View
66
Download
3
Category
Preview:
Citation preview
Security Intelligence, le risposte alle sfide di domani
Alessandro RaniICT SecurityBusiness Unit Manager
2
Live poll: "Quale percezione hai del livello di sicurezza della tua azienda?"
http://etc.ch/te8y
RISULTATI
3
La difesa di un ecosistema complesso
4
SIEM – Security Information and Event Management
SIEM è l’acronimo di “Security Information and Event Management” , tradotto in
SISTEMA DI GESTIONE DELLE INFORMAZIONI E DEGLI EVENTI DI SICUREZZA e definisce un prodotto costituito da software e/o servizi che unisce le capacità di:
Che cosa si intende per SIEM?
“Security Information Management” (SIM)
SIM si occupa della parte di “log management”, di attività di analisi e della produzione di report per aderire ad esempio norme di compliance.
+ “Security Event Management” (SEM)
SEM si occupa del monitoraggio in real-time degli eventi, dell’incident managementin ambito security, per quanto riguarda eventi che accadono sulla rete, sui dispositivi di
sicurezza, sui sistemi o le applicazioni.
5
Un SIEM, quali funzioni svolge?
• Collezione: raccolta LOG ed Eventi da svariati tipologie di fonti, sistemi, dispositivi, applicazioni.
• Aggregazione: i dati raccolti vengono combinati opportunamente in un unico data storefacilitando così le successive operazioni sui dati.
• Normalizzazione: la normalizzazione è un processo fondamentale, che si occupa di trasformare le differenti rappresentazioni delle informazioni ricevute, in una forma univoca, normalizzata e rappresentata in maniera comprensibile.
• Correlazione: altro processo della massima importanza, vero valore del sistema, ossia la capacità di collegare tra loro le informazioni ricevute dai sistemi più disparati, confrontarle con regole predefinite o create ad hoc secondo policy, per andare poi a segnalare la presenza o meno di Incidenti (od Offenses)
• Segnalazione: definita anche alerting, è quella funzione che in combinazione con la correlazione si occupa di avvisare di minacce o incidenti in atto, sulla base di soglie o regole definite.
• Reportistica: elemento fondamentale, soprattutto in ambito di IT Governance e di compliance, oltre che di analisi.
6
La complessità di raccogliere Log
Log Sources
•Dispositivi di sicurezza• Applicativi di sicurezza• Sistemi Operativi• Data Base• Applicazioni• Dispositivi di Rete• Client
Protocols
•Syslog•ODBC• SNMP• OPSEC• Sftp• altri…
Information
• Attività delle utenze• Login/Logout• Allarmi• Attività amministrative• Email• Navigazione• Attività di traffico• Attività di Sistema
7
…e un Next Generation SIEM, quali funzioni svolge?
1. Collezione e correlazione di Log ai quali si aggiungono Flussi di traffico sia da sorgenti locali che remote
NBAD (Network Behavior Anomaly Detection) Vulnerability Assessment Information
Asset Inventory e Discovery UBA (User Behaviour Analisys) Cyber Threat Intelligence Feeds
2. Full Packet Capture PRE e POST Mortem
3. Risk Assessment tools e data path discovery
8
SIEM per la conformità con Direttive / Normative
• In ottemperanza alla normativa GDPR (General Data Protection Regulation), il mantenimento di un continuo controllo sulla sicurezza IT, con l’obiettivo di rilevare e notificare eventuali violazioni al momento in cui si manifestano.
•Le funzionalità di un SIEM sono necessarie per la conformità alle principaliNormative, vincoli di categoria, framework di processo e di sicurezza
ISO 27001 Payment Card Industry Data Security Standard (PCI DSS) Health Insurance Portability and Accountability Act (HIPAA) Federal Energy Regulatory Commission (FERC) Sarbanes–Oxley (SOX) National Institute of Standards and Technology (NIST) Information Technology Infrastructure Library (ITIL) Control Objectives for Information and related Technology (CoBit)
9
IBM QRadar Security Intelligence Platform
10
IBM QRadar Security Intelligence Platform
11
La piattaforma SIEM QRadar per un Security Operation Center
12
QRadar SIEM - Offenses investigation
Un icona ROSSAindica la presenza di un Offense
13
QRadar Network flows and Application Visibility
• Il traffico di rete NON MENTE. Un attaccante può eliminare le tracce del suo passaggio ma il flussi di traffico non possono essere alterati.• Interpreta flussi NetFlow, IPFIX, sFlow, Jflow, Packeteer• Consente di rilevare gli attacchi zero-day che non hanno firma• Fornisce visibilità in tutte le comunicazioni• Utilizza il monitoraggio passivo per costruire i profili di attività e classificare gli host• Migliora la visibilità della rete e aiuta a risolvere i problemi di traffico
14
QRadar Network Insightdalla raccolta del flusso di rete all' analisi del contenuto
STEP 1 - QRadar Flow CollectorCorrelazione delle informazioni di traffico basato su indirizzi IP e porte TCP/UDP, fino a livello 4.
