Il documento analizza il sistema SIEM (Security Information and Event Management), evidenziando l'importanza di raccogliere e analizzare eventi IT per la sicurezza e la compliance aziendale. Sottolinea come la crescita della consapevolezza normativa, in particolare da parte del garante della privacy, abbia spinto aziende di varie dimensioni a integrare soluzioni SIEM per migliorare la governance e la gestione delle anomalie. Viene inoltre discusso il potenziale mercato per soluzioni avanzate in grado di identificare comportamenti anomali e garantire una corretta gestione dei log.

1. SIEM questo sconosciuto....
di cui tutti parlano
System/Security Information & Event Management
(da prima delle norme “Garante Privacy” ad oggi)
Sergio Leoni
info@init.it

2. Contesto
Il contesto e’ l’IT che rappresenta sempre di più
il substrato su cui si appoggiano vari processi di
business aziendali
Proprietà di Uniteam Init s.r.l. - Tutti i diritti riservati - Riproduzione vietata
Le immagini riportate sono esempi di mercato reperibili in rete.

3. Cos’e’ un SIEM ?
Con il temine SIEM si vogliono indicare le
soluzioni che collezionano eventi provenienti dal
contesto IT, li storicizzano, li analizzano e li
normalizzano per svariati scopi (security,
compliance, governance etc).

4. Anni 2005 e dintorni
Fino a 5 anni fa solo le grandi aziende o le
banche collezionavano eventi al fine di
compliance normativi perché obbligate a farlo.
(strumenti antiquati, in genere servizi molto
costosi, raramente veniva fatto un controllo
dell’effettiva completezza dei log acquisiti etc..)

5. Anni 2005 e dintorni
Le attività di analisi venivano fatte prevalentemente
“post mortem” (a valle di un incident)
Nessuna sensibilità alle tematiche di Governance
che quest’attivita’ consente di poter mettere in
campo.
Nessuna sensibilità alla possibilità di poter evolvere
verso strumenti in grado di rilevare comportamenti
anomali e quindi anticipare problemi.

6. Contesto IT senza SIEM
Milioni di eventi generati quotidianamente
Punti di raccolta e analisi distinti
Impossiible valutare problematiche di sicurezza e rischio
Impossibile prevedere comportamenti anomali o frodi
Network Security Physical Servers Desktop Identity Email Databases Apps
Mobile
Devices Devices Access Sources 6

7. Contesto IT che adotta soluzioni SIEM
Gli eventi prodotti vengono normalizzati, resi confrontabili e storicizzati
Risulta possibile generare report, allarmi e consentire la ricerca di eventi
cross-platform
Network Security Physical Servers Desktop Identity Email Databases Apps
Mobile
Devices Devices Access Sources
7

8. UN PASSO IMPORTANTE
Il Garante della Privacy il 27 novembre 2008 viste le
cospicue interrogazioni a lui fatte e i molteplici eventi in
termini di divulgazioni di informazioni personali, per la
prima volta, emana direttive che riguardano i log di
accesso ai dati:
soggetti coinvolti:
TUTTE LE AZIENDE
(PAC / PAL / MIL / ENTERPRISE / SME)
Prescrizioni:
 Scelta Amministratori (responsabilizzazione)
 Registrazione su log completi ed
immodificabili degli accessi ai sistemi ed
agli archivi

9. Garante I : la crescente consapevolezza dello strumento
• Cosa fanno gli amministratori? E gli utenti
normali?
• Solo gli amministratori sono problematici?
• Quante informazioni ottengo dai Log ?
• Di quanti log ho bisogno ?
• Di quali Log ho bisogno?
• Da quali piattaforme?
etc.. etc …
Aumenta la cultura sulla tema Log

10. Garante I : EFFETTO sulle Aziende?
• Su alcune Aziende nessuno
(hanno trovato il metodo meno costoso per porre
una “toppa” alla richiesta normativa) non colgono
“il tema”
• Su altre,ha creato cultura su questa nuova
possibilità di Governance e controllo
• Ha posto l’attenzione su elementi prima ignorati
dai più, evidenziando il loro enorme valore per
una corretta gestione delle problematiche IT
aziendali ed in senso più esteso dei processi di
business che su di loro si poggiano.

