SlideShare a Scribd company logo

SIEM visione complessiva

Sergio Leoni
Sergio Leoni

Ambito SIEM nel mercato Italiano, dagli inizi ad oggi.

Technology
1 of 29
Download to read offline
SIEM questo sconosciuto.... di cui tutti parlano System/Security Information & Event Management (da prima delle norme “Garante Privacy” ad oggi) Sergio Leoni info@init.it
Contesto Il contesto e’ l’IT che rappresenta sempre di più il substrato su cui si appoggiano vari processi di business aziendali Proprietà di Uniteam Init s.r.l. - Tutti i diritti riservati - Riproduzione vietata Le immagini riportate sono esempi di mercato reperibili in rete.
Cos’e’ un SIEM ? Con il temine SIEM si vogliono indicare le soluzioni che collezionano eventi provenienti dal contesto IT, li storicizzano, li analizzano e li normalizzano per svariati scopi (security, compliance, governance etc).
Anni 2005 e dintorni Fino a 5 anni fa solo le grandi aziende o le banche collezionavano eventi al fine di compliance normativi perché obbligate a farlo. (strumenti antiquati, in genere servizi molto costosi, raramente veniva fatto un controllo dell’effettiva completezza dei log acquisiti etc..)
Anni 2005 e dintorni Le attività di analisi venivano fatte prevalentemente “post mortem” (a valle di un incident) Nessuna sensibilità alle tematiche di Governance che quest’attivita’ consente di poter mettere in campo. Nessuna sensibilità alla possibilità di poter evolvere verso strumenti in grado di rilevare comportamenti anomali e quindi anticipare problemi.
Contesto IT senza SIEM Milioni di eventi generati quotidianamente Punti di raccolta e analisi distinti Impossiible valutare problematiche di sicurezza e rischio Impossibile prevedere comportamenti anomali o frodi Network Security Physical Servers Desktop Identity Email Databases Apps Mobile Devices Devices Access Sources 6
Contesto IT che adotta soluzioni SIEM Gli eventi prodotti vengono normalizzati, resi confrontabili e storicizzati Risulta possibile generare report, allarmi e consentire la ricerca di eventi cross-platform Network Security Physical Servers Desktop Identity Email Databases Apps Mobile Devices Devices Access Sources 7
UN PASSO IMPORTANTE Il Garante della Privacy il 27 novembre 2008 viste le cospicue interrogazioni a lui fatte e i molteplici eventi in termini di divulgazioni di informazioni personali, per la prima volta, emana direttive che riguardano i log di accesso ai dati: soggetti coinvolti: TUTTE LE AZIENDE (PAC / PAL / MIL / ENTERPRISE / SME) Prescrizioni:  Scelta Amministratori (responsabilizzazione)  Registrazione su log completi ed immodificabili degli accessi ai sistemi ed agli archivi
Garante I : la crescente consapevolezza dello strumento • Cosa fanno gli amministratori? E gli utenti normali? • Solo gli amministratori sono problematici? • Quante informazioni ottengo dai Log ? • Di quanti log ho bisogno ? • Di quali Log ho bisogno? • Da quali piattaforme? etc.. etc … Aumenta la cultura sulla tema Log
Garante I : EFFETTO sulle Aziende? • Su alcune Aziende nessuno (hanno trovato il metodo meno costoso per porre una “toppa” alla richiesta normativa) non colgono “il tema” • Su altre,ha creato cultura su questa nuova possibilità di Governance e controllo • Ha posto l’attenzione su elementi prima ignorati dai più, evidenziando il loro enorme valore per una corretta gestione delle problematiche IT aziendali ed in senso più esteso dei processi di business che su di loro si poggiano.
OGGI: da un punto di vista tecnologico • Prodotti fatti in casa (si trova di tutto) • Solo dischi per tenere i dati (dischi non modificabili Clarion) • Prodotti di mercato INIT consiglia leader vero di questo mercato In fortissima espansione.
OGGI: C’e’ molto spazio per fare business SME ed alcune grandi aziende hanno affrontato il problema dal solo punto di vista normativo (con soluzioni fatte in casa, soluzioni custom, soluzioni con batterie di dischi non modificabili (Clarion) etc etc.. Una ghiotta opportunità per evidenziare gli aspetti non rilevati dalle aziende, proponendo soluzioni e progetti che consentono di: Anticipare e prevedere i problemi IT Ridurre costi dovuti alle multipiattaforme Aumentare il controllo sull’IT e su tutto ciò che sull’IT si basa (Applicazioni, processi di business aziendali, processi di produzione).
