Last Pw Siem 2

Corso di Alta Formazione in
Information Security Management
Milano, Novembre 2007 – Luglio 2008

Realizzazione di una piattaforma SIEM
(Security Information and Event Management)

Pierluigi Sartori, Simone Fortin, Luca Andreoli
Stefano Testoni

Milano– 23 maggio 2008

In collaborazione con: Con il patrocinio di:

Agenda

 Il Contesto di riferimento
 Esigenze
 Obiettivi del PW
 Il Progetto
 Definizione requisiti

 Analisi

 Scelta Tecnologica

 Definizione e mappatura KPI

2 Corso di Alta Formazione in Information Security Management

La Società

 Costituita nel 1983 su iniziativa della Provincia Autonoma di Trentino e di altri
Enti pubblici del Trentino
 La compagine azionaria
 51,366% Provincia Autonoma di Trento
 39,710% Tecnofin Trentina Spa
 1,720% Regione Autonoma
Trentino-Alto Adige
 1,243% Comune di Trento
 1,243% C.C.I.A.A. di Trento
 0,393% Comune di Rovereto
 4,323% suddiviso tra gli 11 Comprensori

 Alcuni dati al 31/12/2007:
 Valore della Produzione: oltre 48 milioni di Euro
 Numero dipendenti: 273


La dimensione

Università
50 Siti

Scuole Biblioteche

Telpat
122 Siti 173 Siti

INFORMATICA
TRENTINA

APSS
223 Comuni
122 Siti
Oltre 300 Siti
PAT
265 Siti


Situazione legata al monitoraggio

• Security SLA - Il contesto di business aziendale pone precise
responsabilità nei confronti dei Clienti in merito ai servizi telematici
erogati.
• Prevenzione - Il governo della sicurezza necessita di processi
aziendali supportati da strumenti per avere anche un approccio
preventivo.
• Reazione - la gestione degli incidenti di sicurezza è un’attività
tecnicamente complessa e onerosa in termini di competenze e tempo
necessario.


Ruolo Funzione Sicurezza

Board

Comunica:
• livelli di rischio
Management

Dal Piano di
Sicurezza Aziendale:
Funzione Sicurezza
• misura efficacia/efficienza
delle contromisure

Comunica: Direzioni aziendali
• orientamento (Risorse Umane; Business Unit; Tecnologie)

tecnico e
procedurale Processi

Assets Informazioni


Agenda

 Esigenze
 Il Progetto

 Analisi




Esigenze percepite

• Agevolare analisi e decisioni nell’ambito della gestione della sicurezza
(identificare minacce e vulnerabilità; gestire gli incidenti di sicurezza; supporto al Management
aziendale…).

• Agevolare i processi aziendali di Security Audit ed attivare un
monitoring proattivo.
• Avere una visione globale della sicurezza, composta di aspetti
tecnologici, ambientali e risorse umane.
• Contribuire al miglioramento del “sistema di gestione della sicurezza
delle informazioni”.

•“Misurare” la sicurezza


Agevolare il processo Incident Management


I Security KPI

Il fine
• Rilevazione delle minacce
 “Livello di Minaccia”: valutazione delle minacce per Asset o per gruppi di
Asset sia in funzione della quantità che gravità.
 “Livello di Rischio”: valutazione dell’impatto delle minacce sugli Asset in
funzione della loro rilevanza.

• Rilevazione delle vulnerabilità
 Identificare le aree d’intervento per un approccio proattivo alla gestione
della sicurezza.
 Valutare più efficacemente le minacce tramite la loro correlazione con le
vulnerabilità note dell’infrastruttura (riduzione dei falsi positivi).

