Vigilanza ed esperienza: come le norme e le metodologie evolvono
Last Pw Siem 2
1. Corso di Alta Formazione in
Information Security Management
Milano, Novembre 2007 – Luglio 2008
Realizzazione di una piattaforma SIEM
(Security Information and Event Management)
Pierluigi Sartori, Simone Fortin, Luca Andreoli
Stefano Testoni
Milano– 23 maggio 2008
In collaborazione con: Con il patrocinio di:
2. Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
2 Corso di Alta Formazione in Information Security Management
3. La Società
Costituita nel 1983 su iniziativa della Provincia Autonoma di Trentino e di altri
Enti pubblici del Trentino
La compagine azionaria
51,366% Provincia Autonoma di Trento
39,710% Tecnofin Trentina Spa
1,720% Regione Autonoma
Trentino-Alto Adige
1,243% Comune di Trento
1,243% C.C.I.A.A. di Trento
0,393% Comune di Rovereto
4,323% suddiviso tra gli 11 Comprensori
Alcuni dati al 31/12/2007:
Valore della Produzione: oltre 48 milioni di Euro
Numero dipendenti: 273
3 Corso di Alta Formazione in Information Security Management
4. La dimensione
Università
50 Siti
Scuole Biblioteche
Telpat
122 Siti 173 Siti
INFORMATICA
TRENTINA
APSS
223 Comuni
122 Siti
Oltre 300 Siti
PAT
265 Siti
4 Corso di Alta Formazione in Information Security Management
5. Situazione legata al monitoraggio
• Security SLA - Il contesto di business aziendale pone precise
responsabilità nei confronti dei Clienti in merito ai servizi telematici
erogati.
• Prevenzione - Il governo della sicurezza necessita di processi
aziendali supportati da strumenti per avere anche un approccio
preventivo.
• Reazione - la gestione degli incidenti di sicurezza è un’attività
tecnicamente complessa e onerosa in termini di competenze e tempo
necessario.
5 Corso di Alta Formazione in Information Security Management
6. Ruolo Funzione Sicurezza
Board
Comunica:
• livelli di rischio
Management
Dal Piano di
Sicurezza Aziendale:
Funzione Sicurezza
• misura efficacia/efficienza
delle contromisure
Comunica: Direzioni aziendali
• orientamento (Risorse Umane; Business Unit; Tecnologie)
tecnico e
procedurale Processi
Assets Informazioni
6 Corso di Alta Formazione in Information Security Management
7. Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
7 Corso di Alta Formazione in Information Security Management
8. Esigenze percepite
• Agevolare analisi e decisioni nell’ambito della gestione della sicurezza
(identificare minacce e vulnerabilità; gestire gli incidenti di sicurezza; supporto al Management
aziendale…).
• Agevolare i processi aziendali di Security Audit ed attivare un
monitoring proattivo.
• Avere una visione globale della sicurezza, composta di aspetti
tecnologici, ambientali e risorse umane.
• Contribuire al miglioramento del “sistema di gestione della sicurezza
delle informazioni”.
•“Misurare” la sicurezza
8 Corso di Alta Formazione in Information Security Management
9. Agevolare il processo Incident Management
9 Corso di Alta Formazione in Information Security Management
10. I Security KPI
Il fine
• Rilevazione delle minacce
“Livello di Minaccia”: valutazione delle minacce per Asset o per gruppi di
Asset sia in funzione della quantità che gravità.
“Livello di Rischio”: valutazione dell’impatto delle minacce sugli Asset in
funzione della loro rilevanza.
• Rilevazione delle vulnerabilità
Identificare le aree d’intervento per un approccio proattivo alla gestione
della sicurezza.
Valutare più efficacemente le minacce tramite la loro correlazione con le
vulnerabilità note dell’infrastruttura (riduzione dei falsi positivi).