OGGI: C’e’ molto spazio per fare business Poche aziende (molto grandi per lo più Banche), sensibili alle normative, investono e capiscono che oltre a soddisfare la normativa Garante I, si e’ in grado di acquisire, normalizzare, generare report ed allarmi, di avere quindi strumenti nuovi per un problema in forte crescita: La Governance Complessiva STRUMENTI DI CORRELAZIONE DEI DATI Proporre nuovi strumenti che consentono di poter sfruttare i log acquisiti per identificare comportamenti anomali, prevedere ed anticipare allarmi, rilevare minacce zero-day (*) rilevare frodi, etc.. etc.. Crescita dal contesto IT ai processi di business aziendali (con gli stessi vantaggi) (*) tutti quegli attacchi non gestibili con i metodi tradizionali basati sul riconoscimento attraverso pattern
FISSIAMO ALCUNI CONCETTI  Generico processo di Business Aziendale Processo di Business aziendale Regole Utenti Applicazioni Log Portals Strato IT LOG I diversi processi di business e come questi interagiscono, definiscono come l’azienda, nel suo complesso persegue il suo obiettivo
FISSIAMO ALCUNI CONCETTI  Differenza tra ALLARMISTICA e CORRELAZIONE L’allarmistica e’ la rilevazione nel momento in cui si fa il controllo di un valore, del superamento di una soglia o di un insieme di dati (anche di tipo diverso) - effettuato il rilevamento viene emesso un allarme l’allarme Ex. C’e’ fumo  allarme Sito web fermo allarme acqua alta, diga piena, pioggia in atto  allarme Il valore da considerare e’ SOLO quello al momento della rilevazione.
FISSIAMO ALCUNI CONCETTI  Differenza tra ALLARMISTICA e CORRELAZIONE Nella correlazione, la rilevazione di dati per emettere un allarme avviene considerando anche gli eventi passati. Ex Se e’ la decima volta oggi che un utente usa una porta d’emergenza Se il carico del server e’ maggiore del 20% della media degli ultimi giorni Se oggi (che e’ giovedi’) il comportamento di un operatore varia per piu’ del 30% rispetto a tutti i giovedi’ passati Se qualcuno accede al 40% dei file in più rispetto al solito etc. etc. Tutte queste analisi sono effettuate considerando un intervallo temporale che va anche significativamente nel passato per decidere se una serie di eventi corrisponde ad un avento anomalo o e’ da considerare un andamento consueto.
CHI HA BISOGNO DI QUESTE SOLUZIONI? TUTTE LE AZIENDE (PAC / PAL / MIL / ENTERPRISE) Hanno il problema di anticipare le anomalie piuttosto che gestirle (aumentano i costi, spesso la gestione non risolve completamente l’evento accaduto) Gli strumenti attuali non consentono di risolvere se non puntualmente (non ho una visione complessiva) La gestione delle applicazioni e’ fatta a semafori Non ho elementi storici o comportamentali negli strumenti attuali
12 Maggio 2011 - Garante II - Le prescrizioni Il 12 Maggio 2011, vengono pubblicate nuove “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e il tracciamento delle operazioni bancarie” Il garante evidenzia le numerose istanze (segnalazioni, reclami, quesiti) che gli sono state rivolte da diversi enti a diverso titolo relative al tema della “circolazione” delle informazioni riferite ai clienti all’interno dei gruppi bancari e alla relativa tracciabilità
12 Maggio 2011 - Garante II - Le prescrizioni Ambito d’applicazione: – Banche – Chi fa parte di gruppi Bancari – Altre società anche diverse da Banche purché parti di tali gruppi. – Poste Italiane – Da approfondire caso per caso, l’estensione ai “terzi” che risultano “titolari del trattamento dei dati” bancari .
12 Maggio 2011 - Garante II - Le prescrizioni INIT consiglia Il Garante Prescrive: Misure Necessarie  Designazione dell’outsourcer (misura organizzativa)  Tracciamento delle operazioni “Devono essere adottate idonee soluzioni informatiche per il controllo dei trattamenti condotti sui singoli elementi di informazione presenti sui diversi DB” Registrazione dettagliata su LOG delle inquiry (retention di almeno 24 mesi) • il codice di chi ha fatto l’operazione • la data e l’ora d’esecuzione • il codice della postazione di lavoro utilizzata • il codice del cliente interessato • il rapporto contrattuale del cliente
12 Maggio 2011 - Garante II - Le prescrizioni INIT consiglia Il Garante Prescrive: Misure Necessarie  Implementazione di Alert i. Deve essere prefigurata da parte delle banche l’attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni di inquiry ii. Negli applicativi di business intelligence devono confluire i log relativi a tutti gli applicativi utilizzati per gli accessi  Audit interno di controllo-Rapporti periodici i. deve essere svolta una costante e periodica attività di controllo svolta da chi non opera sui dati ( segregation of duty) ii. Verifiche a posteriori su legittimità delle operazioni svolte, integrità (dei dati) e procedure utilizzate
