4. 4
SIEM – Security Information and Event Management
SIEM è l’acronimo di “Security Information and Event Management” , tradotto in
SISTEMA DI GESTIONE DELLE INFORMAZIONI E DEGLI EVENTI DI SICUREZZA
e definisce un prodotto costituito da software e/o servizi che unisce le capacità di:
Che cosa si intende per SIEM?
“Security Information Management” (SIM)
SIM si occupa della parte di “log management”, di attività di analisi e della produzione
di report per aderire ad esempio norme di compliance.
+
“Security Event Management” (SEM)
SEM si occupa del monitoraggio in real-time degli eventi, dell’incident management
in ambito security, per quanto riguarda eventi che accadono sulla rete, sui dispositivi di
sicurezza, sui sistemi o le applicazioni.
5. 5
Un SIEM, quali funzioni svolge?
• Collezione: raccolta LOG ed Eventi da svariati tipologie di fonti, sistemi, dispositivi, applicazioni.
• Aggregazione: i dati raccolti vengono combinati opportunamente in un unico data store
facilitando così le successive operazioni sui dati.
• Normalizzazione: la normalizzazione è un processo fondamentale, che si occupa di
trasformare le differenti rappresentazioni delle informazioni ricevute, in una forma univoca,
normalizzata e rappresentata in maniera comprensibile.
• Correlazione: altro processo della massima importanza, vero valore del sistema, ossia la
capacità di collegare tra loro le informazioni ricevute dai sistemi più disparati, confrontarle con
regole predefinite o create ad hoc secondo policy, per andare poi a segnalare la presenza o
meno di Incidenti (od Offenses)
• Segnalazione: definita anche alerting, è quella funzione che in combinazione con la
correlazione si occupa di avvisare di minacce o incidenti in atto, sulla base di soglie o regole
definite.
• Reportistica: elemento fondamentale, soprattutto in ambito di IT Governance e di compliance,
oltre che di analisi.
6. 6
La complessità di raccogliere Log
Log Sources
•Dispositivi di
sicurezza
• Applicativi
di sicurezza
• Sistemi
Operativi
• Data Base
• Applicazioni
• Dispositivi di
Rete
• Client
Protocols
•Syslog
•ODBC
• SNMP
• OPSEC
• Sftp
• altri…
Information
• Attività delle
utenze
• Login/Logout
• Allarmi
• Attività
amministrative
• Email
• Navigazione
• Attività di
traffico
• Attività di
Sistema
7. 7
…e un Next Generation SIEM, quali funzioni svolge?
1. Collezione e correlazione di Log ai quali si aggiungono
Flussi di traffico sia da sorgenti locali che remote
NBAD (Network Behavior Anomaly Detection)
Vulnerability Assessment Information
Asset Inventory e Discovery
UBA (User Behaviour Analisys)
Cyber Threat Intelligence Feeds
2. Full Packet Capture PRE e POST Mortem
3. Risk Assessment tools e data path discovery
8. 8
SIEM per la conformità con Direttive / Normative
• In ottemperanza alla normativa GDPR (General Data Protection Regulation), il
mantenimento di un continuo controllo sulla sicurezza IT, con l’obiettivo di rilevare
e notificare eventuali violazioni al momento in cui si manifestano.
•Le funzionalità di un SIEM sono necessarie per la conformità alle principali
Normative, vincoli di categoria, framework di processo e di sicurezza
ISO 27001
Payment Card Industry Data Security Standard (PCI DSS)
Health Insurance Portability and Accountability Act (HIPAA)
Federal Energy Regulatory Commission (FERC) Sarbanes–Oxley (SOX)
National Institute of Standards and Technology (NIST)
Information Technology Infrastructure Library (ITIL)
Control Objectives for Information and related Technology (CoBit)
12. 12
QRadar SIEM - Offenses investigation
Un icona ROSSA
indica la presenza di un Offense
13. 13
QRadar Network flows and Application Visibility
• Il traffico di rete NON MENTE. Un attaccante può eliminare le tracce del suo passaggio ma il
flussi di traffico non possono essere alterati.
• Interpreta flussi NetFlow, IPFIX, sFlow, Jflow, Packeteer
• Consente di rilevare gli attacchi zero-day che non hanno firma
• Fornisce visibilità in tutte le comunicazioni
• Utilizza il monitoraggio passivo per costruire i profili di attività e classificare gli host
• Migliora la visibilità della rete e aiuta a risolvere i problemi di traffico
14. 14
QRadar Network Insight
dalla raccolta del flusso di rete all' analisi del contenuto
STEP 1 - QRadar Flow Collector
Correlazione delle informazioni di traffico basato su indirizzi IP e porte TCP/UDP, fino a livello 4.