• Verifica dell’efficienza delle contromisure
In questo caso i Security KPI esprimono l’efficienza delle contromisure
messe in atto per contrastare le 10
minacce. di Alta Formazione in Information Security Management
Corso
11. Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
11 Corso di Alta Formazione in Information Security Management
12. Le attività Previste
1 2 3 4
Definizione Scelta Definizione e
Analisi Tecnologica Mappatura KPI
Requisiti
u Requisiti Cogenti u Individuazione u Analisi Gartner MQ
procedure ultimi 5 anni
u Requisiti Tecnologici u Mappatura processi u Redazione Long List
u Inventario risorse u Redazione Short List
rilevanti
u Interviste con i u Compilazione ed
Tecnici di riferimento invio RFI
u Assegnazione priorità u Valutazione RFI
ai diversi devices
u Stima EPS u Definizione
Architettura
u Individuazione KPI
12 Corso di Alta Formazione in Information Security Management
13. Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
13 Corso di Alta Formazione in Information Security Management
14. Requisiti: Contesto Normativo
Leggi nazionali – tutela dell’utente/cittadino
“Codice in materia di protezione dei dati personali”, d.lgs n. 196 del 30-06-2003.
Allegato B “Disciplinare tecnico in materia di misure minime di sicurezza”.
“Pacchetto sicurezza” legge n. 155 del 31-07-2005 (Legge Pisanu); obbliga gli
operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i
dati di traffico, cioè “chi ha fatto cosa e quando”.
Il provvedimento generale del Garante Privacy: “Sicurezza dei dati di traffico
telefonico e telematico” del 17-01-2008; in vigore dal 31-10-2008; normativa
molto stringente sul piano tecnico e organizzativo che definisce le modalità di
trattamento dei dati di traffico telefonico e telematico per finalità di accertamento
e repressione dei reati.
Normativa di riferimento – tutela i dati di business dell’azienda
Lo standard internazionale ISO 27001:2005 che fornisce i requisiti di un “sistema
di gestione della sicurezza delle informazioni”.
14 Corso di Alta Formazione in Information Security Management
15. Requisiti: Infrastruttura Tecnologica
Funzionalità:
• Gestione degli incidenti
di sicurezza
• Security compliance
• Security performance
• Misurazione di Security
KPI
Caratteristiche:
• Raccolta
• Classificazione
• Analisi e Correlazione
• Archiviazione
• Presentazione
15 Corso di Alta Formazione in Information Security Management
16. Requisiti: Sommario
Funzionalità Caratteristiche Caratteristiche
Tecniche Non Tecniche
Definizione dell’ambiente
Prestazioni e Scalabilità Solidità del Vendor
gestito
Controllo in tempo reale e
Alta Affidabilità Servizio di supporto
gestione degli allarmi
Gestione centralizzata degli
Bassa intrusività
eventi di sicurezza
Gestione e analisi dei log Profilazione degli operatori
Forensics & Analysis Gestione della base di dati
Reporting Storicizzazione dei dati
Gestione degli incidenti di Supporto di sorgenti di log e
sicurezza messaggi
Deployment e
Personalizzazione
Supporto della crittografia
16 Corso di Alta Formazione in Information Security Management
17. Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
17 Corso di Alta Formazione in Information Security Management
18. Analisi: Mappatura Processi
L’analisi dei processi esistenti ha messo in evidenza la necessità di introdurre delle
modifiche ai seguenti processi aziendali:
Security Monitoring: Devono esse istituite delle procedure di monitoraggio
utilizzando l’infrastruttura centralizzata SIEM per l’analisi e reportistica degli eventi
di sicurezza per sopperire la mancanza di un monitoraggio proattivo
Risk Assessment: il processo di analisi delle vulnerabilità e delle minacce deve
prevedere l’integrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata
la visione ad alto livello con la visione operativa dell’infrastruttura ICT
Change & Configuration Management: Le modifiche apportate all’infrastruttura IT
devono essere integrate sulla piattaforma SIEM (es. regole firewall, introduzione di
nuovi sistemi, installazione di nuovi servizi) al fine di tenere aggiornata la visione
operativa dell’infrastruttura ICT. Deve inoltre essere prevista una revisione periodica
delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma
SIEM
18 Corso di Alta Formazione in Information Security Management
19. Analisi: Processo di Security Monitoring
19 Corso di Alta Formazione in Information Security Management
20. Analisi: Processo di Security Monitoring
20 Corso di Alta Formazione in Information Security Management
21. Analisi: Inventario Risorse
APPLIANCE SERVER
Tipologia Priorità Tipologia Priorità
Tipo di Sorgente Q.tà Tipo di Sorgente Q.tà
Connessione (1-2) Connessione (1-2)
Firewall
Fibra/10 Gb 4 P1 Acces Control Server Rame/1 Gb 3 P1
Di Backbone
Server Gestione AV
Firewall Periferici Rame/100 Mb 15 P1 Rame/1 Gb 2 P1
Centralizzato
VPN Concentrator Fibra/10 Gb 2 P1 Web Server Varie 50 P2
Intrusion Prevention Fibra/1-10 Gb 6 P1 Mail Server Varie 11 P1
P2
Backbone switch Fibra/10 Gb 4 Sistemi Unix Varie 122 P2
Apparati di rete Sistemi Windows Varie 220 P2
Varie 600 P2
attivi
Proxy e Web Filter Fibra/10 Gb 4 P1
Stima EPS devices P1 > 3000
GW Antivirus e
Fibra/10 Gb 2 P1
Antispam
Stima EPS devices P2 non effettuata
21 Corso di Alta Formazione in Information Security Management
22. Analisi: Individuazione KPI
Cosa è un KPI (o Security Metric)
To provide meaningful data, security metrics must be based on IT security performance
goals and objectives, and be easily obtainable and feasible to measure.