12 Maggio 2011 - Garante II - Le prescrizioni INIT consiglia  Acquisizione di log completi relativi all’accesso ai dati grosso Impatto molte banche devono rivedere Queste semplice richiesta implica che: le applicazioni o parte di esse servono soluzioni flessibili per l’acquisizione dei log i. Gli applicativi generino i log ii. Che le soluzioni utilizzate siano in grado acquisirli operazione fondamentale iii. Che siano in grado di normalizzarli per una efficace allarmistica I dati li devo poter confrontare iv. Che siano in grado di trasportarli (immodificati) Si devono utilizzare tecnologie in grado di garantire l’immodificabilità dalla sorgente alla destinazione
12 Maggio 2011 - Garante II - Le prescrizioni INIT consiglia  Generazione di alert quando si identificano comportamenti anomali Componente Organizzativa: e’ necessario definire cos’e’ un comportamento anomalo Impatto organizztivo, da soglie statiche a dinamiche Componente Operativa: e’ necessario identificarlo e generare alert ( e organizzare una remediation) Impatto sulla personalizzazione della soluzione Questa richiesta puo’ essere risolta soltanto con prodotti che effettuano correlazione dei dati nel tempo come Arcsight su Log acquisiti dai sistemi e normalizzati poche Banche dispongono di questa tecnologia
12 Maggio 2011 - Garante II - Le prescrizioni INIT consiglia  Tutti i log di tutti gli applicativi di accesso devono essere utilizzati Criticita’ sui volumi di dati da storicizzare, Correlare. Importante disporre di una soluzione che scala con facilita’ e consente di avere semplice governabilita’ Della retention dei dati  Verifica, reportistica e ricerca post su base dati acquisita Necessita’ di avere in-linea grosse moli di dati non modificabili per molto tempo
12 Maggio 2011 - Garante II - Le prescrizioni INIT consiglia La Normativa Garante 2011 non ha certamente colto di sorpresa il mondo Finance, ma sicuramente ha un effetto profondo. Viene ribadita rafforzata la centralità dei Log come elemento cardine di tutte le operazioni di Governance Viene introdotto il concetto di comportamento anomalo (che porta con se la funzione di correlazione) innovativo per il mercato. In tanti pensano che questo nuovo paradigma “comportamenti anomali di chi opera” possa essere esteso a tutte le realta’ che trattano grossi volumi di dati personali: Assicurazioni, ASL, Ospedali, Comuni, etc. che hanno gli stessi problemi del mondo Finance.
Scenari di Mercato: Chi non ha investito ( e dispone di soluzioni fatte in casa) INIT consiglia Si può efficacemente dimostrare che gli strumenti messi a disposizione da Arcsight consentono una serie di benefici di cui un’azienda ha bisogno: “perché non si può governare cio’ che non si puo’ vedere” Ed i log rappresentano i “sensori” del contesto IT di un’azienda, dei processi, dell’azienda stessa, quindi sono l’elemento fondamentale per il suo efficace governo.
Scenari di Mercato: chi ha investito male ( e dispone di prodotti di mercato ma non Arcsight) INIT consiglia Colti i limiti dei prodotti scelti rispetto ad Arcsigh, si possono semplicemente evidenziare le mancanze in termini di funzioni base come l’acquisizione di dati, la normalizzazione, la semplice storicizzazione e la reportistica oltre che evidenziare la mancanza di funzioni di correlazione e l’impossibilita’ di evidenziare comportamenti anomali o la flessibilità d’utilizzo
Scenari di Mercato: chi ha già scelto Arcsight INIT consiglia Chi ha gia’ Arcsight ha certamente presente le problematiche di dettaglio relative all’acquisizione di Log. INIT ha sviluppato soluzioni per i temi più delicati che possono compromettere l’intera struttura di acquisizione: • Variazione di EPS (*) (possono compromettere la struttura di acquisizione) • Controllo dello stato della Singola Log Source • Variazioni del formato dei log (compromettono normalizzazione e reportistica) (*) EPS = gli Eventi Per Secondo sono il volume di Log generati da un sistema al secondo che vengono acquisiti dal sistema di collezionamento dei Log
ESM / Express: (correlazione) – analisi in real-time – sviluppo di riferimenti statistici da utilizzarsi come riferimento per le analisi comportamentale – duttilità nella presentazione di risultati e nella creazione Domande ? di dashboard di correlazione (policy di correlazione). Sergio Leoni info@init.it Disponibile come: 0289546000 Data Center Rackable Appliance Installable Software Benefit: Massima efficacia nell’evidenziare i log che contano tra i milioni prodotti