11. OGGI: da un punto di vista tecnologico
• Prodotti fatti in casa (si trova di tutto)
• Solo dischi per tenere i dati
(dischi non modificabili Clarion)
• Prodotti di mercato
INIT consiglia
leader vero di questo mercato
In fortissima espansione.

12. OGGI: C’e’ molto spazio per fare business
SME ed alcune grandi aziende hanno affrontato il problema
dal solo punto di vista normativo (con soluzioni fatte in casa,
soluzioni custom, soluzioni con batterie di dischi non
modificabili (Clarion) etc etc..
Una ghiotta opportunità per evidenziare gli aspetti non
rilevati dalle aziende, proponendo soluzioni e progetti
che consentono di:
Anticipare e prevedere i problemi IT
Ridurre costi dovuti alle multipiattaforme
Aumentare il controllo sull’IT e su tutto ciò che sull’IT si basa
(Applicazioni, processi di business aziendali,
processi di produzione).

13. OGGI: C’e’ molto spazio per fare business
Poche aziende (molto grandi per lo più Banche), sensibili
alle normative, investono e capiscono che oltre a soddisfare
la normativa Garante I, si e’ in grado di acquisire,
normalizzare, generare report ed allarmi, di avere quindi
strumenti nuovi per un problema in forte crescita: La
Governance Complessiva
STRUMENTI DI CORRELAZIONE DEI DATI
Proporre nuovi strumenti che consentono di poter
sfruttare i log acquisiti per identificare comportamenti
anomali, prevedere ed anticipare allarmi, rilevare
minacce zero-day (*) rilevare frodi, etc.. etc..
Crescita dal contesto IT ai processi di business
aziendali
(con gli stessi vantaggi)
(*) tutti quegli attacchi non gestibili con i metodi tradizionali basati sul riconoscimento attraverso pattern

14. FISSIAMO ALCUNI CONCETTI
 Generico processo di Business Aziendale
Processo di Business aziendale
Regole
Utenti
Applicazioni
Log
Portals
Strato IT
LOG
I diversi processi di business e come questi interagiscono,
definiscono come l’azienda, nel suo complesso persegue
il suo obiettivo

15. FISSIAMO ALCUNI CONCETTI
 Differenza tra ALLARMISTICA e CORRELAZIONE
L’allarmistica e’ la rilevazione nel momento in cui si fa il controllo di
un valore, del superamento di una soglia o di un insieme di dati
(anche di tipo diverso) - effettuato il rilevamento viene emesso un
allarme l’allarme
Ex.
C’e’ fumo  allarme
Sito web fermo allarme
acqua alta, diga piena, pioggia in atto  allarme
Il valore da considerare e’ SOLO quello al momento della
rilevazione.

16. FISSIAMO ALCUNI CONCETTI
 Differenza tra ALLARMISTICA e CORRELAZIONE
Nella correlazione, la rilevazione di dati per emettere un allarme
avviene considerando anche gli eventi passati.
Ex
Se e’ la decima volta oggi che un utente usa una porta d’emergenza
Se il carico del server e’ maggiore del 20% della media degli ultimi giorni
Se oggi (che e’ giovedi’) il comportamento di un operatore varia per piu’ del 30% rispetto a tutti i
giovedi’ passati
Se qualcuno accede al 40% dei file in più rispetto al solito
etc. etc.
Tutte queste analisi sono effettuate considerando un intervallo
temporale che va anche significativamente nel passato per
decidere se una serie di eventi corrisponde ad un avento
anomalo o e’ da considerare un andamento consueto.

