SlideShare a Scribd company logo

GDPR & GDPR - Confindustria Ravenna - Alessandro Rani

A
Adalberto Casalboni

Security Intelligence, le risposte alle sfide di domani

Business
1 of 27
Security Intelligence, le risposte alle sfide di domani Alessandro Rani ICT Security Business Unit Manager
2 Live poll: "Quale percezione hai del livello di sicurezza della tua azienda?" http://etc.ch/te8y RISULTATI
3 La difesa di un ecosistema complesso
4 SIEM – Security Information and Event Management SIEM è l’acronimo di “Security Information and Event Management” , tradotto in SISTEMA DI GESTIONE DELLE INFORMAZIONI E DEGLI EVENTI DI SICUREZZA e definisce un prodotto costituito da software e/o servizi che unisce le capacità di: Che cosa si intende per SIEM? “Security Information Management” (SIM) SIM si occupa della parte di “log management”, di attività di analisi e della produzione di report per aderire ad esempio norme di compliance. + “Security Event Management” (SEM) SEM si occupa del monitoraggio in real-time degli eventi, dell’incident management in ambito security, per quanto riguarda eventi che accadono sulla rete, sui dispositivi di sicurezza, sui sistemi o le applicazioni.
5 Un SIEM, quali funzioni svolge? • Collezione: raccolta LOG ed Eventi da svariati tipologie di fonti, sistemi, dispositivi, applicazioni. • Aggregazione: i dati raccolti vengono combinati opportunamente in un unico data store facilitando così le successive operazioni sui dati. • Normalizzazione: la normalizzazione è un processo fondamentale, che si occupa di trasformare le differenti rappresentazioni delle informazioni ricevute, in una forma univoca, normalizzata e rappresentata in maniera comprensibile. • Correlazione: altro processo della massima importanza, vero valore del sistema, ossia la capacità di collegare tra loro le informazioni ricevute dai sistemi più disparati, confrontarle con regole predefinite o create ad hoc secondo policy, per andare poi a segnalare la presenza o meno di Incidenti (od Offenses) • Segnalazione: definita anche alerting, è quella funzione che in combinazione con la correlazione si occupa di avvisare di minacce o incidenti in atto, sulla base di soglie o regole definite. • Reportistica: elemento fondamentale, soprattutto in ambito di IT Governance e di compliance, oltre che di analisi.
6 La complessità di raccogliere Log Log Sources •Dispositivi di sicurezza • Applicativi di sicurezza • Sistemi Operativi • Data Base • Applicazioni • Dispositivi di Rete • Client Protocols •Syslog •ODBC • SNMP • OPSEC • Sftp • altri… Information • Attività delle utenze • Login/Logout • Allarmi • Attività amministrative • Email • Navigazione • Attività di traffico • Attività di Sistema
7 …e un Next Generation SIEM, quali funzioni svolge? 1. Collezione e correlazione di Log ai quali si aggiungono  Flussi di traffico sia da sorgenti locali che remote  NBAD (Network Behavior Anomaly Detection)  Vulnerability Assessment Information  Asset Inventory e Discovery  UBA (User Behaviour Analisys)  Cyber Threat Intelligence Feeds 2. Full Packet Capture PRE e POST Mortem 3. Risk Assessment tools e data path discovery
8 SIEM per la conformità con Direttive / Normative • In ottemperanza alla normativa GDPR (General Data Protection Regulation), il mantenimento di un continuo controllo sulla sicurezza IT, con l’obiettivo di rilevare e notificare eventuali violazioni al momento in cui si manifestano. •Le funzionalità di un SIEM sono necessarie per la conformità alle principali Normative, vincoli di categoria, framework di processo e di sicurezza  ISO 27001  Payment Card Industry Data Security Standard (PCI DSS)  Health Insurance Portability and Accountability Act (HIPAA)  Federal Energy Regulatory Commission (FERC) Sarbanes–Oxley (SOX)  National Institute of Standards and Technology (NIST)  Information Technology Infrastructure Library (ITIL)  Control Objectives for Information and related Technology (CoBit)
9 IBM QRadar Security Intelligence Platform
10 IBM QRadar Security Intelligence Platform
11 La piattaforma SIEM QRadar per un Security Operation Center
12 QRadar SIEM - Offenses investigation Un icona ROSSA indica la presenza di un Offense