Recommended

Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber Security
Vilma Pozzi
 
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioni
luca menini
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
iDIALOGHI
 
Webinar sicurezza nei social network
Webinar sicurezza nei social networkWebinar sicurezza nei social network
Webinar sicurezza nei social network
Matteo Barberi
 
Caso 3
Caso 3Caso 3
Caso 3Luca Moroni ✔✔
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber SecurityEnrico Memmo
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?
CSI Piemonte
 

Recommended

Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber Security
Vilma Pozzi
 
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioni
luca menini
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
iDIALOGHI
 
Webinar sicurezza nei social network
Webinar sicurezza nei social networkWebinar sicurezza nei social network
Webinar sicurezza nei social network
Matteo Barberi
 
Caso 3
Caso 3Caso 3
Caso 3Luca Moroni ✔✔
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber SecurityEnrico Memmo
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?
CSI Piemonte
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
CSI Piemonte
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Consulthinkspa
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
CSI Piemonte
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security GovernanceGianandrea Daverio
 
Come integrare il mainframe con QRadar
Come integrare il mainframe con QRadarCome integrare il mainframe con QRadar
Come integrare il mainframe con QRadar
Luigi Perrone
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
CSI Piemonte
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Marco Guardigli
 
Data Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioniData Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioni
DFLABS SRL
 
Managed Security Services vs In house management
Managed Security Services vs In house managementManaged Security Services vs In house management
Managed Security Services vs In house management
Pierluigi Sartori
 
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Italia
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
Adalberto Casalboni
 
Social media management-webinar-virtual-meeting-05_2011_webinar
Social media management-webinar-virtual-meeting-05_2011_webinarSocial media management-webinar-virtual-meeting-05_2011_webinar
Social media management-webinar-virtual-meeting-05_2011_webinar
Matteo Barberi
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Par-Tec S.p.A.
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza Software
Piero Sbressa
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk Management
DFLABS SRL
 
iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management
iDIALOGHI
 
Infomation Leakage Prevention Ita
Infomation Leakage Prevention ItaInfomation Leakage Prevention Ita
Infomation Leakage Prevention Ita
Maurizio Milazzo
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
Vincenzo Calabrò
 
LE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA ITLE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA IT
Vincenzo Calabrò
 
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleIl DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
Babel
 

More Related Content

What's hot

Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
CSI Piemonte
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Consulthinkspa
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
CSI Piemonte
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security GovernanceGianandrea Daverio
 
Come integrare il mainframe con QRadar
Come integrare il mainframe con QRadarCome integrare il mainframe con QRadar
Come integrare il mainframe con QRadar
Luigi Perrone
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
CSI Piemonte
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Marco Guardigli
 
Data Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioniData Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioni
DFLABS SRL
 
Managed Security Services vs In house management
Managed Security Services vs In house managementManaged Security Services vs In house management
Managed Security Services vs In house management
Pierluigi Sartori
 
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Italia
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informaticagpopolo
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
Adalberto Casalboni
 
Social media management-webinar-virtual-meeting-05_2011_webinar
Social media management-webinar-virtual-meeting-05_2011_webinarSocial media management-webinar-virtual-meeting-05_2011_webinar
Social media management-webinar-virtual-meeting-05_2011_webinar
Matteo Barberi
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Par-Tec S.p.A.
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza Software
Piero Sbressa
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk Management
DFLABS SRL
 

