SIEM: un fenomeno tecnologico di serendipity -lo strumento IBM QRadar

Alessandro RaniIT Pre Sales Manager

2

Alcuni spunti di riflessione…

Dal Rapporto Clusit

In questa fase storica la SUPERFICIE di ATTACCO complessivamente esposta dalla nostra civiltà digitale CRESCE PIÙ VELOCEMENTE della NOSTRA CAPACITÀ di

PROTEGGERLA.

I difensori non riescono ad essere abbastanza efficaci: nonostante i crescenti investimenti in sicurezza informatica ,

il numero e la gravità degli attacchi continuino ad aumentare,

peraltro, si stima che 2/3 degli incidenti non vengano nemmeno rilevati dalle vittime!

il rischio teorico di essere colpiti da un attacco informatico di qualche genere è diventato in pratica, nel breve-medio termine, una certezza!

3

Oltre la metà dei casi gravi di attacco informatico registrati l’anno scorso sono stati di livello banale e hanno sfruttato vulnerabilità note!

nonostante la percezione e l’attenzione nei confronti del cybercrime siano aumentati, le capacità di difesa non sono migliorate, o meglio, non è aumentato il livello

culturale delle vittime in termini di SICUREZZA ICT!

il modello di sicurezza oggi più diffuso, in pratica il medesimo da anni, è di tipo reattivo ed agisce quindi solo dopo che l’incidente si è verificato!

e, aggiungiamo noi, molte delle vittime o possibili tali, non hanno una conoscenza approfondita delle proprie infrastrutture, così come non hanno una visione globale

del perimetro di queste!

4

SIEM – Security Information and Event Management

Che cosa si intende per SIEM?

SIEM è l’acronimo di “Security Information and Event Management” , tradotto in

SISTEMA DI GESTIONE DELLE INFORMAZIONI E DEGLI EVENTI DI SICUREZZA e definisce un prodotto costituito da software e/o servizi che unisce le capacità di:

“Security Information Management” (SIM)+

“Security Event Management” (SEM)

SIM si occupa della parte di “log management”, di attività di analisi e della produzione di report per aderire ad esempio norme di compliance.

SEM si occupa del monitoraggio in real-time degli eventi, dell’incident management in ambito security, per quanto riguarda eventi che accadono sulla rete, sui dispositivi di sicurezza, sui

sistemi o le applicazioni.

5

SIEM… perché dovremmo dotarcene?

Nella sua accezione di componente del perimetro di sicurezza in ambito ICT, il SIEM svolge una serie di compiti e funzioni che vanno a rispondere

ad una necessità specifica:

La visione olistica, in tempo reale, di quanto accade, accadrà o è accaduto all’ interno di un sistema IT.

Le domande che dobbiamo porci sono:

• Come giudichiamo l’ attuale livello di visibilità e di conoscenzadella nostra infrastruttura di sicurezza ICT?

• Come operiamo per rilevare le minacce più o meno avanzate sulla rete?

• Seguiamo una metodologia di tipo reattivo o proattivo?

6

Le risposte di un SIEM

Convergere le informazioni di rete e di security generate da numerosi apparati multi-vendor in un unico framework integrato, fornendo un set di Network Security

Management services

Gestire le Minacce: Chi, Cosa, Dove, Quando, Come? Stato della vulnerabilità, valore dell’asset, minacce attive, storia degli attacchi precedenti, aiutano a fornire ai security team i dati che gli occorrono per agire dovunque si trovino.

7

Un SIEM, quali funzioni svolge?

1. Collezione: raccolta LOG ed Eventi da svariati tipologie di fonti, sistemi, dispositivi, applicazioni.

2. Aggregazione: i dati raccolti vengono combinati opportunamente in un unico data store facilitando così le successive operazioni sui dati.

3. Normalizzazione: la normalizzazione è un processo fondamentale, che si occupa di trasformare le differenti rappresentazioni delle informazioni ricevute, in una forma univoca, normalizzata e rappresentata in maniera comprensibile.

4. Correlazione: altro processo della massima importanza, vero valore del sistema, ossia la capacità di collegare tra loro le informazioni ricevute dai sistemi più disparati, confrontarle con regole predefinite o create ad hoc secondo policy, per andare poi a segnalare la presenza o meno di Incidenti (od Offenses)

5. Segnalazione: definita anche alerting, è quella funzione che in combinazione con la correlazione si occupa di avvisare di minacce o incidenti in atto, sulla base di soglie o regole definite.