STEP 2 - QRadar Qflow e VflowVerifca dei primi 64 byte del flusso di traffico e consente di riconoscere una applicazione, catturando la parte iniziale della sessione di comunicazione
STEP 3 – QRadar ForensicsRicostruzione del traficco post mortem, ossia a seguito di un evento e replay dell’ interaconversazione
STEP 4 – QRadar Network InsightAnalisi e correlazione del contenuto dei pacchetti di rete in tempo reale. Consente di rilevarese temi di interesse o elementi sospetti, vengono trattati durante una conversazione o sessione di comunicazione.
15
QRadar Network InsightLe sfide di sicurezza che le aziende devono affrontare
16
Quali sono i 4 livelli di maturità di Security Intelligence?
Modern Security Intelligence Platform
2nd Gen SIEM
1st Gen SIEM
Evoluzione della Security OperationsTo gain awareness of the current state of an organization’s security posture requires data and analytics. But thus far security operations teams limited focus to internal security data with minimal use of external knowledge
Increasing Volume and Variety of Data
Log Data Vulnerability Data/External Threat Feeds Flow Data Full Packet Capture Unstructured/
External Data
Incr
easi
ng S
ophi
stic
atio
n of
Ana
lytic
s
Sear
chPa
ttern
D
etec
tion
Rep
ortin
gR
ules
Out
-of t
he-b
ox
Anal
ytic
s
Plat
form
for
Cus
tom
An
alyt
ics
Log Mgmt
Advanced Cyber
Forensics
1st
Generation
Forensics
L’ Evoluzione del Security Operations Center
Fonte: Rapporto Clusit 2017
•Il SOC sta evolvendo (o dovrà evolvere) verso il Next Generation SOC, il quale dovràgiocoforza predisporsi e adeguarsi ad agganciare fonti non tradizionali, ad adottareregole di correlazione che includano metodi e tecniche di analisi Business Oriented e dovrà soprattutto essere integrabile con strumenti di monitoring predisposti per i Big Data.
• E’ in particolare nel mondo esterno che I dati moltiplicano esponenzialmente il lorovolume e la loro eterogeneità, dati fatti per essere ad uso e consumo dell’ uomo, piùche della macchina. In questa direzione dovrà orientarsi l’intelligence preventiva dinuova generazione.
• Il fattore tempo è quello sempre più determinate nel contrasto al Cyber Crime.
TraditionalSecurity Data
Una quantità enorme di conoscenze di sicurezza è creata per il consumo umano, ma la maggior parte è inutilizzata
Examples include:• Research documents• Industry publications• Forensic information• Threat intelligence
commentary
• Conference presentations• Analyst reports• Webpages • Wikis• Blogs
• News sources
• Newsletters• Tweets
A universe of security knowledgeDark to your defensesTypical organizations leverage only 8% of this content*
Human Generated Knowledge
•Security events and alerts•Logs and configuration data
•User and network activity•Threat and vulnerability feeds
Todays reality - Do all of this in under 20 minutes, all day, every day
Review your security incidents in a SIEM
Decide which incident to focus on next
Review the data
(events / flows that made up that incident)
Expand your search to capture more data around that incident
Pivot the data multiple ways to
find outliers (such as unusual domains, IPs,
file access)
Review the payload outlying events for
anything interesting (domains, MD5s, etc)
Search X-Force Exchange + Search Engine + Virus Total + your favorite tools for these outliers / indicators.
Find new Malware is at play
Get the name of the Malware
Search more websites for information about indicators of compromise (IOCs) for that Malware Take these newly found IOCs from the internet
Take these newly found
IOCs from the internet
and search from them
back in a SIEM
Find other internal IPs are potentially infected with the
same Malware.
Start another investigation around
each of these IPs.
Watson For Cyber Security
Da cosa viene alimentato Watson for Cyber Security?