What's hot (17)

Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security Governance
 
Come integrare il mainframe con QRadar
Come integrare il mainframe con QRadarCome integrare il mainframe con QRadar
Come integrare il mainframe con QRadar
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
 
Data Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioniData Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioni
 
Managed Security Services vs In house management
Managed Security Services vs In house managementManaged Security Services vs In house management
Managed Security Services vs In house management
 
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
 
Cosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza InformaticaCosa Vuol Dire Sicurezza Informatica
Cosa Vuol Dire Sicurezza Informatica
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
 
Social media management-webinar-virtual-meeting-05_2011_webinar
Social media management-webinar-virtual-meeting-05_2011_webinarSocial media management-webinar-virtual-meeting-05_2011_webinar
Social media management-webinar-virtual-meeting-05_2011_webinar
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
 
Presentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza SoftwarePresentazione corso sicurezza informatica Vicenza Software
Presentazione corso sicurezza informatica Vicenza Software
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk Management
 

Similar to SIEM visione complessiva

iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management
iDIALOGHI
 
Infomation Leakage Prevention Ita
Infomation Leakage Prevention ItaInfomation Leakage Prevention Ita
Infomation Leakage Prevention Ita
Maurizio Milazzo
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
Vincenzo Calabrò
 
LE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA ITLE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA IT
Vincenzo Calabrò
 
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleIl DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
Babel
 
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Massimiliano Lovati
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Massimiliano LovatiSignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Massimiliano Lovati
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Massimiliano Lovati
Digital Law Communication
 
Sala generale -_help_systems__testimonials_002
Sala generale -_help_systems__testimonials_002Sala generale -_help_systems__testimonials_002
Sala generale -_help_systems__testimonials_002
Massimo Raffaldi
 
Chi modifica i dati personali su IBMi
Chi modifica i dati personali su IBMiChi modifica i dati personali su IBMi
Chi modifica i dati personali su IBMi
Daniele Fittabile
 
Km6 help systems_sala generale
Km6 help systems_sala generaleKm6 help systems_sala generale
Km6 help systems_sala generale
Andrea Colombetti
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomware
Giulio Coraggio
 
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativaGDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
Stiip Srl
 
Data Integrity e Anonymized Data
Data Integrity e Anonymized DataData Integrity e Anonymized Data
Data Integrity e Anonymized Data
Dedagroup
 
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...festival ICT 2016
 
Digital Transformation: Big Data, User Targeting ed Etica - Project Work Mast...
Digital Transformation: Big Data, User Targeting ed Etica - Project Work Mast...Digital Transformation: Big Data, User Targeting ed Etica - Project Work Mast...
Digital Transformation: Big Data, User Targeting ed Etica - Project Work Mast...
Free Your Talent
 
Il data warehouse nella business intelligence
Il data warehouse nella business intelligenceIl data warehouse nella business intelligence
Il data warehouse nella business intelligence
Andrea Mecchia
 
Webinar sulla Prevenzione della perdita di dati
Webinar sulla Prevenzione della perdita di datiWebinar sulla Prevenzione della perdita di dati
Webinar sulla Prevenzione della perdita di dati
Marinuzzi & Associates
 
20090506 Fabio Rizzoto IDC
20090506 Fabio Rizzoto IDC20090506 Fabio Rizzoto IDC
20090506 Fabio Rizzoto IDC
assibo
 
Zeebra big dataanalytics_v1.1
Zeebra big dataanalytics_v1.1Zeebra big dataanalytics_v1.1
Zeebra big dataanalytics_v1.1
Alessandro Trinca Arnould
 
Massimo Rosso - Social Media e Prodotti TV: esperienze di "Extended Audience"...
Massimo Rosso - Social Media e Prodotti TV: esperienze di "Extended Audience"...Massimo Rosso - Social Media e Prodotti TV: esperienze di "Extended Audience"...
Massimo Rosso - Social Media e Prodotti TV: esperienze di "Extended Audience"...
Cultura Digitale
 

Similar to SIEM visione complessiva (20)

iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management
 
Infomation Leakage Prevention Ita
Infomation Leakage Prevention ItaInfomation Leakage Prevention Ita
Infomation Leakage Prevention Ita
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
 
LE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA ITLE RAGIONI DELLA SICUREZZA IT
LE RAGIONI DELLA SICUREZZA IT
 
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleIl DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
 