• Verifica dell’efficienza delle contromisure
 In questo caso i Security KPI esprimono l’efficienza delle contromisure
messe in atto per contrastare le 10
minacce. di Alta Formazione in Information Security Management
Corso

Agenda

 Esigenze
 Il Progetto

 Analisi




Le attività Previste
1 2 3 4

Definizione Scelta Definizione e
Analisi Tecnologica Mappatura KPI
Requisiti

u Requisiti Cogenti u Individuazione u Analisi Gartner MQ
procedure ultimi 5 anni

u Requisiti Tecnologici u Mappatura processi u Redazione Long List

u Inventario risorse u Redazione Short List
rilevanti

u Interviste con i u Compilazione ed
Tecnici di riferimento invio RFI

u Assegnazione priorità u Valutazione RFI
ai diversi devices

u Stima EPS u Definizione
Architettura

u Individuazione KPI


Agenda

 Esigenze
 Il Progetto

 Analisi




Requisiti: Contesto Normativo

Leggi nazionali – tutela dell’utente/cittadino
 “Codice in materia di protezione dei dati personali”, d.lgs n. 196 del 30-06-2003.
Allegato B “Disciplinare tecnico in materia di misure minime di sicurezza”.
 “Pacchetto sicurezza” legge n. 155 del 31-07-2005 (Legge Pisanu); obbliga gli
operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i
dati di traffico, cioè “chi ha fatto cosa e quando”.
 Il provvedimento generale del Garante Privacy: “Sicurezza dei dati di traffico
telefonico e telematico” del 17-01-2008; in vigore dal 31-10-2008; normativa
molto stringente sul piano tecnico e organizzativo che definisce le modalità di
trattamento dei dati di traffico telefonico e telematico per finalità di accertamento
e repressione dei reati.

Normativa di riferimento – tutela i dati di business dell’azienda
 Lo standard internazionale ISO 27001:2005 che fornisce i requisiti di un “sistema
di gestione della sicurezza delle informazioni”.


Requisiti: Infrastruttura Tecnologica

Funzionalità:
• Gestione degli incidenti
di sicurezza
• Security compliance
• Security performance
• Misurazione di Security
KPI

Caratteristiche:
• Raccolta
• Classificazione
• Analisi e Correlazione
• Archiviazione
• Presentazione

Requisiti: Sommario

Funzionalità Caratteristiche Caratteristiche
Tecniche Non Tecniche

Definizione dell’ambiente
Prestazioni e Scalabilità Solidità del Vendor
gestito

Controllo in tempo reale e
Alta Affidabilità Servizio di supporto
gestione degli allarmi

Gestione centralizzata degli
Bassa intrusività
eventi di sicurezza

Gestione e analisi dei log Profilazione degli operatori

Forensics & Analysis Gestione della base di dati

Reporting Storicizzazione dei dati

Gestione degli incidenti di Supporto di sorgenti di log e
sicurezza messaggi

Deployment e
Personalizzazione

Supporto della crittografia


Agenda

 Esigenze
 Il Progetto

 Analisi




Analisi: Mappatura Processi

L’analisi dei processi esistenti ha messo in evidenza la necessità di introdurre delle
modifiche ai seguenti processi aziendali:
 Security Monitoring: Devono esse istituite delle procedure di monitoraggio
utilizzando l’infrastruttura centralizzata SIEM per l’analisi e reportistica degli eventi
di sicurezza per sopperire la mancanza di un monitoraggio proattivo
 Risk Assessment: il processo di analisi delle vulnerabilità e delle minacce deve
prevedere l’integrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata
la visione ad alto livello con la visione operativa dell’infrastruttura ICT
 Change & Configuration Management: Le modifiche apportate all’infrastruttura IT
devono essere integrate sulla piattaforma SIEM (es. regole firewall, introduzione di
nuovi sistemi, installazione di nuovi servizi) al fine di tenere aggiornata la visione
operativa dell’infrastruttura ICT. Deve inoltre essere prevista una revisione periodica
delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma
SIEM


Analisi: Processo di Security Monitoring


Analisi: Inventario Risorse

APPLIANCE SERVER

Tipologia Priorità Tipologia Priorità
Tipo di Sorgente Q.tà Tipo di Sorgente Q.tà
Connessione (1-2) Connessione (1-2)