13 QRadar Network flows and Application Visibility • Il traffico di rete NON MENTE. Un attaccante può eliminare le tracce del suo passaggio ma il flussi di traffico non possono essere alterati. • Interpreta flussi NetFlow, IPFIX, sFlow, Jflow, Packeteer • Consente di rilevare gli attacchi zero-day che non hanno firma • Fornisce visibilità in tutte le comunicazioni • Utilizza il monitoraggio passivo per costruire i profili di attività e classificare gli host • Migliora la visibilità della rete e aiuta a risolvere i problemi di traffico
14 QRadar Network Insight dalla raccolta del flusso di rete all' analisi del contenuto STEP 1 - QRadar Flow Collector Correlazione delle informazioni di traffico basato su indirizzi IP e porte TCP/UDP, fino a livello 4. STEP 2 - QRadar Qflow e Vflow Verifca dei primi 64 byte del flusso di traffico e consente di riconoscere una applicazione, catturando la parte iniziale della sessione di comunicazione STEP 3 – QRadar Forensics Ricostruzione del traficco post mortem, ossia a seguito di un evento e replay dell’ intera conversazione STEP 4 – QRadar Network Insight Analisi e correlazione del contenuto dei pacchetti di rete in tempo reale. Consente di rilevare se temi di interesse o elementi sospetti, vengono trattati durante una conversazione o sessione di comunicazione.
15 QRadar Network Insight Le sfide di sicurezza che le aziende devono affrontare
16 Quali sono i 4 livelli di maturità di Security Intelligence?
Modern Security Intelligence Platform 2nd Gen SIEM 1st Gen SIEM Evoluzione della Security Operations To gain awareness of the current state of an organization’s security posture requires data and analytics. But thus far security operations teams limited focus to internal security data with minimal use of external knowledge Increasing Volume and Variety of Data Log Data Vulnerability Data/External Threat Feeds Flow Data Full Packet Capture Unstructured/ External Data IncreasingSophisticationofAnalytics Search Pattern Detection ReportingRules Out-ofthe-box Analytics Platformfor Custom Analytics Log Mgmt Advanced Cyber Forensics 1st Generati on Forensics
L’ Evoluzione del Security Operations Center Fonte: Rapporto Clusit 2017 •Il SOC sta evolvendo (o dovrà evolvere) verso il Next Generation SOC, il quale dovrà giocoforza predisporsi e adeguarsi ad agganciare fonti non tradizionali, ad adottare regole di correlazione che includano metodi e tecniche di analisi Business Oriented e dovrà soprattutto essere integrabile con strumenti di monitoring predisposti per i Big Data. • E’ in particolare nel mondo esterno che I dati moltiplicano esponenzialmente il loro volume e la loro eterogeneità, dati fatti per essere ad uso e consumo dell’ uomo, più che della macchina. In questa direzione dovrà orientarsi l’intelligence preventiva di nuova generazione. • Il fattore tempo è quello sempre più determinate nel contrasto al Cyber Crime.
Traditional Security Data Una quantità enorme di conoscenze di sicurezza è creata per il consumo umano, ma la maggior parte è inutilizzata Examples include: • Research documents • Industry publications • Forensic information • Threat intelligence commentary • Conference presentations • Analyst reports • Webpages • Wikis • Blogs • News sources • Newsletters • Tweets A universe of security knowledge Dark to your defenses Typical organizations leverage only 8% of this content* Human Generated Knowledge •Security events and alerts •Logs and configuration data •User and network activity •Threat and vulnerability feeds
Todays reality - Do all of this in under 20 minutes, all day, every day Review your security incidents in a SIEM Decide which incident to focus on next Review the data (events / flows that made up that incident) Expand your search to capture more data around that incident Pivot the data multiple ways to find outliers (such as unusual domains, IPs, file access) Review the payload outlying events for anything interesting (domains, MD5s, etc) Search X-Force Exchange + Search Engine + Virus Total + your favorite tools for these outliers / indicators. Find new Malware is at play Get the name of the Malware Search more websites for information about indicators of compromise (IOCs) for that Malware Take these newly found IOCs from the internet Take these newly found IOCs from the internet and search from them back in a SIEM Find other internal IPs are potentially infected with the same Malware. Start another investigation around each of these IPs.
Watson For Cyber Security
