Corso di Alta Formazione in
Information Security Management
Milano, Novembre 2007 – Luglio 2008


Realizzazione di una pia...
Agenda


     Il Contesto di riferimento
     Esigenze
     Obiettivi del PW
     Il Progetto
          Definizione r...
La Società

   Costituita nel 1983 su iniziativa della Provincia Autonoma di Trentino e di altri
    Enti pubblici del Tr...
La dimensione



                               Università
                                50 Siti

                  Scuo...
Situazione legata al monitoraggio


• Security SLA - Il contesto di business aziendale pone precise
   responsabilità nei ...
Ruolo Funzione Sicurezza



                                                     Board

           Comunica:
       • live...
Agenda


     Il Contesto di riferimento
     Esigenze
     Obiettivi del PW
     Il Progetto
          Definizione r...
Esigenze percepite


• Agevolare analisi e decisioni nell’ambito della gestione della sicurezza
   (identificare minacce e...
Agevolare il processo Incident Management




                                 9     Corso di Alta Formazione in Informati...
I Security KPI

 Il fine
 • Rilevazione delle minacce
          “Livello di Minaccia”: valutazione delle minacce per Asse...
Agenda


     Il Contesto di riferimento
     Esigenze
     Obiettivi del PW
     Il Progetto
          Definizione r...
Le attività Previste
1                             2                          3                                  4

      ...
Agenda


     Il Contesto di riferimento
     Esigenze
     Obiettivi del PW
     Il Progetto
          Definizione r...
Requisiti: Contesto Normativo


 Leggi nazionali – tutela dell’utente/cittadino
       “Codice in materia di protezione d...
Requisiti: Infrastruttura Tecnologica



Funzionalità:
• Gestione degli incidenti
    di sicurezza
• Security compliance
•...
Requisiti: Sommario

                Funzionalità                 Caratteristiche                    Caratteristiche
     ...
Agenda


     Il Contesto di riferimento
     Esigenze
     Obiettivi del PW
     Il Progetto
          Definizione r...
Analisi: Mappatura Processi



 L’analisi dei processi esistenti ha messo in evidenza la necessità di introdurre delle
 mo...
Analisi: Processo di Security Monitoring




                                      19   Corso di Alta Formazione in Inform...
Analisi: Processo di Security Monitoring




                                      20   Corso di Alta Formazione in Inform...
Analisi: Inventario Risorse



                             APPLIANCE                                                     ...
Analisi: Individuazione KPI



                  Cosa è un KPI (o Security Metric)
   To provide meaningful data, security...
Analisi: Individuazione KPI



         I Security metrics sono un aiuto per la gestione dell’information security in
   ...
Analisi: Il modello Why-What-How




                                   24   Corso di Alta Formazione in Information Secur...
Analisi: Individuazione KPI




                              25   Corso di Alta Formazione in Information Security Manage...
Analisi: Individuazione KPI




                              26   Corso di Alta Formazione in Information Security Manage...
Analisi: Individuazione KPI




                              27   Corso di Alta Formazione in Information Security Manage...
Analisi: Individuazione KPI




                              28   Corso di Alta Formazione in Information Security Manage...
Analisi: Individuazione KPI




                              29   Corso di Alta Formazione in Information Security Manage...
30   Corso di Alta Formazione in Information Security Management
Agenda


     Il Contesto di riferimento
     Esigenze
     Obiettivi del PW
     Il Progetto
          Definizione r...
Indagine di mercato: Metodologia e Long List



  La scelta è stata orientata verso i leader del “Magic Quadrant for Secu...
Indagine di mercato: Short List (2)



  Novell (Ex e-Security) – L’acquisizione di Novell ha portato la soluzione SIEM e...
Indagine di mercato: Short List (2)



  NetForensics – Soluzione SIEM funzionalmente completa con le caratteristiche
   ...
Request for Information: Il modello


                                                        Type of    Vendor      Model...
Request for Information: Il metodo di calcolo



                                                                         ...
Agenda


     Il Contesto di riferimento
     Esigenze
     Obiettivi del PW
     Il Progetto
          Definizione r...
Definizione e Mappatura KPI




                              38   Corso di Alta Formazione in Information Security Manage...
Definizione e Mappatura KPI




                              39   Corso di Alta Formazione in Information Security Manage...
Definizione e Mappatura KPI


                                                                             Information
   ...
Domande


                 Domande?
          ‫ َا ِب‬Ara َ‫ م‬bic ‫أ َة‬Italian
           ‫طل‬               ‫ي‬
       ...
Upcoming SlideShare
Loading in...5
×