They must also be repeatable, provide relevant performance trends over time, and be
useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems, National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative, statistical and/or mathematical analyses
to measuring security functional costs, benefits, successes, failures and trends and
workload
(Security Metrics Management, Kovacich and Halibozek, 2006)
A defined form of measurement (measurement method, function of calculation or analytical
model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004, 2005; Information security metrics and measurements (Draft))
22 Corso di Alta Formazione in Information Security Management
23. Analisi: Individuazione KPI
I Security metrics sono un aiuto per la gestione dell’information security in
un’organizzazione. Sono il risultato di analisi e interpretazione di dati, spesso desunti da
trend o previsioni effettuate su informazioni precedentemente raccolte.
I Security metrics dovrebbero essere: puntuali; affidabili; provenienti da fonte certa;
accurati; semplici (almeno ad un certo livello); dimostrabili; facilmente comprensibili;
ripetibili; verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come: Misurazioni oggettive e
quantificabili nei confronti di specifici target che permettono all’organizzazione di
valutare l’efficacia dell’information security.
23 Corso di Alta Formazione in Information Security Management
24. Analisi: Il modello Why-What-How
24 Corso di Alta Formazione in Information Security Management
30. 30 Corso di Alta Formazione in Information Security Management
31. Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
31 Corso di Alta Formazione in Information Security Management
32. Indagine di mercato: Metodologia e Long List
La scelta è stata orientata verso i leader del “Magic Quadrant for Security Information
and Event Management” di Gartner® considerando l’evoluzione degli ultimi 3 anni: dal
2005 al 2007
A partire da una long-list dei leader del 2005: e-Security (attuale Novell); Intellitactics;
ArcSight; netForensics e Network Intelligence (attuale RSA); per ciascuno di questi
sono state considerate le valutazioni di Gartner® per determinare una short-list di
due/tre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti
funzionali e alle caratteristiche tecniche richieste.
Altri nomi importanti di fornitori quali Computer Associates, IBM e Symatec non sono
stati considerati perché pur essendo diffusi (collocati tra le zone “challengers” e
“leaders”), non sono focalizzati nel settore SIEM. Symantec fornisce questa soluzione
come complemento di altri prodoti di sicurezza. IBM ha un’offerta complicata dalla
sovrapposizione di più prodotti che ha acquisito: Consul e Micromuse. Computer
Associates è focalizzata nell’area mainframe.
Infine Fornitori quali TriGeo, NetIQ e LogLogic, pur essendo ben collocati nell’ultima
recensione, hanno soluzioni ancora incomplete.
32 Corso di Alta Formazione in Information Security Management
33. Indagine di mercato: Short List (2)
Novell (Ex e-Security) – L’acquisizione di Novell ha portato la soluzione SIEM ex e-
Security ad essere una componente della propria offerta nel settore dell’Identity and
Access Management (IAM). Gartner® la giudica una soluzione particolarmente adatta
alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il
trattamento di tutti i log. Esclusa dalla short-list perché non è proposta come
soluzione strategica SIEM dal Vendor.