STEP 2 - QRadar Qflow e Vflow
Verifca dei primi 64 byte del flusso di traffico e consente di riconoscere una applicazione, catturando la
parte iniziale della sessione di comunicazione
STEP 3 – QRadar Forensics
Ricostruzione del traficco post mortem, ossia a seguito di un evento e replay dell’ intera
conversazione
STEP 4 – QRadar Network Insight
Analisi e correlazione del contenuto dei pacchetti di rete in tempo reale. Consente di rilevare
se temi di interesse o elementi sospetti, vengono trattati durante una conversazione o
sessione di comunicazione.
16. 16
Quali sono i 4 livelli di maturità di Security Intelligence?
17. Modern Security Intelligence Platform
2nd Gen SIEM
1st Gen
SIEM
Evoluzione della Security Operations
To gain awareness of the current state of an organization’s security posture
requires data and analytics. But thus far security operations teams limited focus
to internal security data with minimal use of external knowledge
Increasing Volume and Variety of Data
Log Data
Vulnerability Data/External
Threat Feeds
Flow Data Full Packet Capture
Unstructured/
External Data
IncreasingSophisticationofAnalytics
Search
Pattern
Detection
ReportingRules
Out-ofthe-box
Analytics
Platformfor
Custom
Analytics
Log
Mgmt
Advanced
Cyber
Forensics
1st
Generati
on
Forensics
18. L’ Evoluzione del Security Operations Center
Fonte: Rapporto Clusit 2017
•Il SOC sta evolvendo (o dovrà evolvere) verso il Next Generation SOC, il quale dovrà
giocoforza predisporsi e adeguarsi ad agganciare fonti non tradizionali, ad adottare
regole di correlazione che includano metodi e tecniche di analisi Business Oriented e
dovrà soprattutto essere integrabile con strumenti di monitoring predisposti per i Big
Data.
• E’ in particolare nel mondo esterno che I dati moltiplicano esponenzialmente il loro
volume e la loro eterogeneità, dati fatti per essere ad uso e consumo dell’ uomo, più
che della macchina. In questa direzione dovrà orientarsi l’intelligence preventiva di
nuova generazione.
• Il fattore tempo è quello sempre più determinate nel contrasto al Cyber Crime.
19. Traditional
Security Data
Una quantità enorme di conoscenze di sicurezza è creata per il consumo
umano, ma la maggior parte è inutilizzata
Examples include:
• Research documents
• Industry publications
• Forensic information
• Threat intelligence
commentary
• Conference presentations
• Analyst reports
• Webpages
• Wikis
• Blogs
• News sources
• Newsletters
• Tweets
A universe of security knowledge
Dark to your defenses
Typical organizations leverage only 8% of this content*
Human Generated
Knowledge
•Security events and alerts
•Logs and configuration data
•User and network activity
•Threat and vulnerability feeds
20. Todays reality - Do all of this in under 20 minutes, all day, every day
Review your security
incidents in a SIEM
Decide which incident
to focus on next
Review the data
(events / flows that
made up that incident)
Expand your search to capture
more data around that incident
Pivot the data multiple ways to
find outliers (such as
unusual domains, IPs,
file access)
Review the payload outlying events for
anything interesting (domains,
MD5s, etc)
Search X-Force Exchange + Search Engine + Virus Total
+ your favorite tools for these outliers / indicators.
Find new Malware is at play
Get the name of
the Malware
Search more websites for information about indicators of
compromise (IOCs) for that Malware
Take these newly found IOCs from the internet
Take these newly
found
IOCs from the
internet
and search from
them
back in a SIEM
Find other internal IPs are
potentially infected with the
same Malware.
Start another
investigation around
each of these IPs.
22. Da cosa viene alimentato Watson for Cyber Security?
1 Week1 Hour5 Minutes
Structured
Security Data
X-Force Exchange
Trusted Partner Data
Open source
Paid data- Indicators
- Vulnerabilities
- Malware names, …
- New actors
- Campaigns
- Malware outbreaks
- Indicators, …
- Course of action
- Actors
- Trends
- Indicators, …
Crawl of Critical
Unstructured Security
Data
Massive Crawl of all Security
Related Data on Web
Breach replies
Attack write-ups
Best practices
Blogs
Websites
News, …
Filtering + Machine Learning
Removes Unnecessary
InformationMachine Learning /
Natural Language Processing
Extracts and Annotates
Collected Data
Billions of
Data Elements
Millions of
Documents
5-10 updates / hour! 100K updates / week!