Last Pw Siem 2

1,053

Published on

This is my analysis about how to select the right SIEM solution

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,053
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Last Pw Siem 2

  1. 1. Corso di Alta Formazione in Information Security Management Milano, Novembre 2007 – Luglio 2008 Realizzazione di una piattaforma SIEM (Security Information and Event Management) Pierluigi Sartori, Simone Fortin, Luca Andreoli Stefano Testoni Milano– 23 maggio 2008 In collaborazione con: Con il patrocinio di:
  2. 2. Agenda  Il Contesto di riferimento  Esigenze  Obiettivi del PW  Il Progetto  Definizione requisiti  Analisi  Scelta Tecnologica  Definizione e mappatura KPI 2 Corso di Alta Formazione in Information Security Management
  3. 3. La Società  Costituita nel 1983 su iniziativa della Provincia Autonoma di Trentino e di altri Enti pubblici del Trentino  La compagine azionaria  51,366% Provincia Autonoma di Trento  39,710% Tecnofin Trentina Spa  1,720% Regione Autonoma Trentino-Alto Adige  1,243% Comune di Trento  1,243% C.C.I.A.A. di Trento  0,393% Comune di Rovereto  4,323% suddiviso tra gli 11 Comprensori  Alcuni dati al 31/12/2007:  Valore della Produzione: oltre 48 milioni di Euro  Numero dipendenti: 273 3 Corso di Alta Formazione in Information Security Management
  4. 4. La dimensione Università 50 Siti Scuole Biblioteche Telpat 122 Siti 173 Siti INFORMATICA TRENTINA APSS 223 Comuni 122 Siti Oltre 300 Siti PAT 265 Siti 4 Corso di Alta Formazione in Information Security Management
  5. 5. Situazione legata al monitoraggio • Security SLA - Il contesto di business aziendale pone precise responsabilità nei confronti dei Clienti in merito ai servizi telematici erogati. • Prevenzione - Il governo della sicurezza necessita di processi aziendali supportati da strumenti per avere anche un approccio preventivo. • Reazione - la gestione degli incidenti di sicurezza è un’attività tecnicamente complessa e onerosa in termini di competenze e tempo necessario. 5 Corso di Alta Formazione in Information Security Management
  6. 6. Ruolo Funzione Sicurezza Board Comunica: • livelli di rischio Management Dal Piano di Sicurezza Aziendale: Funzione Sicurezza • misura efficacia/efficienza delle contromisure Comunica: Direzioni aziendali • orientamento (Risorse Umane; Business Unit; Tecnologie) tecnico e procedurale Processi Assets Informazioni 6 Corso di Alta Formazione in Information Security Management
  7. 7. Agenda  Il Contesto di riferimento  Esigenze  Obiettivi del PW  Il Progetto  Definizione requisiti  Analisi  Scelta Tecnologica  Definizione e mappatura KPI 7 Corso di Alta Formazione in Information Security Management
  8. 8. Esigenze percepite • Agevolare analisi e decisioni nell’ambito della gestione della sicurezza (identificare minacce e vulnerabilità; gestire gli incidenti di sicurezza; supporto al Management aziendale…). • Agevolare i processi aziendali di Security Audit ed attivare un monitoring proattivo. • Avere una visione globale della sicurezza, composta di aspetti tecnologici, ambientali e risorse umane. • Contribuire al miglioramento del “sistema di gestione della sicurezza delle informazioni”. •“Misurare” la sicurezza 8 Corso di Alta Formazione in Information Security Management
  9. 9. Agevolare il processo Incident Management 9 Corso di Alta Formazione in Information Security Management
  10. 10. I Security KPI Il fine • Rilevazione delle minacce  “Livello di Minaccia”: valutazione delle minacce per Asset o per gruppi di Asset sia in funzione della quantità che gravità.  “Livello di Rischio”: valutazione dell’impatto delle minacce sugli Asset in funzione della loro rilevanza. • Rilevazione delle vulnerabilità  Identificare le aree d’intervento per un approccio proattivo alla gestione della sicurezza.  Valutare più efficacemente le minacce tramite la loro correlazione con le vulnerabilità note dell’infrastruttura (riduzione dei falsi positivi). • Verifica dell’efficienza delle contromisure  In questo caso i Security KPI esprimono l’efficienza delle contromisure messe in atto per contrastare le 10 minacce. di Alta Formazione in Information Security Management Corso
  11. 11. Agenda  Il Contesto di riferimento  Esigenze  Obiettivi del PW  Il Progetto  Definizione requisiti  Analisi  Scelta Tecnologica  Definizione e mappatura KPI 11 Corso di Alta Formazione in Information Security Management