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Massimiliano Lovati
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Massimiliano LovatiSignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Massimiliano Lovati
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Massimiliano Lovati
 
Sala generale -_help_systems__testimonials_002
Sala generale -_help_systems__testimonials_002Sala generale -_help_systems__testimonials_002
Sala generale -_help_systems__testimonials_002
 
Chi modifica i dati personali su IBMi
Chi modifica i dati personali su IBMiChi modifica i dati personali su IBMi
Chi modifica i dati personali su IBMi
 
Km6 help systems_sala generale
Km6 help systems_sala generaleKm6 help systems_sala generale
Km6 help systems_sala generale
 
Come gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomwareCome gestire un data breach da attacco ransomware
Come gestire un data breach da attacco ransomware
 
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativaGDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
GDPR: il software TeamSystem per la gestione Privacy secondo la nuova normativa
 
Clusit
ClusitClusit
Clusit
 
Data Integrity e Anonymized Data
Data Integrity e Anonymized DataData Integrity e Anonymized Data
Data Integrity e Anonymized Data
 
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
festival ICT 2013: Le nuove frontiere di ANFoV: agenda digitale, sicurezza de...
 
Digital Transformation: Big Data, User Targeting ed Etica - Project Work Mast...
Digital Transformation: Big Data, User Targeting ed Etica - Project Work Mast...Digital Transformation: Big Data, User Targeting ed Etica - Project Work Mast...
Digital Transformation: Big Data, User Targeting ed Etica - Project Work Mast...
 
Il data warehouse nella business intelligence
Il data warehouse nella business intelligenceIl data warehouse nella business intelligence
Il data warehouse nella business intelligence
 
Webinar sulla Prevenzione della perdita di dati
Webinar sulla Prevenzione della perdita di datiWebinar sulla Prevenzione della perdita di dati
Webinar sulla Prevenzione della perdita di dati
 
20090506 Fabio Rizzoto IDC
20090506 Fabio Rizzoto IDC20090506 Fabio Rizzoto IDC
20090506 Fabio Rizzoto IDC
 
Zeebra big dataanalytics_v1.1
Zeebra big dataanalytics_v1.1Zeebra big dataanalytics_v1.1
Zeebra big dataanalytics_v1.1
 
Massimo Rosso - Social Media e Prodotti TV: esperienze di "Extended Audience"...
Massimo Rosso - Social Media e Prodotti TV: esperienze di "Extended Audience"...Massimo Rosso - Social Media e Prodotti TV: esperienze di "Extended Audience"...
Massimo Rosso - Social Media e Prodotti TV: esperienze di "Extended Audience"...
 