3:1 Reduction
Massive Security Knowledge GraphBillions of Nodes / Edges
23. Cognitive Security Starts Here
IBM Security Introduces a Revolutionary Shift in Security Operations
• Employs powerful cognitive capabilities to investigate
and qualify security incidents and anomalies on behalf
of security analysts
• Powered by Watson for Cyber Security to tap into vast
amounts of security knowledge and deliver insights
relevant to specific security incidents
• Transforms SOC operations by addressing current
challenges that include skills shortages, alert
overloads, incident response delays, currency of
security information and process risks
• Designed to be easily consumable: delivered via IBM
Security App Exchange and deployed in minutes
NEW! IBM QRadar Watson Advisor
24. • Review the incident data
• Review the outlying events for
anything interesting (e.g., domains,
MD5s, etc.)
• Pivot on the data to find outliers
(e.g., unusual domains, IPs, file access)
• Expand your search to capture more
data around that incident
• Search for these outliers / indicators
using X-Force Exchange + Google +
Virus Total + your favorite tools
• Discover new malware is at play
• Get the name of the malware
• Gather IOC (indicators of
compromise) from additional web
searches
• Investigate gathered IOC locally
• Find other internal IPs are potentially
infected with the same Malware
• Qualify the incident based on insights
gathered from threat research
• Start another investigation around
each
of these IPs
Attività cognitive di un analista della sicurezza nell'individuare un
incidente
Time
consuming
threat
analysis
There’s got to be
an easier way!
Applicare l'intelligenza e
indagare sull'incidente
Raccogliere la ricerca di
minaccia, sviluppare le
competenze
Ottenere il contesto locale che
porta all'incidente
25. Sbloccare una nuova partnership tra gli analisti della sicurezza e la loro tecnologia
QRadar Advisor complementing the investigative resources of a SOC
• Manage alerts
• Research security events and anomalies
• Evaluate user activity and vulnerabilities
• Configuration
• Other
• Data correlation
• Pattern identification
• Thresholds
• Policies
• Anomaly detection
• Prioritization
Security Analytics
Security Analysts Watson for Cyber Security
• Security knowledge
• Threat identification
• Reveal additional indicators
• Surface or derive relationships
• Evidence
• Local data mining
• Perform threat research using Watson for Cyber Security
• Qualify and relate threat research to security incidents
• Present findings
QRadar Watson Advisor
SECURITY
ANALYSTS
SECURITY
ANALYTICS
QRadar
Advisor
with
Watson
Watson
for Cyber
Security
26. QRadar Advisor in Action
1. Offenses
5. Research results
Knowledge
graph
4. Performs threat
research and develops
expertise
3. Observables2. Gains local context and
forms threat research
strategy
Offense
context
Device
activities
Equivalency
relationships
6. Applies the intelligence
gathered to investigate and
qualify the incident
QRadar
Correlated enterprise
data
27. Grazie per l’attenzione!
www.vmsistemi.it
VM SISTEMI SpA
Faenza: Via R. Ossani, 18 - 48018 - Faenza (RA) - Tel 0546 689511 – Fax 0546 689591
Milano: Via L. Tolstoj 86 - Scala H - 20089 San Giuliano Milanese (MI) – Tel 02 57506417
Roma: Via Troilo il Grande, 3 – 00131 Roma – Tel 06 41294278
www.vmsistemi.it – vm@vmsistemi.it
Grazie per l’attenzione!
www.vmsistemi.it
VM SISTEMI SpA
Faenza: Via R. Ossani, 18 - 48018 - Faenza (RA) - Tel 0546 689511 – Fax 0546 689591
Milano: Via L. Tolstoj 86 - Scala H - 20089 San Giuliano Milanese (MI) – Tel 02 57506417
Roma: Via Troilo il Grande, 3 – 00131 Roma – Tel 06 41294278
www.vmsistemi.it – vm@vmsistemi.it
Alessandro Rani
ICT Security Business Unit Manager
Email: arani@vmsistemi.it
Linkedin: it.linkedin.com/in/alessandrorani