Da cosa viene alimentato Watson for Cyber Security? 1 Week1 Hour5 Minutes Structured Security Data X-Force Exchange Trusted Partner Data Open source Paid data- Indicators - Vulnerabilities - Malware names, … - New actors - Campaigns - Malware outbreaks - Indicators, … - Course of action - Actors - Trends - Indicators, … Crawl of Critical Unstructured Security Data Massive Crawl of all Security Related Data on Web Breach replies Attack write-ups Best practices Blogs Websites News, … Filtering + Machine Learning Removes Unnecessary InformationMachine Learning / Natural Language Processing Extracts and Annotates Collected Data Billions of Data Elements Millions of Documents 5-10 updates / hour! 100K updates / week! 3:1 Reduction Massive Security Knowledge GraphBillions of Nodes / Edges
Cognitive Security Starts Here IBM Security Introduces a Revolutionary Shift in Security Operations • Employs powerful cognitive capabilities to investigate and qualify security incidents and anomalies on behalf of security analysts • Powered by Watson for Cyber Security to tap into vast amounts of security knowledge and deliver insights relevant to specific security incidents • Transforms SOC operations by addressing current challenges that include skills shortages, alert overloads, incident response delays, currency of security information and process risks • Designed to be easily consumable: delivered via IBM Security App Exchange and deployed in minutes NEW! IBM QRadar Watson Advisor
• Review the incident data • Review the outlying events for anything interesting (e.g., domains, MD5s, etc.) • Pivot on the data to find outliers (e.g., unusual domains, IPs, file access) • Expand your search to capture more data around that incident • Search for these outliers / indicators using X-Force Exchange + Google + Virus Total + your favorite tools • Discover new malware is at play • Get the name of the malware • Gather IOC (indicators of compromise) from additional web searches • Investigate gathered IOC locally • Find other internal IPs are potentially infected with the same Malware • Qualify the incident based on insights gathered from threat research • Start another investigation around each of these IPs Attività cognitive di un analista della sicurezza nell'individuare un incidente Time consuming threat analysis There’s got to be an easier way! Applicare l'intelligenza e indagare sull'incidente Raccogliere la ricerca di minaccia, sviluppare le competenze Ottenere il contesto locale che porta all'incidente
Sbloccare una nuova partnership tra gli analisti della sicurezza e la loro tecnologia QRadar Advisor complementing the investigative resources of a SOC • Manage alerts • Research security events and anomalies • Evaluate user activity and vulnerabilities • Configuration • Other • Data correlation • Pattern identification • Thresholds • Policies • Anomaly detection • Prioritization Security Analytics Security Analysts Watson for Cyber Security • Security knowledge • Threat identification • Reveal additional indicators • Surface or derive relationships • Evidence • Local data mining • Perform threat research using Watson for Cyber Security • Qualify and relate threat research to security incidents • Present findings QRadar Watson Advisor SECURITY ANALYSTS SECURITY ANALYTICS QRadar Advisor with Watson Watson for Cyber Security
QRadar Advisor in Action 1. Offenses 5. Research results Knowledge graph 4. Performs threat research and develops expertise 3. Observables2. Gains local context and forms threat research strategy Offense context Device activities Equivalency relationships 6. Applies the intelligence gathered to investigate and qualify the incident QRadar Correlated enterprise data
Grazie per l’attenzione! www.vmsistemi.it VM SISTEMI SpA Faenza: Via R. Ossani, 18 - 48018 - Faenza (RA) - Tel 0546 689511 – Fax 0546 689591 Milano: Via L. Tolstoj 86 - Scala H - 20089 San Giuliano Milanese (MI) – Tel 02 57506417 Roma: Via Troilo il Grande, 3 – 00131 Roma – Tel 06 41294278 www.vmsistemi.it – vm@vmsistemi.it Grazie per l’attenzione! www.vmsistemi.it VM SISTEMI SpA Faenza: Via R. Ossani, 18 - 48018 - Faenza (RA) - Tel 0546 689511 – Fax 0546 689591 Milano: Via L. Tolstoj 86 - Scala H - 20089 San Giuliano Milanese (MI) – Tel 02 57506417 Roma: Via Troilo il Grande, 3 – 00131 Roma – Tel 06 41294278 www.vmsistemi.it – vm@vmsistemi.it Alessandro Rani ICT Security Business Unit Manager Email: arani@vmsistemi.it Linkedin: it.linkedin.com/in/alessandrorani