Firewall
Fibra/10 Gb 4 P1 Acces Control Server Rame/1 Gb 3 P1
Di Backbone

Server Gestione AV
Firewall Periferici Rame/100 Mb 15 P1 Rame/1 Gb 2 P1
Centralizzato

VPN Concentrator Fibra/10 Gb 2 P1 Web Server Varie 50 P2

Intrusion Prevention Fibra/1-10 Gb 6 P1 Mail Server Varie 11 P1

P2
Backbone switch Fibra/10 Gb 4 Sistemi Unix Varie 122 P2

Apparati di rete Sistemi Windows Varie 220 P2
Varie 600 P2
attivi

Proxy e Web Filter Fibra/10 Gb 4 P1

Stima EPS devices P1 > 3000
GW Antivirus e
Fibra/10 Gb 2 P1
Antispam
Stima EPS devices P2 non effettuata


Analisi: Individuazione KPI

Cosa è un KPI (o Security Metric)
To provide meaningful data, security metrics must be based on IT security performance
goals and objectives, and be easily obtainable and feasible to measure.
They must also be repeatable, provide relevant performance trends over time, and be
useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems, National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative, statistical and/or mathematical analyses
to measuring security functional costs, benefits, successes, failures and trends and
workload
(Security Metrics Management, Kovacich and Halibozek, 2006)

A defined form of measurement (measurement method, function of calculation or analytical
model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004, 2005; Information security metrics and measurements (Draft))



 I Security metrics sono un aiuto per la gestione dell’information security in
un’organizzazione. Sono il risultato di analisi e interpretazione di dati, spesso desunti da
trend o previsioni effettuate su informazioni precedentemente raccolte.
 I Security metrics dovrebbero essere: puntuali; affidabili; provenienti da fonte certa;
accurati; semplici (almeno ad un certo livello); dimostrabili; facilmente comprensibili;
ripetibili; verificabili e applicabili su economie di scala
 Una definizione sufficentemente accettata li definisce come: Misurazioni oggettive e
quantificabili nei confronti di specifici target che permettono all’organizzazione di
valutare l’efficacia dell’information security.


Analisi: Il modello Why-What-How


Agenda

 Esigenze
 Il Progetto

 Analisi




Indagine di mercato: Metodologia e Long List

 La scelta è stata orientata verso i leader del “Magic Quadrant for Security Information
and Event Management” di Gartner® considerando l’evoluzione degli ultimi 3 anni: dal
2005 al 2007
 A partire da una long-list dei leader del 2005: e-Security (attuale Novell); Intellitactics;
ArcSight; netForensics e Network Intelligence (attuale RSA); per ciascuno di questi
sono state considerate le valutazioni di Gartner® per determinare una short-list di
due/tre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti
funzionali e alle caratteristiche tecniche richieste.
 Altri nomi importanti di fornitori quali Computer Associates, IBM e Symatec non sono
stati considerati perché pur essendo diffusi (collocati tra le zone “challengers” e
“leaders”), non sono focalizzati nel settore SIEM. Symantec fornisce questa soluzione
come complemento di altri prodoti di sicurezza. IBM ha un’offerta complicata dalla
sovrapposizione di più prodotti che ha acquisito: Consul e Micromuse. Computer
Associates è focalizzata nell’area mainframe.
 Infine Fornitori quali TriGeo, NetIQ e LogLogic, pur essendo ben collocati nell’ultima
recensione, hanno soluzioni ancora incomplete.