  12. 12. Le attività Previste 1 2 3 4 Definizione Scelta Definizione e Analisi Tecnologica Mappatura KPI Requisiti u Requisiti Cogenti u Individuazione u Analisi Gartner MQ procedure ultimi 5 anni u Requisiti Tecnologici u Mappatura processi u Redazione Long List u Inventario risorse u Redazione Short List rilevanti u Interviste con i u Compilazione ed Tecnici di riferimento invio RFI u Assegnazione priorità u Valutazione RFI ai diversi devices u Stima EPS u Definizione Architettura u Individuazione KPI 12 Corso di Alta Formazione in Information Security Management
  13. 13. Agenda  Il Contesto di riferimento  Esigenze  Obiettivi del PW  Il Progetto  Definizione requisiti  Analisi  Scelta Tecnologica  Definizione e mappatura KPI 13 Corso di Alta Formazione in Information Security Management
  14. 14. Requisiti: Contesto Normativo Leggi nazionali – tutela dell’utente/cittadino  “Codice in materia di protezione dei dati personali”, d.lgs n. 196 del 30-06-2003. Allegato B “Disciplinare tecnico in materia di misure minime di sicurezza”.  “Pacchetto sicurezza” legge n. 155 del 31-07-2005 (Legge Pisanu); obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico, cioè “chi ha fatto cosa e quando”.  Il provvedimento generale del Garante Privacy: “Sicurezza dei dati di traffico telefonico e telematico” del 17-01-2008; in vigore dal 31-10-2008; normativa molto stringente sul piano tecnico e organizzativo che definisce le modalità di trattamento dei dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati. Normativa di riferimento – tutela i dati di business dell’azienda  Lo standard internazionale ISO 27001:2005 che fornisce i requisiti di un “sistema di gestione della sicurezza delle informazioni”. 14 Corso di Alta Formazione in Information Security Management
  15. 15. Requisiti: Infrastruttura Tecnologica Funzionalità: • Gestione degli incidenti di sicurezza • Security compliance • Security performance • Misurazione di Security KPI Caratteristiche: • Raccolta • Classificazione • Analisi e Correlazione • Archiviazione • Presentazione 15 Corso di Alta Formazione in Information Security Management
  16. 16. Requisiti: Sommario Funzionalità Caratteristiche Caratteristiche Tecniche Non Tecniche Definizione dell’ambiente Prestazioni e Scalabilità Solidità del Vendor gestito Controllo in tempo reale e Alta Affidabilità Servizio di supporto gestione degli allarmi Gestione centralizzata degli Bassa intrusività eventi di sicurezza Gestione e analisi dei log Profilazione degli operatori Forensics & Analysis Gestione della base di dati Reporting Storicizzazione dei dati Gestione degli incidenti di Supporto di sorgenti di log e sicurezza messaggi Deployment e Personalizzazione Supporto della crittografia 16 Corso di Alta Formazione in Information Security Management
  17. 17. Agenda  Il Contesto di riferimento  Esigenze  Obiettivi del PW  Il Progetto  Definizione requisiti  Analisi  Scelta Tecnologica  Definizione e mappatura KPI 17 Corso di Alta Formazione in Information Security Management
  18. 18. Analisi: Mappatura Processi L’analisi dei processi esistenti ha messo in evidenza la necessità di introdurre delle modifiche ai seguenti processi aziendali:  Security Monitoring: Devono esse istituite delle procedure di monitoraggio utilizzando l’infrastruttura centralizzata SIEM per l’analisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo  Risk Assessment: il processo di analisi delle vulnerabilità e delle minacce deve prevedere l’integrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dell’infrastruttura ICT  Change & Configuration Management: Le modifiche apportate all’infrastruttura IT devono essere integrate sulla piattaforma SIEM (es. regole firewall, introduzione di nuovi sistemi, installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dell’infrastruttura ICT. Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM 18 Corso di Alta Formazione in Information Security Management
  19. 19. Analisi: Processo di Security Monitoring 19 Corso di Alta Formazione in Information Security Management
  20. 20. Analisi: Processo di Security Monitoring 20 Corso di Alta Formazione in Information Security Management
  21. 21. Analisi: Inventario Risorse APPLIANCE SERVER Tipologia Priorità Tipologia Priorità Tipo di Sorgente Q.tà Tipo di Sorgente Q.tà Connessione (1-2) Connessione (1-2) Firewall Fibra/10 Gb 4 P1 Acces Control Server Rame/1 Gb 3 P1 Di Backbone Server Gestione AV Firewall Periferici Rame/100 Mb 15 P1 Rame/1 Gb 2 P1 Centralizzato VPN Concentrator Fibra/10 Gb 2 P1 Web Server Varie 50 P2 Intrusion Prevention Fibra/1-10 Gb 6 P1 Mail Server Varie 11 P1 P2 Backbone switch Fibra/10 Gb 4 Sistemi Unix Varie 122 P2 Apparati di rete Sistemi Windows Varie 220 P2 Varie 600 P2 attivi Proxy e Web Filter Fibra/10 Gb 4 P1 Stima EPS devices P1 > 3000 GW Antivirus e Fibra/10 Gb 2 P1 Antispam Stima EPS devices P2 non effettuata 21 Corso di Alta Formazione in Information Security Management
