Security Intelligence, le risposte alle sfide di domani

Alessandro RaniPre Sales Manager

2

Live poll: "Quale percezione hai del livello di sicurezza della tua azienda?"

3

Alcuni spunti di riflessione…

In questa fase storica la SUPERFICIE DI ATTACCO complessivamente esposta dalla nostra civiltà digitale CRESCE PIÙ VELOCEMENTE DELLA NOSTRA CAPACITÀ DI PROTEGGERLA.

Si stima che 2/3 degli incidenti

non vengano nemmeno rilevati dalle vittime!

il rischio teorico di essere colpiti da un attacco informatico di qualche genere è diventato in

pratica, nel breve-medio termine, una certezza!

Dal Rapporto Clusit 2016

4

GDPR – General Data Privacy Regulation….

Applicabile a regime tassativamente dal 25 maggio 2018

Al centro della normativa Europea, la privacy e la tutela del dato (personale e non solo) e dell’ individuo al quale esso si riferisce

Il tempo stringe!!!

5

Denominatori comuni

Minacce Informatiche(Cyber Threats)

Aspetti Legalie Normativi

Conoscenza e Consapevolezza

6

Un ecosistema complesso

7

SIEM – Security Information and Event Management

SIEM è l’acronimo di “Security Information and Event Management” , tradotto in

SISTEMA DI GESTIONE DELLE INFORMAZIONI E DEGLI EVENTI DI SICUREZZA e definisce un prodotto costituito da software e/o servizi che unisce le capacità di:

Che cosa si intende per SIEM?

“Security Information Management” (SIM)

SIM si occupa della parte di “log management”, di attività di analisi e della produzione di report per aderire ad esempio norme di compliance.

+ “Security Event Management” (SEM)

SEM si occupa del monitoraggio in real-time degli eventi, dell’incident managementin ambito security, per quanto riguarda eventi che accadono sulla rete, sui dispositivi di

sicurezza, sui sistemi o le applicazioni.

8

Un SIEM, quali funzioni svolge?

• Collezione: raccolta LOG ed Eventi da svariati tipologie di fonti, sistemi, dispositivi, applicazioni.

• Aggregazione: i dati raccolti vengono combinati opportunamente in un unico data storefacilitando così le successive operazioni sui dati.

• Normalizzazione: la normalizzazione è un processo fondamentale, che si occupa di trasformare le differenti rappresentazioni delle informazioni ricevute, in una forma univoca, normalizzata e rappresentata in maniera comprensibile.

• Correlazione: altro processo della massima importanza, vero valore del sistema, ossia la capacità di collegare tra loro le informazioni ricevute dai sistemi più disparati, confrontarle con regole predefinite o create ad hoc secondo policy, per andare poi a segnalare la presenza o meno di Incidenti (od Offenses)

• Segnalazione: definita anche alerting, è quella funzione che in combinazione con la correlazione si occupa di avvisare di minacce o incidenti in atto, sulla base di soglie o regole definite.

• Reportistica: elemento fondamentale, soprattutto in ambito di IT Governance e di compliance, oltre che di analisi.

9

La complessità di raccogliere Log

Log Sources

•Dispositivi di sicurezza• Applicativi di sicurezza• Sistemi Operativi• Data Base• Applicazioni• Dispositivi di Rete• Client

Protocols

•Syslog•ODBC• SNMP• OPSEC• Sftp• altri…

Information

• Attività delle utenze• Login/Logout• Allarmi• Attività amministrative• Email• Navigazione• Attività di traffico• Attività di Sistema

10

…e un Next Generation SIEM, quali funzioni svolge?

1. Collezione e correlazione di Log ai quali si aggiungono Flussi di traffico sia da sorgenti locali che remote

NBAD (Network Behavior Anomaly Detection) Vulnerability Assessment Information

Asset Inventory e Discovery UBA (User Behaviour Analisys) Cyber Threat Intelligence Feeds

2. Full Packet Capture PRE e POST Mortem

3. Risk Assessment tools e data path discovery

11

IBM QRadar per la conformità con Direttive / Normative

• In ottemperanza alla normativa GDPR (General Data Protection Regulation), il mantenimento di un continuo controllo sulla sicurezza IT, con l’obiettivo di rilevare e notificare eventuali violazioni al momento in cui si manifestano.

•Le funzionalità di un SIEM sono necessarie per la conformità alle principaliNormative, vincoli di categoria, framework di processo e di sicurezza

ISO 27001 Payment Card Industry Data Security Standard (PCI DSS) Health Insurance Portability and Accountability Act (HIPAA) Federal Energy Regulatory Commission (FERC) Sarbanes–Oxley (SOX) National Institute of Standards and Technology (NIST) Information Technology Infrastructure Library (ITIL) Control Objectives for Information and related Technology (CoBit)

12

IBM QRadar Key Features and Benefits

• Cosa viene attaccato?• Qual è l’impatto di sicurezza?• Chi ci attacca?• Su cosa dobbiamo concentrarci?• Quando avvengono gli attacchi?• L’attacco penetra il sistema?• Si tratta di un falso positivo?