17. CHI HA BISOGNO DI QUESTE SOLUZIONI?
TUTTE LE AZIENDE
(PAC / PAL / MIL / ENTERPRISE)
Hanno il problema di anticipare le anomalie piuttosto che
gestirle (aumentano i costi, spesso la gestione non
risolve completamente l’evento accaduto)
Gli strumenti attuali non consentono di risolvere se non
puntualmente (non ho una visione complessiva)
La gestione delle applicazioni e’ fatta a semafori
Non ho elementi storici o comportamentali negli
strumenti attuali

18. 12 Maggio 2011 - Garante II - Le prescrizioni
Il 12 Maggio 2011, vengono pubblicate nuove
“Prescrizioni in materia di circolazione delle informazioni
in ambito bancario e il tracciamento delle operazioni
bancarie”
Il garante evidenzia le numerose istanze (segnalazioni,
reclami, quesiti) che gli sono state rivolte da diversi enti a
diverso titolo relative al tema della “circolazione” delle
informazioni riferite ai clienti all’interno dei gruppi bancari
e alla relativa tracciabilità

19. 12 Maggio 2011 - Garante II - Le prescrizioni
Ambito d’applicazione:
– Banche
– Chi fa parte di gruppi Bancari
– Altre società anche diverse da Banche purché parti di tali
gruppi.
– Poste Italiane
– Da approfondire caso per caso, l’estensione ai “terzi”
che risultano “titolari del trattamento dei dati” bancari .

20. 12 Maggio 2011 - Garante II - Le prescrizioni
INIT consiglia
Il Garante Prescrive: Misure Necessarie
 Designazione dell’outsourcer (misura organizzativa)
 Tracciamento delle operazioni
“Devono essere adottate idonee soluzioni informatiche per il controllo
dei trattamenti condotti sui singoli elementi di informazione presenti
sui diversi DB”
Registrazione dettagliata su LOG delle inquiry (retention di
almeno 24 mesi)
• il codice di chi ha fatto l’operazione
• la data e l’ora d’esecuzione
• il codice della postazione di lavoro utilizzata
• il codice del cliente interessato
• il rapporto contrattuale del cliente

21. 12 Maggio 2011 - Garante II - Le prescrizioni
INIT consiglia
Il Garante Prescrive: Misure Necessarie
 Implementazione di Alert
i. Deve essere prefigurata da parte delle banche l’attivazione di
specifici alert che individuino comportamenti anomali o a
rischio relativi alle operazioni di inquiry
ii. Negli applicativi di business intelligence devono confluire i log
relativi a tutti gli applicativi utilizzati per gli accessi
 Audit interno di controllo-Rapporti periodici
i. deve essere svolta una costante e periodica attività di
controllo svolta da chi non opera sui dati ( segregation of
duty)
ii. Verifiche a posteriori su legittimità delle operazioni svolte,
integrità (dei dati) e procedure utilizzate

22. 12 Maggio 2011 - Garante II - Le prescrizioni
INIT consiglia
 Acquisizione di log completi relativi all’accesso ai dati
grosso Impatto
molte banche devono rivedere
Queste semplice richiesta implica che: le applicazioni o parte di esse
servono soluzioni flessibili
per l’acquisizione dei log
i. Gli applicativi generino i log
ii. Che le soluzioni utilizzate siano in grado acquisirli
operazione fondamentale
iii. Che siano in grado di normalizzarli per una efficace allarmistica
I dati li devo poter confrontare
iv. Che siano in grado di trasportarli (immodificati)
Si devono utilizzare tecnologie
in grado di garantire
l’immodificabilità dalla sorgente
alla destinazione