  22. 22. Analisi: Individuazione KPI Cosa è un KPI (o Security Metric) To provide meaningful data, security metrics must be based on IT security performance goals and objectives, and be easily obtainable and feasible to measure. They must also be repeatable, provide relevant performance trends over time, and be useful for tracking performance and directing resources (Security Metrics Guide for Information Technology Systems, National Institute of Standards and Technology Special Publication 800-55) A security metric is the application of quantitative, statistical and/or mathematical analyses to measuring security functional costs, benefits, successes, failures and trends and workload (Security Metrics Management, Kovacich and Halibozek, 2006) A defined form of measurement (measurement method, function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes (ISO 27004, 2005; Information security metrics and measurements (Draft)) 22 Corso di Alta Formazione in Information Security Management
  23. 23. Analisi: Individuazione KPI  I Security metrics sono un aiuto per la gestione dell’information security in un’organizzazione. Sono il risultato di analisi e interpretazione di dati, spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte.  I Security metrics dovrebbero essere: puntuali; affidabili; provenienti da fonte certa; accurati; semplici (almeno ad un certo livello); dimostrabili; facilmente comprensibili; ripetibili; verificabili e applicabili su economie di scala  Una definizione sufficentemente accettata li definisce come: Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono all’organizzazione di valutare l’efficacia dell’information security. 23 Corso di Alta Formazione in Information Security Management
  24. 24. Analisi: Il modello Why-What-How 24 Corso di Alta Formazione in Information Security Management
  25. 25. Analisi: Individuazione KPI 25 Corso di Alta Formazione in Information Security Management
  26. 26. Analisi: Individuazione KPI 26 Corso di Alta Formazione in Information Security Management
  27. 27. Analisi: Individuazione KPI 27 Corso di Alta Formazione in Information Security Management
  28. 28. Analisi: Individuazione KPI 28 Corso di Alta Formazione in Information Security Management
  29. 29. Analisi: Individuazione KPI 29 Corso di Alta Formazione in Information Security Management
  30. 30. 30 Corso di Alta Formazione in Information Security Management
  31. 31. Agenda  Il Contesto di riferimento  Esigenze  Obiettivi del PW  Il Progetto  Definizione requisiti  Analisi  Scelta Tecnologica  Definizione e mappatura KPI 31 Corso di Alta Formazione in Information Security Management
  32. 32. Indagine di mercato: Metodologia e Long List  La scelta è stata orientata verso i leader del “Magic Quadrant for Security Information and Event Management” di Gartner® considerando l’evoluzione degli ultimi 3 anni: dal 2005 al 2007  A partire da una long-list dei leader del 2005: e-Security (attuale Novell); Intellitactics; ArcSight; netForensics e Network Intelligence (attuale RSA); per ciascuno di questi sono state considerate le valutazioni di Gartner® per determinare una short-list di due/tre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste.  Altri nomi importanti di fornitori quali Computer Associates, IBM e Symatec non sono stati considerati perché pur essendo diffusi (collocati tra le zone “challengers” e “leaders”), non sono focalizzati nel settore SIEM. Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza. IBM ha un’offerta complicata dalla sovrapposizione di più prodotti che ha acquisito: Consul e Micromuse. Computer Associates è focalizzata nell’area mainframe.  Infine Fornitori quali TriGeo, NetIQ e LogLogic, pur essendo ben collocati nell’ultima recensione, hanno soluzioni ancora incomplete. 32 Corso di Alta Formazione in Information Security Management