Recommended

SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessivaSergio Leoni
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Par-Tec S.p.A.
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSMAU
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiEmerasoft, solutions to collaborate
 
EVENTO PARADIGMA
EVENTO PARADIGMAEVENTO PARADIGMA
EVENTO PARADIGMASWASCAN
 
Polino fiera dellevante
Polino fiera dellevantePolino fiera dellevante
Polino fiera dellevanteRedazione InnovaPuglia
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityVilma Pozzi
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 

Recommended

SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessivaSergio Leoni
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Par-Tec S.p.A.
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSMAU
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiEmerasoft, solutions to collaborate
 
EVENTO PARADIGMA
EVENTO PARADIGMAEVENTO PARADIGMA
EVENTO PARADIGMASWASCAN
 
Polino fiera dellevante
Polino fiera dellevantePolino fiera dellevante
Polino fiera dellevanteRedazione InnovaPuglia
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityVilma Pozzi
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
Splunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationSplunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationGeorg Knon
 
SplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunk
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systemsjekil
 
Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi Leonardo
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Marco Pirrone
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017SMAU
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint OverviewLeonardo Antichi
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4raffaele_forte
 
GDPR & Forensics Readiness -Italiano
GDPR & Forensics Readiness -ItalianoGDPR & Forensics Readiness -Italiano
GDPR & Forensics Readiness -ItalianoStudio Fiorenzi Security & Forensics
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Studio Fiorenzi Security & Forensics
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
 
Servizi di Sicurezza Gestiti
Servizi di Sicurezza GestitiServizi di Sicurezza Gestiti
Servizi di Sicurezza GestitiAndrea Cirulli
 
B wave Brochure Servizi di Sicurezza Gestiti
B wave Brochure Servizi di Sicurezza GestitiB wave Brochure Servizi di Sicurezza Gestiti
B wave Brochure Servizi di Sicurezza GestitiAndrea Cirulli
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Maccaglia - Cybercrime un approccio tecnologico e sociologico
Maccaglia - Cybercrime un approccio tecnologico e sociologicoMaccaglia - Cybercrime un approccio tecnologico e sociologico
Maccaglia - Cybercrime un approccio tecnologico e sociologicoStefano Maccaglia
 
Infomation Leakage Prevention Ita
Infomation Leakage Prevention ItaInfomation Leakage Prevention Ita
Infomation Leakage Prevention ItaMaurizio Milazzo
 
Managed Security Services vs In house management
Managed Security Services vs In house managementManaged Security Services vs In house management
Managed Security Services vs In house managementPierluigi Sartori
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
 
Case history Bucci Industries - Digitalizzazione di Fatturazione Elettronica,...
Case history Bucci Industries - Digitalizzazione di Fatturazione Elettronica,...Case history Bucci Industries - Digitalizzazione di Fatturazione Elettronica,...
Case history Bucci Industries - Digitalizzazione di Fatturazione Elettronica,...Adalberto Casalboni
 
Case history Ecol Studio Bioikos - Gestione delle commesse e delle informazio...
Case history Ecol Studio Bioikos - Gestione delle commesse e delle informazio...Case history Ecol Studio Bioikos - Gestione delle commesse e delle informazio...
Case history Ecol Studio Bioikos - Gestione delle commesse e delle informazio...Adalberto Casalboni
 

More Related Content

Similar to GDPR & GDPR - Confindustria Ravenna - Alessandro Rani

Splunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationSplunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationGeorg Knon
 
SplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunk
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systemsjekil
 
Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi Leonardo
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Marco Pirrone
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017SMAU
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4raffaele_forte
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Studio Fiorenzi Security & Forensics
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
 
Servizi di Sicurezza Gestiti
Servizi di Sicurezza GestitiServizi di Sicurezza Gestiti
Servizi di Sicurezza GestitiAndrea Cirulli
 
B wave Brochure Servizi di Sicurezza Gestiti
B wave Brochure Servizi di Sicurezza GestitiB wave Brochure Servizi di Sicurezza Gestiti
B wave Brochure Servizi di Sicurezza GestitiAndrea Cirulli
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Maccaglia - Cybercrime un approccio tecnologico e sociologico
Maccaglia - Cybercrime un approccio tecnologico e sociologicoMaccaglia - Cybercrime un approccio tecnologico e sociologico
Maccaglia - Cybercrime un approccio tecnologico e sociologicoStefano Maccaglia
 
Infomation Leakage Prevention Ita
Infomation Leakage Prevention ItaInfomation Leakage Prevention Ita
Infomation Leakage Prevention ItaMaurizio Milazzo
 
Managed Security Services vs In house management
Managed Security Services vs In house managementManaged Security Services vs In house management
Managed Security Services vs In house managementPierluigi Sartori
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0AmmLibera AL
 

Similar to GDPR & GDPR - Confindustria Ravenna - Alessandro Rani (20)

Splunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationSplunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentation
 
SplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG Gaming
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systems
 
Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
 
Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017
 
Forcepoint Overview
Forcepoint OverviewForcepoint Overview
Forcepoint Overview
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
 
GDPR & Forensics Readiness -Italiano
GDPR & Forensics Readiness -ItalianoGDPR & Forensics Readiness -Italiano
GDPR & Forensics Readiness -Italiano
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
 
Servizi di Sicurezza Gestiti
Servizi di Sicurezza GestitiServizi di Sicurezza Gestiti
Servizi di Sicurezza Gestiti
 