Indagine di mercato: Short List (2)

 Novell (Ex e-Security) – L’acquisizione di Novell ha portato la soluzione SIEM ex e-
Security ad essere una componente della propria offerta nel settore dell’Identity and
Access Management (IAM). Gartner® la giudica una soluzione particolarmente adatta
alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il
trattamento di tutti i log. Esclusa dalla short-list perché non è proposta come
soluzione strategica SIEM dal Vendor.
 Intellitactics – L’attuale posizionamento tra i “niche players” è con probabilità dovuto
all’estrema flessibilità che la caratterizza e che la rende complessa da implementare.
Gartner® segnala la necessità che il Vendor riduca le competenze tecniche necessarie
per l’implementazione. Esclusa dalla short-list per la valutazione attuale non
ottimale.
 ArchSight – Soluzione adatta alle grandi installazioni sia negli aspetti tecnici
(flessibilità; elevata personalizzazione) che nell’approccio commerciale del Vendor che
è orientato verso i clienti Large-Enterprise. Di riflesso la soluzione è complessa ed è
valutata onerosa nel dimensionamento della piattaforma di base e per il tuning. Il
Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un
canale di vendita adatto ai clienti della fascia Mid-market. Esclusa dalla short-list per
non aver risposto alle richieste d’informazione in tempo utile.


Indagine di mercato: Short List (2)

 NetForensics – Soluzione SIEM funzionalmente completa con le caratteristiche
necessarie sia per i clienti Large-Enterprise, sia per il Mid-market. Se da un lato
privilegia la rapidità di attivazione, dall’altro deve consolidare l’integrazione delle
funzionalità di log management rese disponibili a metà 2007. L’attuale posizionamento
nel quadrante dei “challengers” è motivata da Gartner® con la carenza nell’ambito del
log management che è stato sviluppato successivamente all’ultima valutazione
Gartner®. Inclusione nella short-list essendo una soluzione completa e una delle
leader di tipo software-based.
 RSA (Ex Network Intelligence) – Soluzione leader che può soddisfare esigenze SEM e
SIM grazie alla sua architettura particolarmente performante. Vanta una rapidità di
attivazione essendo una soluzione appliance-based, ma proprio per questo paga lo
scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano
richieste funzionalità estese per un Security Operations Center. Inclusione nella short-
list essendo una soluzione completa e una delle leader di tipo appliance-based.


Request for Information: Il modello

Type of Vendor Model Utilization Note Standard or
Requested functionality or characteristics Security custom
Devices support
Functionalities

Setup of the managed environment
Real time security analisys and alerting
Centralized management
Forensics & Analisys
Log Management
Reporting
Incident handling

Technical characteristics
Performance and scalability
Redundant and distributed configurations
Low level of intrusion
Authentication
Authorization
Internal database management
Storing and Archiving of the Security Events and Logs
Supported storage devices
Maintenance of Security Devices
Rapid deployment and personalization
Support of encryption
Suggested configuration

Other characteristics
Vendor leadership and award
Customer’s reference in the Italian Market
Support service


Request for Information: Il metodo di calcolo

netForensics nFX
RSA enVision
SIM|One
Peso
Requested functionality or characteristics Note
(1-3)

Valutaz.ne (0-3) Valutaz.ne (0-3)

Functionalities

Technical characteristics

Other characteristics

Valutazione attribuita ad ogni Peso attribuito ad ogni funzionalità o
funzionalità o caratteristica: caratteristica:
•0 = funzionalità non disponibile •1 = minima importanza per Informatica Trentina
•1 = supporto minimo della funzionalità •2 = media importanza per Informatica Trentina
•2 = supporto parziale della funzionalità •3 = massima importanza per Informatica Trentina
•3 = supporto completo della funzionalità


Agenda

 Esigenze
 Il Progetto

 Analisi




Definizione e Mappatura KPI



Information
Board CISO IT managers IT staff
security staff

Communicate with
business     
Identify and manage
risk    
Measure
performance   
Demonstrate
compliance  

Measure controls  

Justify/value
information security  

Manage information
security    


Domande

Domande?
‫ َا ِب‬Ara َ‫ م‬bic ‫أ َة‬Italian
‫طل‬ ‫ي‬
ّ
Ερωτήσεις?
Greek
¿Preguntas?
Spanish
вопросы?
Russian
R u
Japanese
Questions?
English
tupoQghachmey
Klingon


Last Pw Siem 2

Recommandé

Recommandé

Contenu connexe

Similaire à Last Pw Siem 2

Similaire à Last Pw Siem 2 (20)

Last Pw Siem 2