, lapossibilità di fornire report inerenti ai dati raccolti, rispondendo alle esigenze di incident response,compliance e analisi forense.010203Reporting: L’archiviazione deidati a lungo termine unita allapossibilità di sfruttare querypersonalizzate per l’estrazionedei dati, consentono lacreazione di report. I reportpossono essere utilizzati ascopo di audit, compliance o dianalisi forense.Dashboard: Le dashboardforniscono un quadro generaledell’ambiente di lavoro in temporeale. Tramite questi strumentiè possibile fornire unarappresentazione dei dati sottoforma di diagrammi o altrimodelli, consentendo aglianalisti di individuarerapidamente attività anomale.Notifiche: I segnali di notifica eavviso vengono generati alpresentarsi di determinatieventi, informando gli utenti diuna possibile minaccia. Lesegnalazioni posso avveniretramite dashboard o utilizzandoservizi di terze parti come laposta elettronica o gli SMS.24 maggio 2021Gianluca Peco - INFN CCR Workshop6
PublicPanoramica dei sistemi esistenti2020 SIEM Gartner Magic QuadrantPublicOSSIMCriteri di scelta: Opensource Ampia comunità di supporto Collaborative Threath Intelligencehttps://l.infn.it/e124 maggio 2021Gianluca Peco - INFN CCR Workshop7
PublicPublicScelta La scelta finale è ricaduta su OSSIM che dispone di funzionalitàaggiuntive come: Integrazione di molteplici funzionalità in una unico tool “all-in-one”(monitoring, asset management, vulnerability scan, analisi dei flussi, NIDS,HIDS, report) Possibilità di integrare, utilizzare e partecipare alla OTX Open ThreatIntelligence Community Utilizzo di plugin di correlazione e normalizzazione standard, free emodificabili Reportistica per la compliance preconfezionata24 maggio 2021Gianluca Peco - INFN CCR Workshop8
PublicPublicCos’è areProgetto iniziato nel 2003, nel 2008 viene creata l’azienda AlienVault che inizia a vendere un derivato commerciale diOSSIM: AlienVault Unified Security Management – USM.AlienVault viene poi acquisita da AT&T Communications nel 2019 e viene rinominata AT&T Cybersecurity.OSSIM viene distribuito con licenza GNU GPL e contiene e seguenti componenti: PRADS usato per identificare host e servizi tramite il monitoraggio passivo del traffico di rete Snort usato come IDS, e per costruire cross-correlation con OpenVAS. Suricata usato come IDS (IDS di default a partire dalla versione 4.2) Tcptrack usato per raccogliere dati sulle sessioni che possono essere correlati agli altri dati per avere più informazioni sugliattacchi Munin per l’analisi del traffico e come whatchdog dei servizi NFSen/NFDump usato per collezionare e analizzare le informazioni NetFlow FProbe usato per generare dati NetFlow dal traffico catturato Nagios usato per monitorare host e porte specifiche, per verificare la disponibilità degli asset e come sistema di monitoring locale OpenVAS usato per vulnerability assessment, associato agli asset OSSIM include anche una serie di tool sviluppati ad-hoc come un motore di correlazione che supporta direttive logche el’integrazione dei log attraverso plugin.24 maggio 2021Gianluca Peco - INFN CCR Workshop9
PublicPublicCosa fa solution.htm24 maggio 2021Gianluca Peco - INFN CCR Workshop10
PublicPublicAsset Discovery — Combines core discovery and inventory technologies to give youvisibility into the devices that are on your network.Cosa faVulnerability Assessment — Identifies assets and devices with unpatched software,insecure configurations, and other vulnerabilities on your networkIntrusion Detection — Coordinates incident response and threat management acrossyour network with built-in security monitoring technologies, emerging threatintelligence from AT&T Alien Labs , and seamless closed-loop workflow for rapidremediation.Behavioral Monitoring — Identifies anomalies and other patterns that signal new,unknown threats in your network, as well as suspicious behavior and policy violationsby authorized users and devicesSecurity Information and Event Management (SIEM) — Identify, contain, andremediate threats in your network by prioritizing your risk and response24 maggio 2021Gianluca Peco - INFN CCR Workshop11