B wave Brochure Servizi di Sicurezza Gestiti
B wave Brochure Servizi di Sicurezza GestitiB wave Brochure Servizi di Sicurezza Gestiti
B wave Brochure Servizi di Sicurezza Gestiti
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
 
Maccaglia - Cybercrime un approccio tecnologico e sociologico
Maccaglia - Cybercrime un approccio tecnologico e sociologicoMaccaglia - Cybercrime un approccio tecnologico e sociologico
Maccaglia - Cybercrime un approccio tecnologico e sociologico
 
Infomation Leakage Prevention Ita
Infomation Leakage Prevention ItaInfomation Leakage Prevention Ita
Infomation Leakage Prevention Ita
 
Managed Security Services vs In house management
Managed Security Services vs In house managementManaged Security Services vs In house management
Managed Security Services vs In house management
 
La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0La sicurezza delle informazioni nell’era del web 2.0
La sicurezza delle informazioni nell’era del web 2.0
 

More from Adalberto Casalboni

Case history Bucci Industries - Digitalizzazione di Fatturazione Elettronica,...
Case history Bucci Industries - Digitalizzazione di Fatturazione Elettronica,...Case history Bucci Industries - Digitalizzazione di Fatturazione Elettronica,...
Case history Bucci Industries - Digitalizzazione di Fatturazione Elettronica,...Adalberto Casalboni
 
Case history Ecol Studio Bioikos - Gestione delle commesse e delle informazio...
Case history Ecol Studio Bioikos - Gestione delle commesse e delle informazio...Case history Ecol Studio Bioikos - Gestione delle commesse e delle informazio...
Case history Ecol Studio Bioikos - Gestione delle commesse e delle informazio...Adalberto Casalboni
 
Gian Domenico Ceroni a Techsentially: iperintegrare per evolvere in Impresa 4.0
Gian Domenico Ceroni a Techsentially: iperintegrare per evolvere in Impresa 4.0Gian Domenico Ceroni a Techsentially: iperintegrare per evolvere in Impresa 4.0
Gian Domenico Ceroni a Techsentially: iperintegrare per evolvere in Impresa 4.0Adalberto Casalboni
 
GDPR & GDPR - Confindustria Ravenna - Luca Tumidei
GDPR & GDPR - Confindustria Ravenna - Luca TumideiGDPR & GDPR - Confindustria Ravenna - Luca Tumidei
GDPR & GDPR - Confindustria Ravenna - Luca TumideiAdalberto Casalboni
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiAdalberto Casalboni
 
Report regionale 2014 sull'innovazione
Report regionale 2014 sull'innovazioneReport regionale 2014 sull'innovazione
Report regionale 2014 sull'innovazioneAdalberto Casalboni
 
I servizi di VM Sistemi a supporto dell’Iperconvergenza
I servizi di VM Sistemi a supporto dell’IperconvergenzaI servizi di VM Sistemi a supporto dell’Iperconvergenza
I servizi di VM Sistemi a supporto dell’IperconvergenzaAdalberto Casalboni
 

More from Adalberto Casalboni (8)

Case history Bucci Industries - Digitalizzazione di Fatturazione Elettronica,...
Case history Bucci Industries - Digitalizzazione di Fatturazione Elettronica,...Case history Bucci Industries - Digitalizzazione di Fatturazione Elettronica,...
Case history Bucci Industries - Digitalizzazione di Fatturazione Elettronica,...
 
Case history Ecol Studio Bioikos - Gestione delle commesse e delle informazio...
Case history Ecol Studio Bioikos - Gestione delle commesse e delle informazio...Case history Ecol Studio Bioikos - Gestione delle commesse e delle informazio...
Case history Ecol Studio Bioikos - Gestione delle commesse e delle informazio...
 
Gian Domenico Ceroni a Techsentially: iperintegrare per evolvere in Impresa 4.0
Gian Domenico Ceroni a Techsentially: iperintegrare per evolvere in Impresa 4.0Gian Domenico Ceroni a Techsentially: iperintegrare per evolvere in Impresa 4.0
Gian Domenico Ceroni a Techsentially: iperintegrare per evolvere in Impresa 4.0
 
GDPR & GDPR - Confindustria Ravenna - Luca Tumidei
GDPR & GDPR - Confindustria Ravenna - Luca TumideiGDPR & GDPR - Confindustria Ravenna - Luca Tumidei
GDPR & GDPR - Confindustria Ravenna - Luca Tumidei
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
 