23. 12 Maggio 2011 - Garante II - Le prescrizioni
INIT consiglia
 Generazione di alert quando si identificano comportamenti
anomali
Componente Organizzativa: e’ necessario definire cos’e’ un
comportamento anomalo Impatto organizztivo,
da soglie statiche a dinamiche
Componente Operativa: e’ necessario identificarlo e generare alert
( e organizzare una remediation) Impatto sulla
personalizzazione
della soluzione
Questa richiesta puo’ essere risolta soltanto con prodotti
che effettuano correlazione dei dati nel tempo come Arcsight su
Log acquisiti dai sistemi e normalizzati
poche Banche dispongono di questa tecnologia

24. 12 Maggio 2011 - Garante II - Le prescrizioni
INIT consiglia
 Tutti i log di tutti gli applicativi di accesso devono essere
utilizzati
Criticita’ sui volumi di dati da storicizzare,
Correlare.
Importante disporre di una
soluzione che scala con facilita’ e
consente di avere semplice governabilita’
Della retention dei dati
 Verifica, reportistica e ricerca post su base dati acquisita
Necessita’ di avere in-linea
grosse moli di dati non modificabili
per molto tempo

25. 12 Maggio 2011 - Garante II - Le prescrizioni
INIT consiglia
La Normativa Garante 2011 non ha certamente colto di sorpresa il
mondo Finance, ma sicuramente ha un effetto profondo.
Viene ribadita rafforzata la centralità dei Log come elemento cardine di
tutte le operazioni di Governance
Viene introdotto il concetto di comportamento anomalo (che porta con
se la funzione di correlazione) innovativo per il mercato.
In tanti pensano che questo nuovo paradigma “comportamenti anomali
di chi opera” possa essere esteso a tutte le realta’ che trattano grossi
volumi di dati personali: Assicurazioni, ASL, Ospedali, Comuni, etc. che
hanno gli stessi problemi del mondo Finance.

26. Scenari di Mercato: Chi non ha investito
( e dispone di soluzioni fatte in casa) INIT consiglia
Si può efficacemente dimostrare che gli strumenti messi a
disposizione da Arcsight consentono una serie di benefici di cui
un’azienda ha bisogno:
“perché non si può governare cio’ che non si puo’ vedere”
Ed i log rappresentano i “sensori” del contesto IT di un’azienda, dei
processi, dell’azienda stessa, quindi sono l’elemento fondamentale
per il suo efficace governo.

27. Scenari di Mercato: chi ha investito male
( e dispone di prodotti di mercato ma non Arcsight) INIT consiglia
Colti i limiti dei prodotti scelti rispetto ad Arcsigh, si possono
semplicemente evidenziare le mancanze in termini di funzioni
base come l’acquisizione di dati, la normalizzazione, la semplice
storicizzazione e la reportistica oltre che evidenziare la
mancanza di funzioni di correlazione e l’impossibilita’ di
evidenziare comportamenti anomali o la flessibilità d’utilizzo

28. Scenari di Mercato: chi ha già scelto Arcsight
INIT consiglia
Chi ha gia’ Arcsight ha certamente presente le problematiche di
dettaglio relative all’acquisizione di Log.
INIT ha sviluppato soluzioni per i temi più delicati che possono
compromettere l’intera struttura di acquisizione:
• Variazione di EPS (*) (possono compromettere la struttura di
acquisizione)
• Controllo dello stato della Singola Log Source
• Variazioni del formato dei log (compromettono normalizzazione e
reportistica)
(*) EPS = gli Eventi Per Secondo sono il volume di Log generati da un sistema al secondo
che vengono acquisiti dal sistema di collezionamento dei Log

29. ESM / Express: (correlazione)
– analisi in real-time
– sviluppo di riferimenti statistici da utilizzarsi come
riferimento per le analisi comportamentale
– duttilità nella presentazione di risultati e nella creazione
Domande ?
di dashboard di correlazione (policy di correlazione).
Sergio Leoni
info@init.it
Disponibile come:
0289546000
Data Center Rackable Appliance Installable Software
Benefit: Massima efficacia nell’evidenziare i log che contano tra i milioni prodotti