6. Reportistica: elemento fondamentale, soprattutto in ambito di IT Governance e di compliance, oltre che di analisi.

7. Analisi Forense: quella componente a supporto delle azioni “investigative” di analisti di sicurezza, che richiede capacità di query avanzate, accesso drill down ai log grezzi e a dati archiviati.

8

Quali sono i 4 livelli di maturità di Security Intelligence?

9

e un SIEM di "nuova generazione", quali funzioni svolge?

1. Collezione e correlazione di Log ai quali si aggiungono Flussi di traffico sia da sorgenti locali che remote NBAD (Network Behavior Anomaly Detection) Vulnerability Assessment Information Asset Inventory e Discovery UBA (User Behaviour Analysis) Cyber Threat Intelligence Feeds

2. Full Packet Capute e Forensics Analisys

3. Risk Assessment tools e data path discovery

10

IBM QRadar Security Intelligence Platform

IBM QRadar è la piattaforma al centro della Security Intelligence IBM

Il Portfolio della piattaforma QRadar integraSIEMLog ManagementAnomaly DetectionVulnerability ManagementRisk ManagementIncident ForensicsIncident Response

In una soluzione unificata, altamente scalabile, real time, che fornisce un livellosuperiore di rilevazione delle minacce, semplicità d’uso, performance!

11

IBM QRadar Key Features and Benefits

QRadar risponde nello specifico a queste domande

• Cosa viene attaccato?

• Qual è l’impatto di sicurezza?

• Chi ci attacca?

• Su cosa dobbiamo concentrarci?

• Quando avvengono gli attacchi?

• L’attacco penetra il sistema?

• Si tratta di un falso positivo?

12

IBM QRadar Security Intelligence Platform

13

Command Console unificata per Security Intelligence

14

IBM QRadar Components Overview

Network flows and Application Visibility

• Layer 7 application monitoring• Content capture for deep insight & forensics• Physical and virtual environments

• Log, flow, vulnerability & identity correlation• Sophisticated asset profiling• Offense management and workflow

SIEM

• Turn-key log management and reporting• SME to Enterprise• Upgradeable to enterprise SIEM

Log Management

Scalability• Event Processors for remote site• High Availability & Disaster Recovery• Data Node to increase storage & performance

• Network security configuration monitoring• Vulnerability scanning & prioritization• Predictive threat modeling & simulation

Risk & Vulnerability Management

Network Forensics• Reconstructs network sessions from PCAPs• Data pivoting and visualization tools• Accelerated clarity around who, what, when

Incident Forensics

15

QRadar Log Manager vs Qradar SIEM

Raccoglie i dati da una vasta gamma di dispositivi di rete e di sicurezza, inclusi router e switch, firewall, virtual private network gateways (VPN), intrusion detection/preventionsystems (IDS/IPS),applicazioni antivirus, host e server, database, applicazioni e-mail e web, dispositivi personalizzati e applicazioni proprietarie.

16

QRadar Network flows and Application Visibility

• Il traffico di rete NON MENTE. Un attaccante può eliminare le tracce del suo passaggio ma il flussi di traffico non possono essere alterati.• Interpreta flussi NetFlow, IPFIX, sFlow, Jflow, Packeteer• Consente di rilevare gli attacchi zero-day che non hanno firma• Fornisce visibilità in tutte le comunicazioni• Utilizza il monitoraggio passivo per costruire i profili di attività e classificare gli host• Migliora la visibilità della rete e aiuta a risolvere i problemi di traffico

17

QRadar Risk Manager

• Gestione dei rischi automatizzata per monitorare la conformità e le configurazioni dei dispositivi di rete

• Fornisce strumenti di visualizzazione delle connessioni e della topologia di rete per visualizzare i modelli del traffico di rete correnti e potenziali

• Correla le vulnerabilità degli asset con i dati del traffico e delle configurazioni di rete per identificare gli asset ad alto rischio e i percorsi di attacco attivi.

• Simula le minacce di rete, inclusa la diffusione potenziale di un attacco nella rete.Monitora il traffico della rete per migliorare la conformità con le policy.

18

QRadar Vulnerability Manager (QVM)

19

QRadar Vulnerability Manager (QVM)

Customer Challenge QRadar Vulnerability Manager

Soddisfare i requisiti di conformità e di individuare le debolezze

Scansione dall'interno e dall'esterno di infrastruttura di rete, server ed endpoint per configurazioni errate, impostazioni deboli, prodotti senza patch e altre debolezze chiave

Gestire le priorità delle attività di bonifica e di ridurre i falsi positivi

Utilizza informazioni come l’impegno della rete, l'ambiente, le informazioni di configurazione e di sicurezza, e la disponibilità di patch.