Nvra__Numero_13__Febbriao_2015
Nvra__Numero_13__Febbriao_2015Nvra__Numero_13__Febbriao_2015
Nvra__Numero_13__Febbriao_2015
 
Report regionale 2014 sull'innovazione
Report regionale 2014 sull'innovazioneReport regionale 2014 sull'innovazione
Report regionale 2014 sull'innovazione
 
I servizi di VM Sistemi a supporto dell’Iperconvergenza
I servizi di VM Sistemi a supporto dell’IperconvergenzaI servizi di VM Sistemi a supporto dell’Iperconvergenza
I servizi di VM Sistemi a supporto dell’Iperconvergenza
 

GDPR & GDPR - Confindustria Ravenna - Alessandro Rani

  • 1. Security Intelligence, le risposte alle sfide di domani Alessandro Rani ICT Security Business Unit Manager
  • 2. 2 Live poll: "Quale percezione hai del livello di sicurezza della tua azienda?" http://etc.ch/te8y RISULTATI
  • 3. 3 La difesa di un ecosistema complesso
  • 4. 4 SIEM – Security Information and Event Management SIEM è l’acronimo di “Security Information and Event Management” , tradotto in SISTEMA DI GESTIONE DELLE INFORMAZIONI E DEGLI EVENTI DI SICUREZZA e definisce un prodotto costituito da software e/o servizi che unisce le capacità di: Che cosa si intende per SIEM? “Security Information Management” (SIM) SIM si occupa della parte di “log management”, di attività di analisi e della produzione di report per aderire ad esempio norme di compliance. + “Security Event Management” (SEM) SEM si occupa del monitoraggio in real-time degli eventi, dell’incident management in ambito security, per quanto riguarda eventi che accadono sulla rete, sui dispositivi di sicurezza, sui sistemi o le applicazioni.
  • 5. 5 Un SIEM, quali funzioni svolge? • Collezione: raccolta LOG ed Eventi da svariati tipologie di fonti, sistemi, dispositivi, applicazioni. • Aggregazione: i dati raccolti vengono combinati opportunamente in un unico data store facilitando così le successive operazioni sui dati. • Normalizzazione: la normalizzazione è un processo fondamentale, che si occupa di trasformare le differenti rappresentazioni delle informazioni ricevute, in una forma univoca, normalizzata e rappresentata in maniera comprensibile. • Correlazione: altro processo della massima importanza, vero valore del sistema, ossia la capacità di collegare tra loro le informazioni ricevute dai sistemi più disparati, confrontarle con regole predefinite o create ad hoc secondo policy, per andare poi a segnalare la presenza o meno di Incidenti (od Offenses) • Segnalazione: definita anche alerting, è quella funzione che in combinazione con la correlazione si occupa di avvisare di minacce o incidenti in atto, sulla base di soglie o regole definite. • Reportistica: elemento fondamentale, soprattutto in ambito di IT Governance e di compliance, oltre che di analisi.
  • 6. 6 La complessità di raccogliere Log Log Sources •Dispositivi di sicurezza • Applicativi di sicurezza • Sistemi Operativi • Data Base • Applicazioni • Dispositivi di Rete • Client Protocols •Syslog •ODBC • SNMP • OPSEC • Sftp • altri… Information • Attività delle utenze • Login/Logout • Allarmi • Attività amministrative • Email • Navigazione • Attività di traffico • Attività di Sistema
  • 7. 7 …e un Next Generation SIEM, quali funzioni svolge? 1. Collezione e correlazione di Log ai quali si aggiungono  Flussi di traffico sia da sorgenti locali che remote  NBAD (Network Behavior Anomaly Detection)  Vulnerability Assessment Information  Asset Inventory e Discovery  UBA (User Behaviour Analisys)  Cyber Threat Intelligence Feeds 2. Full Packet Capture PRE e POST Mortem 3. Risk Assessment tools e data path discovery
  • 8. 8 SIEM per la conformità con Direttive / Normative • In ottemperanza alla normativa GDPR (General Data Protection Regulation), il mantenimento di un continuo controllo sulla sicurezza IT, con l’obiettivo di rilevare e notificare eventuali violazioni al momento in cui si manifestano. •Le funzionalità di un SIEM sono necessarie per la conformità alle principali Normative, vincoli di categoria, framework di processo e di sicurezza  ISO 27001  Payment Card Industry Data Security Standard (PCI DSS)  Health Insurance Portability and Accountability Act (HIPAA)  Federal Energy Regulatory Commission (FERC) Sarbanes–Oxley (SOX)  National Institute of Standards and Technology (NIST)  Information Technology Infrastructure Library (ITIL)  Control Objectives for Information and related Technology (CoBit)
  • 9. 9 IBM QRadar Security Intelligence Platform
  • 10. 10 IBM QRadar Security Intelligence Platform
  • 11. 11 La piattaforma SIEM QRadar per un Security Operation Center
