Transcription
SIEM (Security Information and Event Management)Monitoraggiogg delle informazioni e deglig eventi perpl’individuazione di attacchiLog forensics, data retention ed adeguamento ai principalistandard in uso
Contenuti SIEM: Definizione e caratteristiche principali Ambiti: Data Collection and Retention Security monitoring Log forensics Normative Compliance2
DefinizioniSIMSEMSecurity Event ManagementSecurity Information Management“SIM provides reporting and analysisof data primarily from host systemsand applications,applications and secondarilsecondarilyfrom security devices to supportregulatory compliance initiatives,internal threat management andsecurity policy compliancemanagement” (Gartner)“SEM improves security incidentresponse capabilities. SEM processesnear real time data from secnear-real-timesecurityritdevices, network devices and systemsto provide real-time eventmanagement for security operations”(Gartner)SIEMSecurity Information and Event Management3
È necessario un SIEM in azienda?P saperloPerl il managementt dovrebbedbb porsii lel seguentiti domandedd Quali sono i sistemi aziendali per monitorare il controllo degli accessi, gliutenti pprivilegiati,g , le applicazionippcritiche? Con i sistemi disponibili per quanto tempo è possibile conservare i dati? Con i sistemi disponibili in quanto tempo si riescono ad ottenere i dati cheservono per fare fronte alle situazioni incontrate? Quali informazioni sono disponibili per eventuali controversie legali? Quali sono i sistemi aziendali per rilevare in tempo reale e in modoproattivo eventuali minacce? ViVistiti glili strumentitti a disposizionedii iriteniamoit icheh lle applicazionilii i e lleinformazioni critiche siano sufficientemente protette?4
È necessario un SIEM in aziendaIl personale operativo dovrebbe porsi le seguenti domandeCome avviene la raccolta di informazioni di sicurezza e quali log sono raccolti? Le informazioni sono raccolte da differenti gruppi e dipartimenti? Quali sono gli strumenti disponibili in azienda per la raccolta? L’azienda dispone di più strumenti di raccolta specializzati per ambienti e tecnologie o è disponibile un unicostrumento?Gli strumenti a disposizione sono adeguati?5 È possibile monitorare e individuare in tempo reale minacce senza essere sopraffatti da falsi positivi? Quando viene segnalata una minaccia come avviene la ricerca di altre informazioni per meglio qualificarla? È necessario produrre frequenti report di conformità o altri tipo di report? Come verifichiamo la conformità alle politiche aziendali in materia di sicurezza informatica?
Funzionalità di un SIEMLogRaccoltaInterfacciamentocon variemodalità eprotocolli rmato dati (IP,numeri, dateetc.)InformazioniDi contestoRegoleArricchimentoCorrelazioneEExploit,l ivulnerabilità,risultati VA,informazioniasset, Raggruppamento, iminazioneli i ifalsi positiviOutputRealtimeconsole, reportperiodici, allarmi
Contenuti SIEM: Definizione e caratteristiche principali Ambiti Data Collection and Retention Security monitoring Log forensicsf Normative Compliance7
Complessità del “problema” raccolta dei logSorgenti 8FirewallIDS/IPSRouterSwitchAccess ApplicazioniDatabaseAntivirusAntispam Metodi raccoltaTipi informazioni SyslogsnmpODBCSftprpc Logon, LogoffAccessi a databaseAccesso a dati criticiAccesso a risorse,pagine, fileFile Upload edownloadAttività utenteAttività di sistemaModifica di privilegiChiusura di utenzeBlocco accessiTransazioni clienteTentativi di accessoAllarmi IDSEmailNavigazioneSistema
SIEM per Data collection and retention Sempre più attori in azienda hanno necessità di accedere ad informazioni. Il volume delle informazioni da raccogliere è in continua crescita per ragionipratiche e normative Sempre più apparati e applicazioni sono coinvolti nella raccolta dei log portando alla generazione di migliaia dieventi per secondo I dati devono essere salvati e resi rapidamente accessibili per periodi di tempo non trascurabili I dati devono essere conservati e trattati nel rispetto delle normative e dellebest elazioneOutput
SIEM per il security monitoring Raccogliere e analizzare i log dei dispositivi di rete, degli IDS e delleapplicazioni per: Individuare, analizzare e contrastare eventuali situazioni rilevanti per la sicurezza dei sistemi connessi allarete Essere allertati in tempo reale in caso di situazioni sospette, comportamenti anomali e violazioni di policy Disporre di informazioni per comprendere come sono condotte eventuali attività malevole CCorrelarell segnalazionilel i i provenientii ti daid i sistemii t i monitoratiitti con i risultatii lt tidelle della attività di vulnerability assessment Disporre di una vista d’insiemed insieme delle informazioni rilevanti per la sicurezzadei sistemi in ioneOutput
SIEM: security monitoring e supporto al Fraud ManagementIl fraud management prevede attività di prevenzione, rilevazione, gestione,contrasto, analisi relativamente a frodi effettuabili attraverso sistemiinformaticiSe un’applicazione produce log con elevato contenuto informativo su eventie transazioni è possibile identificare condizioni di eccezione e generareallarmi.Le capacitàLi à di raccolta,l arricchimentoi hie correlazionel ideld l SIEM possonofornire supporto ai sistemi di fraud management esistenti consentendo lacorrelazione dei log di applicazioni e apparati.Le informazioni raccolte possono essere utilizzate ai fini forensi e di azioneOutput
SIEM e Computer Forensics AziendaleUna definizione di Computer Forensics aziendale è:“Attività che consiste nel catturare, processare, preservare e analizzare leinformazioni ottenute da un sistema, una rete, un’applicazione o altra risorsainformatica”Le capacità di archiviazione e la facilità di accesso ai dati raccolti caratteristiche diun SIEM possono essere sfruttate per: accedere da un unico punto ai log di tutti i sistemi interessati dalle indaginirecuperare memorizzare e preservare elementi utili come provericostruire la sequenza degli eventi e delle attività svoltestabilireb l qualel e quandod è avvenuto un determinatodeventousare la conoscenza acquisita per orrelazioneOutput
SIEM e la conformità a normative“Companies that chooseindividual solutions for eachregulatory challenge they facewill spend 10 times more oncompliance projects thanthose that take a proactiveapproach ”approach.9 SOX9 GLBA9 FISMA9 JPANormativaVincoli per categoria industriale 9 PCI9 HIPAALane Leskela, GartnerRequisiti per Security Operations evalidazione dei controlli disicurezza9ISO9 NIST9 GAISP 9 ITIL9 CoBitIT Management e Operations9 IT Best practises13
SIEM e la conformità a normative Le funzionalità di un SIEM sono necessarie per la conformità alle principalinormative Il SIEM agevola il monitoraggio della conformità a normative fornendo specifici report prodotti analizzando i log raccolti alla luce dei requisiti delle principalinormative generando allarmi automatici di non conformità laddove i dati raccolti evidenziassero toCorrelazioneOutput
Contattiwww.reply.euwwwreply euinfo@reply.it15
SIEM: security monitoring e supporto al Fraud Management Il fraud management prevede attività di prevenzione, rilevazione, gestione, contrasto, analisi relativamente a frodi effettuabili attraverso sistemi informatici Se un'applicazione produce log con elevato contenuto informativo su eventi