Vista singola di tutte le informazioni sulle vulnerabilità

Integra tutte le informazioni sulle vulnerabilità da sistemi esterni che fornisce una singola vista.

Informazioni aggiornate, accurate e facilmente accessibili

Completa integrazione con Qradar, fornendo informazioni a 360 gradi sulle risorse presenti.

20

QRadar Incident Forensics

Analizza in modo dettagliato le azioni dei cyber criminali per fornire informazioni approfondite sull'impatto delle intrusioni e per prevenire che si verifichino nuovamente.

Ricostruisce i dati di rete non elaborati di un incidente di sicurezza fino alla sua forma originale, per comprendere a fondo l'evento.

Esegue Full Packet Caputer Recupera PCAP da un incident e ricostruisce le sessioni di comunicazione Supporta il formato PCAP (packet capture) standard

21

QRadar Incident Forensics

22

IBM QRadar, Reporting

• Tutte le informazionicollezionate ed elaborate possono essere inserite in un report

• Circa un migliaio ditemplate report disponibili

• Possibilità di crearereport custom, molto facilmente, per mezzo diun wizard integrato

23

QRadar Event collection and processing

Log Sources le sorgenti che all’ interno del nostrosistema inviano log (ma non solo)

Event Collector riceve raw events sotto forma di log messages da un ampia gamma di log sources

Device Support Modules (DSMs) in the event collectors parse and normalize raw events; raw log messages remain intact

Event Processor riceve eventi normalizzati così come eventi grezzi per analizzarli analyze e immagazzinarli

Magistrate correla i dati presenti nell’ Event processors e crea le offenses

Magistrate(Console)

Event/LogSources

EventProcessors

EventCollectors

24

Offenses investigation

Un icona ROSSAindica la presenza di un Offense

25

Monitoraggio continuo delle attività rilevanti in ambito security per l'interna oraganizzazione

26

IBM QRadar Security Intelligence Platform

27

IBM QRadar, modello architetturale on premise All in One

28

IBM QRadar, modello architetturale on premise Distribuito

29

IBM QRadar, modello architetturale SaaS

30

Last but not Least… IBM QRadar per Gartner

IBM QRadar posizionato nuovamente come Leader nel Gartner Magic Quadrant

• QRadar provides an integrated view of log and event data, with network flow and packets, vulnerability and asset data, and threat intelligence.• Customer feedback indicates that the technology is relatively straightforward to deploy and maintain in both modest and large environments.• QRadar provides behavior analysis capabilities for NetFlow and log events.• The average of IBM reference customers satisfaction scores for scalability and performance, effectiveness of predefined correlation rules, report creation, ad hoc queries, product quality and stability, and technical support is higher than the average scores for all reference customers in those areas.

31

IBM QRadar Key Features and Benefits

• Supporta requisiti quali

ISO 27001Payment Card Industry Data Security Standard (PCI DSS) Health Insurance Portability and Accountability Act (HIPAA)Gramm-Leach-Bliley Act (GLBA) North American Electric Reliability Corporation (NERC)Federal Energy Regulatory Commission (FERC) Sarbanes–Oxley (SOX),

• La conformità con i decreti che si riferiscono al Garante della Privacy

32

QRadar use cases… per chi volesse approfondire

http://www.ibm.com/developerworks/library/se-qradar-manage-offenses/

Offense 1025 - XForce: Connection to a known malware site is detectedOffense 885 - Distributed Denial of Service attack detectedOffense 953 - Authentication attempt by unauthorized userOffense 911 - Potential data lossOffense 995 - Potential data lossOffense 929 - Potentially successful exploitOffense 916 - Traffic from untrusted network to trusted networkOffense 938 - Sensitive in transitOffense 906 - OS attackOffense 901 - Assess devices that allow banned protocols from the InternetOffense 898 - Compliance: Detect assets using out-of-policy protocols within

regulatory networks

Grazie per l’attenzione!

www.vmsistemi.it

VM SISTEMI SpA Faenza: Via R. Ossani, 18 - 48018 - Faenza (RA) - Tel 0546 689511 – Fax 0546 689591Milano: Via L. Tolstoj 86 - Scala H - 20089 San Giuliano Milanese (MI) – Tel 02 57506417Roma: Via Troilo il Grande, 3 – 00131 Roma – Tel 06 41294278www.vmsistemi.it – vm@vmsistemi.it

Alessandro Rani

IT Pre Sales Manager

Email: arani@vmsistemi.itLinkedin: it.linkedin.com/in/alessandrorani