  • 12. 12 QRadar SIEM - Offenses investigation Un icona ROSSA indica la presenza di un Offense
  • 13. 13 QRadar Network flows and Application Visibility • Il traffico di rete NON MENTE. Un attaccante può eliminare le tracce del suo passaggio ma il flussi di traffico non possono essere alterati. • Interpreta flussi NetFlow, IPFIX, sFlow, Jflow, Packeteer • Consente di rilevare gli attacchi zero-day che non hanno firma • Fornisce visibilità in tutte le comunicazioni • Utilizza il monitoraggio passivo per costruire i profili di attività e classificare gli host • Migliora la visibilità della rete e aiuta a risolvere i problemi di traffico
  • 14. 14 QRadar Network Insight dalla raccolta del flusso di rete all' analisi del contenuto STEP 1 - QRadar Flow Collector Correlazione delle informazioni di traffico basato su indirizzi IP e porte TCP/UDP, fino a livello 4. STEP 2 - QRadar Qflow e Vflow Verifca dei primi 64 byte del flusso di traffico e consente di riconoscere una applicazione, catturando la parte iniziale della sessione di comunicazione STEP 3 – QRadar Forensics Ricostruzione del traficco post mortem, ossia a seguito di un evento e replay dell’ intera conversazione STEP 4 – QRadar Network Insight Analisi e correlazione del contenuto dei pacchetti di rete in tempo reale. Consente di rilevare se temi di interesse o elementi sospetti, vengono trattati durante una conversazione o sessione di comunicazione.
  • 15. 15 QRadar Network Insight Le sfide di sicurezza che le aziende devono affrontare
  • 16. 16 Quali sono i 4 livelli di maturità di Security Intelligence?
  • 17. Modern Security Intelligence Platform 2nd Gen SIEM 1st Gen SIEM Evoluzione della Security Operations To gain awareness of the current state of an organization’s security posture requires data and analytics. But thus far security operations teams limited focus to internal security data with minimal use of external knowledge Increasing Volume and Variety of Data Log Data Vulnerability Data/External Threat Feeds Flow Data Full Packet Capture Unstructured/ External Data IncreasingSophisticationofAnalytics Search Pattern Detection ReportingRules Out-ofthe-box Analytics Platformfor Custom Analytics Log Mgmt Advanced Cyber Forensics 1st Generati on Forensics
  • 18. L’ Evoluzione del Security Operations Center Fonte: Rapporto Clusit 2017 •Il SOC sta evolvendo (o dovrà evolvere) verso il Next Generation SOC, il quale dovrà giocoforza predisporsi e adeguarsi ad agganciare fonti non tradizionali, ad adottare regole di correlazione che includano metodi e tecniche di analisi Business Oriented e dovrà soprattutto essere integrabile con strumenti di monitoring predisposti per i Big Data. • E’ in particolare nel mondo esterno che I dati moltiplicano esponenzialmente il loro volume e la loro eterogeneità, dati fatti per essere ad uso e consumo dell’ uomo, più che della macchina. In questa direzione dovrà orientarsi l’intelligence preventiva di nuova generazione. • Il fattore tempo è quello sempre più determinate nel contrasto al Cyber Crime.
  • 19. Traditional Security Data Una quantità enorme di conoscenze di sicurezza è creata per il consumo umano, ma la maggior parte è inutilizzata Examples include: • Research documents • Industry publications • Forensic information • Threat intelligence commentary • Conference presentations • Analyst reports • Webpages • Wikis • Blogs • News sources • Newsletters • Tweets A universe of security knowledge Dark to your defenses Typical organizations leverage only 8% of this content* Human Generated Knowledge •Security events and alerts •Logs and configuration data •User and network activity •Threat and vulnerability feeds
  • 20. Todays reality - Do all of this in under 20 minutes, all day, every day Review your security incidents in a SIEM Decide which incident to focus on next Review the data (events / flows that made up that incident) Expand your search to capture more data around that incident Pivot the data multiple ways to find outliers (such as unusual domains, IPs, file access) Review the payload outlying events for anything interesting (domains, MD5s, etc) Search X-Force Exchange + Search Engine + Virus Total + your favorite tools for these outliers / indicators. Find new Malware is at play Get the name of the Malware Search more websites for information about indicators of compromise (IOCs) for that Malware Take these newly found IOCs from the internet Take these newly found IOCs from the internet and search from them back in a SIEM Find other internal IPs are potentially infected with the same Malware. Start another investigation around each of these IPs.