SIEM visione complessiva

  • 1. SIEM questo sconosciuto.... di cui tutti parlano System/Security Information & Event Management (da prima delle norme “Garante Privacy” ad oggi) Sergio Leoni info@init.it
  • 2. Contesto Il contesto e’ l’IT che rappresenta sempre di più il substrato su cui si appoggiano vari processi di business aziendali Proprietà di Uniteam Init s.r.l. - Tutti i diritti riservati - Riproduzione vietata Le immagini riportate sono esempi di mercato reperibili in rete.
  • 3. Cos’e’ un SIEM ? Con il temine SIEM si vogliono indicare le soluzioni che collezionano eventi provenienti dal contesto IT, li storicizzano, li analizzano e li normalizzano per svariati scopi (security, compliance, governance etc).
  • 4. Anni 2005 e dintorni Fino a 5 anni fa solo le grandi aziende o le banche collezionavano eventi al fine di compliance normativi perché obbligate a farlo. (strumenti antiquati, in genere servizi molto costosi, raramente veniva fatto un controllo dell’effettiva completezza dei log acquisiti etc..)
  • 5. Anni 2005 e dintorni Le attività di analisi venivano fatte prevalentemente “post mortem” (a valle di un incident) Nessuna sensibilità alle tematiche di Governance che quest’attivita’ consente di poter mettere in campo. Nessuna sensibilità alla possibilità di poter evolvere verso strumenti in grado di rilevare comportamenti anomali e quindi anticipare problemi.
  • 6. Contesto IT senza SIEM Milioni di eventi generati quotidianamente Punti di raccolta e analisi distinti Impossiible valutare problematiche di sicurezza e rischio Impossibile prevedere comportamenti anomali o frodi Network Security Physical Servers Desktop Identity Email Databases Apps Mobile Devices Devices Access Sources 6
  • 7. Contesto IT che adotta soluzioni SIEM Gli eventi prodotti vengono normalizzati, resi confrontabili e storicizzati Risulta possibile generare report, allarmi e consentire la ricerca di eventi cross-platform Network Security Physical Servers Desktop Identity Email Databases Apps Mobile Devices Devices Access Sources 7
  • 8. UN PASSO IMPORTANTE Il Garante della Privacy il 27 novembre 2008 viste le cospicue interrogazioni a lui fatte e i molteplici eventi in termini di divulgazioni di informazioni personali, per la prima volta, emana direttive che riguardano i log di accesso ai dati: soggetti coinvolti: TUTTE LE AZIENDE (PAC / PAL / MIL / ENTERPRISE / SME) Prescrizioni:  Scelta Amministratori (responsabilizzazione)  Registrazione su log completi ed immodificabili degli accessi ai sistemi ed agli archivi
  • 9. Garante I : la crescente consapevolezza dello strumento • Cosa fanno gli amministratori? E gli utenti normali? • Solo gli amministratori sono problematici? • Quante informazioni ottengo dai Log ? • Di quanti log ho bisogno ? • Di quali Log ho bisogno? • Da quali piattaforme? etc.. etc … Aumenta la cultura sulla tema Log
  • 10. Garante I : EFFETTO sulle Aziende? • Su alcune Aziende nessuno (hanno trovato il metodo meno costoso per porre una “toppa” alla richiesta normativa) non colgono “il tema” • Su altre,ha creato cultura su questa nuova possibilità di Governance e controllo • Ha posto l’attenzione su elementi prima ignorati dai più, evidenziando il loro enorme valore per una corretta gestione delle problematiche IT aziendali ed in senso più esteso dei processi di business che su di loro si poggiano.
  • 11. OGGI: da un punto di vista tecnologico • Prodotti fatti in casa (si trova di tutto) • Solo dischi per tenere i dati (dischi non modificabili Clarion) • Prodotti di mercato INIT consiglia leader vero di questo mercato In fortissima espansione.
  • 12. OGGI: C’e’ molto spazio per fare business SME ed alcune grandi aziende hanno affrontato il problema dal solo punto di vista normativo (con soluzioni fatte in casa, soluzioni custom, soluzioni con batterie di dischi non modificabili (Clarion) etc etc.. Una ghiotta opportunità per evidenziare gli aspetti non rilevati dalle aziende, proponendo soluzioni e progetti che consentono di: Anticipare e prevedere i problemi IT Ridurre costi dovuti alle multipiattaforme Aumentare il controllo sull’IT e su tutto ciò che sull’IT si basa (Applicazioni, processi di business aziendali, processi di produzione).
  • 13. OGGI: C’e’ molto spazio per fare business Poche aziende (molto grandi per lo più Banche), sensibili alle normative, investono e capiscono che oltre a soddisfare la normativa Garante I, si e’ in grado di acquisire, normalizzare, generare report ed allarmi, di avere quindi strumenti nuovi per un problema in forte crescita: La Governance Complessiva STRUMENTI DI CORRELAZIONE DEI DATI Proporre nuovi strumenti che consentono di poter sfruttare i log acquisiti per identificare comportamenti anomali, prevedere ed anticipare allarmi, rilevare minacce zero-day (*) rilevare frodi, etc.. etc.. Crescita dal contesto IT ai processi di business aziendali (con gli stessi vantaggi) (*) tutti quegli attacchi non gestibili con i metodi tradizionali basati sul riconoscimento attraverso pattern