1 Week 1 Hour5 Minutes
StructuredSecurity Data
X-Force Exchange Trusted Partner Data
Open sourcePaid data- Indicators
- Vulnerabilities- Malware names, …
- New actors- Campaigns- Malware outbreaks- Indicators, …
- Course of action- Actors
- Trends- Indicators, …
Crawl of CriticalUnstructured Security
Data
Massive Crawl of all SecurityRelated Data on Web
Breach repliesAttack write-ups
Best practices
BlogsWebsitesNews, …
Filtering + Machine LearningRemoves Unnecessary
InformationMachine Learning / Natural Language ProcessingExtracts and Annotates
Collected Data
Billions ofData Elements
Millions of Documents
5-10 updates / hour! 100K updates / week!
3:1 Reduction
Massive Security Knowledge GraphBillions of Nodes / Edges
Cognitive Security Starts HereIBM Security Introduces a Revolutionary Shift in Security Operations
• Employs powerful cognitive capabilities to investigate and qualify security incidents and anomalies on behalf of security analysts
• Powered by Watson for Cyber Security to tap into vast amounts of security knowledge and deliver insights relevant to specific security incidents
• Transforms SOC operations by addressing current challenges that include skills shortages, alert overloads, incident response delays, currency of security information and process risks
• Designed to be easily consumable: delivered via IBM Security App Exchange and deployed in minutes
NEW! IBM QRadar Watson Advisor
• Review the incident data
• Review the outlying events for anything interesting (e.g., domains, MD5s, etc.)
• Pivot on the data to find outliers (e.g., unusual domains, IPs, file access)
• Expand your search to capture more data around that incident
• Search for these outliers / indicators using X-Force Exchange + Google + Virus Total + your favorite tools
• Discover new malware is at play
• Get the name of the malware
• Gather IOC (indicators of compromise) from additional web searches
• Investigate gathered IOC locally
• Find other internal IPs are potentially infected with the same Malware
• Qualify the incident based on insights gathered from threat research
• Start another investigation around each of these IPs
Attività cognitive di un analista della sicurezza nell'individuare un incidente
Time consuming
threat analysis
There’s got to be an easier way!
Applicare l'intelligenza e indagare sull'incidente
Raccogliere la ricerca di minaccia, sviluppare le competenze
Ottenere il contesto locale che porta all'incidente
Sbloccare una nuova partnership tra gli analisti della sicurezza e la loro tecnologia
QRadar Advisor complementing the investigative resources of a SOC
• Manage alerts
• Research security events and anomalies
• Evaluate user activity and vulnerabilities
• Configuration
• Other
• Data correlation
• Pattern identification
• Thresholds
• Policies
• Anomaly detection
• Prioritization
Security Analytics
Security Analysts Watson for Cyber Security• Security knowledge
• Threat identification
• Reveal additional indicators
• Surface or derive relationships
• Evidence
• Local data mining
• Perform threat research using Watson for Cyber Security
• Qualify and relate threat research to security incidents
• Present findings
QRadar Watson Advisor
SECURITY ANALYSTS
SECURITY ANALYTICS
QRadarAdvisor
with Watson
Watsonfor Cyber Security
QRadar Advisor in Action
1. Offenses
5. Research results
Knowledgegraph
4. Performs threat research and develops expertise
3. Observables2. Gains local context and forms threat research strategy
Offensecontext
Deviceactivities
Equivalencyrelationships
6. Applies the intelligence gathered to investigate and qualify the incident
QRadarCorrelated enterprise data
Grazie per l’attenzione!
www.vmsistemi.it
VM SISTEMI SpA Faenza: Via R. Ossani, 18 - 48018 - Faenza (RA) - Tel 0546 689511 – Fax 0546 689591Milano: Via L. Tolstoj 86 - Scala H - 20089 San Giuliano Milanese (MI) – Tel 02 57506417Roma: Via Troilo il Grande, 3 – 00131 Roma – Tel 06 41294278www.vmsistemi.it – vm@vmsistemi.it
Grazie per l’attenzione!
www.vmsistemi.it
VM SISTEMI SpA Faenza: Via R. Ossani, 18 - 48018 - Faenza (RA) - Tel 0546 689511 – Fax 0546 689591Milano: Via L. Tolstoj 86 - Scala H - 20089 San Giuliano Milanese (MI) – Tel 02 57506417Roma: Via Troilo il Grande, 3 – 00131 Roma – Tel 06 41294278www.vmsistemi.it – vm@vmsistemi.it
Alessandro Rani
ICT Security Business Unit Manager
Email: arani@vmsistemi.itLinkedin: it.linkedin.com/in/alessandrorani
Recommended