  • 21. Watson For Cyber Security
  • 22. Da cosa viene alimentato Watson for Cyber Security? 1 Week1 Hour5 Minutes Structured Security Data X-Force Exchange Trusted Partner Data Open source Paid data- Indicators - Vulnerabilities - Malware names, … - New actors - Campaigns - Malware outbreaks - Indicators, … - Course of action - Actors - Trends - Indicators, … Crawl of Critical Unstructured Security Data Massive Crawl of all Security Related Data on Web Breach replies Attack write-ups Best practices Blogs Websites News, … Filtering + Machine Learning Removes Unnecessary InformationMachine Learning / Natural Language Processing Extracts and Annotates Collected Data Billions of Data Elements Millions of Documents 5-10 updates / hour! 100K updates / week! 3:1 Reduction Massive Security Knowledge GraphBillions of Nodes / Edges
  • 23. Cognitive Security Starts Here IBM Security Introduces a Revolutionary Shift in Security Operations • Employs powerful cognitive capabilities to investigate and qualify security incidents and anomalies on behalf of security analysts • Powered by Watson for Cyber Security to tap into vast amounts of security knowledge and deliver insights relevant to specific security incidents • Transforms SOC operations by addressing current challenges that include skills shortages, alert overloads, incident response delays, currency of security information and process risks • Designed to be easily consumable: delivered via IBM Security App Exchange and deployed in minutes NEW! IBM QRadar Watson Advisor
  • 24. • Review the incident data • Review the outlying events for anything interesting (e.g., domains, MD5s, etc.) • Pivot on the data to find outliers (e.g., unusual domains, IPs, file access) • Expand your search to capture more data around that incident • Search for these outliers / indicators using X-Force Exchange + Google + Virus Total + your favorite tools • Discover new malware is at play • Get the name of the malware • Gather IOC (indicators of compromise) from additional web searches • Investigate gathered IOC locally • Find other internal IPs are potentially infected with the same Malware • Qualify the incident based on insights gathered from threat research • Start another investigation around each of these IPs Attività cognitive di un analista della sicurezza nell'individuare un incidente Time consuming threat analysis There’s got to be an easier way! Applicare l'intelligenza e indagare sull'incidente Raccogliere la ricerca di minaccia, sviluppare le competenze Ottenere il contesto locale che porta all'incidente
  • 25. Sbloccare una nuova partnership tra gli analisti della sicurezza e la loro tecnologia QRadar Advisor complementing the investigative resources of a SOC • Manage alerts • Research security events and anomalies • Evaluate user activity and vulnerabilities • Configuration • Other • Data correlation • Pattern identification • Thresholds • Policies • Anomaly detection • Prioritization Security Analytics Security Analysts Watson for Cyber Security • Security knowledge • Threat identification • Reveal additional indicators • Surface or derive relationships • Evidence • Local data mining • Perform threat research using Watson for Cyber Security • Qualify and relate threat research to security incidents • Present findings QRadar Watson Advisor SECURITY ANALYSTS SECURITY ANALYTICS QRadar Advisor with Watson Watson for Cyber Security
  • 26. QRadar Advisor in Action 1. Offenses 5. Research results Knowledge graph 4. Performs threat research and develops expertise 3. Observables2. Gains local context and forms threat research strategy Offense context Device activities Equivalency relationships 6. Applies the intelligence gathered to investigate and qualify the incident QRadar Correlated enterprise data
  • 27. Grazie per l’attenzione! www.vmsistemi.it VM SISTEMI SpA Faenza: Via R. Ossani, 18 - 48018 - Faenza (RA) - Tel 0546 689511 – Fax 0546 689591 Milano: Via L. Tolstoj 86 - Scala H - 20089 San Giuliano Milanese (MI) – Tel 02 57506417 Roma: Via Troilo il Grande, 3 – 00131 Roma – Tel 06 41294278 www.vmsistemi.it – vm@vmsistemi.it Grazie per l’attenzione! www.vmsistemi.it VM SISTEMI SpA Faenza: Via R. Ossani, 18 - 48018 - Faenza (RA) - Tel 0546 689511 – Fax 0546 689591 Milano: Via L. Tolstoj 86 - Scala H - 20089 San Giuliano Milanese (MI) – Tel 02 57506417 Roma: Via Troilo il Grande, 3 – 00131 Roma – Tel 06 41294278 www.vmsistemi.it – vm@vmsistemi.it Alessandro Rani ICT Security Business Unit Manager Email: arani@vmsistemi.it Linkedin: it.linkedin.com/in/alessandrorani