PublicCom’è fattoThe three components of the USM Appliance architecturethat work together to monitor and provide security are: USM Appliance Sensor(s) — Deployed throughout thenetwork to collect and normalize information from anydevices in your network environment that you want tomanage with USM Appliance. A wide range of plugins areavailable to process raw logs and data from various typesof devices such as firewalls, routers, and host servers. USM Appliance Server — Aggregates and correlatesinformation that the USM Appliance Sensors gather. (Thisis USM Appliancès SIEM capability). Provides single paneof-glass management, reporting, and administrationthrough a web-based user interface. USM Appliance Logger — Securely archives raw event logdata for forensic research and compliance mandates. (Thisarchive of raw event data is also referred to as coldstorage).Public24 maggio 2021Gianluca Peco - INFN CCR Workshop12
PublicPublicUSM ApplianceWorkflow24 maggio 20211. USM Appliance Sensors passivelycollect logs and mirrored traffic,and actively probe assets in thenetwork, to obtain informationabout the current network activitygoing on in your environment.2. The USM Appliance Sensorparses the raw data from differentsources and transforms it into astream of events, each having acommon set of data fields. It thensends the events to theUSM Appliance Server.3. The USM Appliance Servercorrelates the events and assessestheir risk.4. The USM Appliance Server sendsthe events to the USM ApplianceLogger, which signs them digitallyand stores them for forensicanalyses, archival, and regulatorycompliance.Gianluca Peco - INFN CCR Workshop13
PublicPublicUSM ApplianceDeploymentOptionsSimple Deployment Model — All USM Appliancecomponents (Sensor, Server, and Logger) arecombined in a USM Appliance All-in-Oneappliance. This configuration is most often usedin smaller environments, as well as fordemonstrations and proof-of-conceptdeployments.Multi-tier, Distributed Deployment Model — Thismodel deploys each AlienVault USM Appliancecomponent (Sensor, Server, and Logger) as anindividual virtual or hardware appliance to createa distributed system topology.24 maggio 2021Gianluca Peco - INFN CCR Workshop14
PublicPublicImplementazionedel sistema Esempio di USM Appliance All-in-One (hardware oppurevirtuale) dispiegato dietro ad un corporate firewall. Il sensore che fa parte di USM Appliance All-in-Onecollezione log da diverse reti e apparati: Office network Wireless network DMZ Firewall USM Appliance All-in-One monitora il traffico attraversogli switch. Gli switch devono aver abilitato il port mirroring.https://l.infn.it/eh24 maggio 2021Gianluca Peco - INFN CCR Workshop15
PublicPublicThreat Intelligence e OTX Abbiamo creato un'account con licenza gratuita alla rete OTX per loscambio collaborativo degli indicatore di compromissione delleminacce zero day. Abbiamo sottoscritto vari feed legati alle tipologie di minacce piu'interessanti per il nostro contesto ed attivato l'integrazione nellaThreat intelligence del motore di correlazione degli eventi I feed sottoscritti vengono aggiornati realtime attraverso una chiavesimmetrica da scambiarsi tra portale e siem E' possibile partecipare attivamente alla rete attraverso lapubblicazione di IoC pubblici24 maggio 2021Gianluca Peco - INFN CCR Workshop16
PublicPublicDemo Dashboard Alarms Security Events Asset Management Vulnerability ( OpenVAS ) Availability ( Nagios ) Detection ( HIDS-Ossec ) Reports24 maggio 2021 Deployment Threat Intelligence Open Threat Exchange View account detailsGianluca Peco - INFN CCR Workshop17
PublicPublicThe endDomande?24 maggio 2021Gianluca Peco - INFN CCR Workshop18
AlienVault-OSSIM in configurazione all-in-one per branch office e sedi medio piccole Gianluca Peco INFN CCR Workshop. Public Public Sommario . Detection ( HIDS-Ossec) Reports Deployment Threat Intelligence Open Threat Exchange View account details 24 maggio 2021 Gianluca Peco -INFN CCR Workshop 17. Public Public