QRadar SIEM risponde nello specifico a queste domande

13

IBM QRadar Security Intelligence Platform

14

Command Console unificata per Security Intelligence

15

IBM QRadar Security Intelligence Platform

16

QRadar SIEMProvides full visibility and actionable insight to protect against advanced threatsAdds network flow capture and analysis for deep application insightEmploys sophisticated correlation of events, flows, assets, topologies, vulnerabilities and externaldata to identify and prioritize threatsContains workflow management to fully track threats and ensure resolutionUses scalable hardware, software and virtual appliance architecture to support the largestdeployments

17

QRadar Network flows and Application Visibility

• Il traffico di rete NON MENTE. Un attaccante può eliminare le tracce del suo passaggio ma il flussi di traffico non possono essere alterati.• Interpreta flussi NetFlow, IPFIX, sFlow, Jflow, Packeteer• Consente di rilevare gli attacchi zero-day che non hanno firma• Fornisce visibilità in tutte le comunicazioni• Utilizza il monitoraggio passivo per costruire i profili di attività e classificare gli host• Migliora la visibilità della rete e aiuta a risolvere i problemi di traffico

18

QRadar SIEM - Offenses investigation

Un icona ROSSAindica la presenza di un Offense

19

QRadar Risk Manager

• Gestione dei rischi automatizzata per monitorare conformità e configurazioni dei device di rete• Visualizzazione delle connessioni e della topologia di rete per visualizzare i modelli del traffico di rete correnti e potenziali• Correlazione delle vulnerabilità degli asset con i dati del traffico• Simulazione delle minacce di rete, inclusa la diffusione potenziale di un attacco nella rete.

20

QRadar Incident Forensics

Analizza in modo dettagliato le azioni dei cyber criminali per fornire informazioni approfondite sull'impatto delle intrusioni e per prevenire che si verifichino nuovamente.

Ricostruisce i dati di rete non elaborati di un incidente di sicurezza fino alla sua forma originale, per comprendere a fondo l'evento.

21

QRadar Network Insightdalla raccolta del flusso di rete all' analisi del contenuto

STEP 1 - QRadar Flow CollectorCorrelazione delle informazioni di traffico basato su indirizzi IP e porte TCP/UDP, fino a livello 4.

STEP 2 - QRadar Qflow e VflowVerifca dei primi 64 byte del flusso di traffico e consente di riconoscere una applicazione, catturando la parte iniziale della sessione di comunicazione

STEP 3 – QRadar ForensicsRicostruzione del traficco post mortem, ossia a seguito di un evento e replay dell’ interaconversazione

STEP 4 – QRadar Network InsightAnalisi e correlazione del contenuto dei pacchetti di rete in tempo reale. Consente di rilevarese temi di interesse o elementi sospetti, vengono trattati durante una conversazione o sessione di comunicazione.

22

QRadar Network InsightLe sfide di sicurezza che le aziende devono affrontare

23

QRadar Network Insightdalla raccolta del flusso di rete all' analisi del contenuto

24

Quali sono i 4 livelli di maturità di Security Intelligence?

25

IBM QRadar, un'architettura di Cybersecurity per una visibilità a 360 gradi

Step up to the Cognitive Era with Watson for Cyber Security

26

L'approccio consulenziale

•Formazione e creazione di consapevolezza nelle persone (Awarness)

•Normative, processi e procedure

•TecnologicoCyber Security AssessmentResiliency ed AvailabilityArchitetturaleOperativoServizi di supporto

27

L'approccio tecnologico

Security Intelligence Next Generation Siem

Network Insights

Cognitive Security

Gli strumenti tecnologici di cui ci avvaliamo ci consentono di realizzare un ecosistema per la difesa del business dei nostri clienti, per questo l’approccio alla Cyber Security ha per noi una visione ed un approccio olistici.

28

Scenario Demo

Trusted Network

Untrusted Network

CheckPoint Firewall / IPS

Kali Linux

Web Server IBM QRadar Arxivar Server

IBM XGS/ IPS

Grazie per l’attenzione!

www.vmsistemi.it

VM SISTEMI SpA Faenza: Via R. Ossani, 18 - 48018 - Faenza (RA) - Tel 0546 689511 – Fax 0546 689591Milano: Via L. Tolstoj 86 - Scala H - 20089 San Giuliano Milanese (MI) – Tel 02 57506417Roma: Via Troilo il Grande, 3 – 00131 Roma – Tel 06 41294278www.vmsistemi.it – vm@vmsistemi.it

Grazie per l’attenzione!

www.vmsistemi.it

VM SISTEMI SpA Faenza: Via R. Ossani, 18 - 48018 - Faenza (RA) - Tel 0546 689511 – Fax 0546 689591Milano: Via L. Tolstoj 86 - Scala H - 20089 San Giuliano Milanese (MI) – Tel 02 57506417Roma: Via Troilo il Grande, 3 – 00131 Roma – Tel 06 41294278www.vmsistemi.it – vm@vmsistemi.it

Alessandro Rani

IT Pre Sales Manager

Email: arani@vmsistemi.itLinkedin: it.linkedin.com/in/alessandrorani