  33. 33. Indagine di mercato: Short List (2)  Novell (Ex e-Security) – L’acquisizione di Novell ha portato la soluzione SIEM ex e- Security ad essere una componente della propria offerta nel settore dell’Identity and Access Management (IAM). Gartner® la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log. Esclusa dalla short-list perché non è proposta come soluzione strategica SIEM dal Vendor.  Intellitactics – L’attuale posizionamento tra i “niche players” è con probabilità dovuto all’estrema flessibilità che la caratterizza e che la rende complessa da implementare. Gartner® segnala la necessità che il Vendor riduca le competenze tecniche necessarie per l’implementazione. Esclusa dalla short-list per la valutazione attuale non ottimale.  ArchSight – Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilità; elevata personalizzazione) che nell’approccio commerciale del Vendor che è orientato verso i clienti Large-Enterprise. Di riflesso la soluzione è complessa ed è valutata onerosa nel dimensionamento della piattaforma di base e per il tuning. Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market. Esclusa dalla short-list per non aver risposto alle richieste d’informazione in tempo utile. 33 Corso di Alta Formazione in Information Security Management
  34. 34. Indagine di mercato: Short List (2)  NetForensics – Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise, sia per il Mid-market. Se da un lato privilegia la rapidità di attivazione, dall’altro deve consolidare l’integrazione delle funzionalità di log management rese disponibili a metà 2007. L’attuale posizionamento nel quadrante dei “challengers” è motivata da Gartner® con la carenza nell’ambito del log management che è stato sviluppato successivamente all’ultima valutazione Gartner®. Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based.  RSA (Ex Network Intelligence) – Soluzione leader che può soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante. Vanta una rapidità di attivazione essendo una soluzione appliance-based, ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalità estese per un Security Operations Center. Inclusione nella short- list essendo una soluzione completa e una delle leader di tipo appliance-based. 34 Corso di Alta Formazione in Information Security Management
  35. 35. Request for Information: Il modello Type of Vendor Model Utilization Note Standard or Requested functionality or characteristics Security custom Devices support Functionalities Setup of the managed environment Real time security analisys and alerting Centralized management Forensics & Analisys Log Management Reporting Incident handling Technical characteristics Performance and scalability Redundant and distributed configurations Low level of intrusion Authentication Authorization Internal database management Storing and Archiving of the Security Events and Logs Supported storage devices Maintenance of Security Devices Rapid deployment and personalization Support of encryption Suggested configuration Other characteristics Vendor leadership and award Customer’s reference in the Italian Market Support service 35 Corso di Alta Formazione in Information Security Management
  36. 36. Request for Information: Il metodo di calcolo netForensics nFX RSA enVision SIM|One Peso Requested functionality or characteristics Note (1-3) Valutaz.ne (0-3) Valutaz.ne (0-3) Functionalities Technical characteristics Other characteristics Valutazione attribuita ad ogni Peso attribuito ad ogni funzionalità o funzionalità o caratteristica: caratteristica: •0 = funzionalità non disponibile •1 = minima importanza per Informatica Trentina •1 = supporto minimo della funzionalità •2 = media importanza per Informatica Trentina •2 = supporto parziale della funzionalità •3 = massima importanza per Informatica Trentina •3 = supporto completo della funzionalità 36 Corso di Alta Formazione in Information Security Management
  37. 37. Agenda  Il Contesto di riferimento  Esigenze  Obiettivi del PW  Il Progetto  Definizione requisiti  Analisi  Scelta Tecnologica  Definizione e mappatura KPI 37 Corso di Alta Formazione in Information Security Management
  38. 38. Definizione e Mappatura KPI 38 Corso di Alta Formazione in Information Security Management
  39. 39. Definizione e Mappatura KPI 39 Corso di Alta Formazione in Information Security Management
  40. 40. Definizione e Mappatura KPI Information Board CISO IT managers IT staff security staff Communicate with business      Identify and manage risk     Measure performance    Demonstrate compliance   Measure controls   Justify/value information security   Manage information security     40 Corso di Alta Formazione in Information Security Management
  41. 41. Domande Domande? ‫ َا ِب‬Ara َ‫ م‬bic ‫أ َة‬Italian ‫طل‬ ‫ي‬ ّ Ερωτήσεις? Greek ¿Preguntas? Spanish вопросы? Russian R u Japanese Questions? English tupoQghachmey Klingon 41 Corso di Alta Formazione in Information Security Management
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×