Intellitactics – L’attuale posizionamento tra i “niche players” è con probabilità dovuto
all’estrema flessibilità che la caratterizza e che la rende complessa da implementare.
Gartner® segnala la necessità che il Vendor riduca le competenze tecniche necessarie
per l’implementazione. Esclusa dalla short-list per la valutazione attuale non
ottimale.
ArchSight – Soluzione adatta alle grandi installazioni sia negli aspetti tecnici
(flessibilità; elevata personalizzazione) che nell’approccio commerciale del Vendor che
è orientato verso i clienti Large-Enterprise. Di riflesso la soluzione è complessa ed è
valutata onerosa nel dimensionamento della piattaforma di base e per il tuning. Il
Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un
canale di vendita adatto ai clienti della fascia Mid-market. Esclusa dalla short-list per
non aver risposto alle richieste d’informazione in tempo utile.
33 Corso di Alta Formazione in Information Security Management
34. Indagine di mercato: Short List (2)
NetForensics – Soluzione SIEM funzionalmente completa con le caratteristiche
necessarie sia per i clienti Large-Enterprise, sia per il Mid-market. Se da un lato
privilegia la rapidità di attivazione, dall’altro deve consolidare l’integrazione delle
funzionalità di log management rese disponibili a metà 2007. L’attuale posizionamento
nel quadrante dei “challengers” è motivata da Gartner® con la carenza nell’ambito del
log management che è stato sviluppato successivamente all’ultima valutazione
Gartner®. Inclusione nella short-list essendo una soluzione completa e una delle
leader di tipo software-based.
RSA (Ex Network Intelligence) – Soluzione leader che può soddisfare esigenze SEM e
SIM grazie alla sua architettura particolarmente performante. Vanta una rapidità di
attivazione essendo una soluzione appliance-based, ma proprio per questo paga lo
scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano
richieste funzionalità estese per un Security Operations Center. Inclusione nella short-
list essendo una soluzione completa e una delle leader di tipo appliance-based.
34 Corso di Alta Formazione in Information Security Management
35. Request for Information: Il modello
Type of Vendor Model Utilization Note Standard or
Requested functionality or characteristics Security custom
Devices support
Functionalities
Setup of the managed environment
Real time security analisys and alerting
Centralized management
Forensics & Analisys
Log Management
Reporting
Incident handling
Technical characteristics
Performance and scalability
Redundant and distributed configurations
Low level of intrusion
Authentication
Authorization
Internal database management
Storing and Archiving of the Security Events and Logs
Supported storage devices
Maintenance of Security Devices
Rapid deployment and personalization
Support of encryption
Suggested configuration
Other characteristics
Vendor leadership and award
Customer’s reference in the Italian Market
Support service
35 Corso di Alta Formazione in Information Security Management
36. Request for Information: Il metodo di calcolo
netForensics nFX
RSA enVision
SIM|One
Peso
Requested functionality or characteristics Note
(1-3)
Valutaz.ne (0-3) Valutaz.ne (0-3)
Functionalities
Technical characteristics
Other characteristics
Valutazione attribuita ad ogni Peso attribuito ad ogni funzionalità o
funzionalità o caratteristica: caratteristica:
•0 = funzionalità non disponibile •1 = minima importanza per Informatica Trentina
•1 = supporto minimo della funzionalità •2 = media importanza per Informatica Trentina
•2 = supporto parziale della funzionalità •3 = massima importanza per Informatica Trentina
•3 = supporto completo della funzionalità
36 Corso di Alta Formazione in Information Security Management
37. Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
37 Corso di Alta Formazione in Information Security Management
40. Definizione e Mappatura KPI
Information
Board CISO IT managers IT staff
security staff
Communicate with
business
Identify and manage
risk
Measure
performance
Demonstrate
compliance
Measure controls
Justify/value
information security
Manage information
security
40 Corso di Alta Formazione in Information Security Management
41. Domande
Domande?
َا ِبAra َ مbic أ َةItalian
طل ي
ّ
Ερωτήσεις?
Greek
¿Preguntas?
Spanish
вопросы?
Russian
R u
Japanese
Questions?
English
tupoQghachmey
Klingon
41 Corso di Alta Formazione in Information Security Management