  • 14. FISSIAMO ALCUNI CONCETTI  Generico processo di Business Aziendale Processo di Business aziendale Regole Utenti Applicazioni Log Portals Strato IT LOG I diversi processi di business e come questi interagiscono, definiscono come l’azienda, nel suo complesso persegue il suo obiettivo
  • 15. FISSIAMO ALCUNI CONCETTI  Differenza tra ALLARMISTICA e CORRELAZIONE L’allarmistica e’ la rilevazione nel momento in cui si fa il controllo di un valore, del superamento di una soglia o di un insieme di dati (anche di tipo diverso) - effettuato il rilevamento viene emesso un allarme l’allarme Ex. C’e’ fumo  allarme Sito web fermo allarme acqua alta, diga piena, pioggia in atto  allarme Il valore da considerare e’ SOLO quello al momento della rilevazione.
  • 16. FISSIAMO ALCUNI CONCETTI  Differenza tra ALLARMISTICA e CORRELAZIONE Nella correlazione, la rilevazione di dati per emettere un allarme avviene considerando anche gli eventi passati. Ex Se e’ la decima volta oggi che un utente usa una porta d’emergenza Se il carico del server e’ maggiore del 20% della media degli ultimi giorni Se oggi (che e’ giovedi’) il comportamento di un operatore varia per piu’ del 30% rispetto a tutti i giovedi’ passati Se qualcuno accede al 40% dei file in più rispetto al solito etc. etc. Tutte queste analisi sono effettuate considerando un intervallo temporale che va anche significativamente nel passato per decidere se una serie di eventi corrisponde ad un avento anomalo o e’ da considerare un andamento consueto.
  • 17. CHI HA BISOGNO DI QUESTE SOLUZIONI? TUTTE LE AZIENDE (PAC / PAL / MIL / ENTERPRISE) Hanno il problema di anticipare le anomalie piuttosto che gestirle (aumentano i costi, spesso la gestione non risolve completamente l’evento accaduto) Gli strumenti attuali non consentono di risolvere se non puntualmente (non ho una visione complessiva) La gestione delle applicazioni e’ fatta a semafori Non ho elementi storici o comportamentali negli strumenti attuali
  • 18. 12 Maggio 2011 - Garante II - Le prescrizioni Il 12 Maggio 2011, vengono pubblicate nuove “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e il tracciamento delle operazioni bancarie” Il garante evidenzia le numerose istanze (segnalazioni, reclami, quesiti) che gli sono state rivolte da diversi enti a diverso titolo relative al tema della “circolazione” delle informazioni riferite ai clienti all’interno dei gruppi bancari e alla relativa tracciabilità
  • 19. 12 Maggio 2011 - Garante II - Le prescrizioni Ambito d’applicazione: – Banche – Chi fa parte di gruppi Bancari – Altre società anche diverse da Banche purché parti di tali gruppi. – Poste Italiane – Da approfondire caso per caso, l’estensione ai “terzi” che risultano “titolari del trattamento dei dati” bancari .
  • 20. 12 Maggio 2011 - Garante II - Le prescrizioni INIT consiglia Il Garante Prescrive: Misure Necessarie  Designazione dell’outsourcer (misura organizzativa)  Tracciamento delle operazioni “Devono essere adottate idonee soluzioni informatiche per il controllo dei trattamenti condotti sui singoli elementi di informazione presenti sui diversi DB” Registrazione dettagliata su LOG delle inquiry (retention di almeno 24 mesi) • il codice di chi ha fatto l’operazione • la data e l’ora d’esecuzione • il codice della postazione di lavoro utilizzata • il codice del cliente interessato • il rapporto contrattuale del cliente
  • 21. 12 Maggio 2011 - Garante II - Le prescrizioni INIT consiglia Il Garante Prescrive: Misure Necessarie  Implementazione di Alert i. Deve essere prefigurata da parte delle banche l’attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni di inquiry ii. Negli applicativi di business intelligence devono confluire i log relativi a tutti gli applicativi utilizzati per gli accessi  Audit interno di controllo-Rapporti periodici i. deve essere svolta una costante e periodica attività di controllo svolta da chi non opera sui dati ( segregation of duty) ii. Verifiche a posteriori su legittimità delle operazioni svolte, integrità (dei dati) e procedure utilizzate
  • 22. 12 Maggio 2011 - Garante II - Le prescrizioni INIT consiglia  Acquisizione di log completi relativi all’accesso ai dati grosso Impatto molte banche devono rivedere Queste semplice richiesta implica che: le applicazioni o parte di esse servono soluzioni flessibili per l’acquisizione dei log i. Gli applicativi generino i log ii. Che le soluzioni utilizzate siano in grado acquisirli operazione fondamentale iii. Che siano in grado di normalizzarli per una efficace allarmistica I dati li devo poter confrontare iv. Che siano in grado di trasportarli (immodificati) Si devono utilizzare tecnologie in grado di garantire l’immodificabilità dalla sorgente alla destinazione
  • 23. 12 Maggio 2011 - Garante II - Le prescrizioni INIT consiglia  Generazione di alert quando si identificano comportamenti anomali Componente Organizzativa: e’ necessario definire cos’e’ un comportamento anomalo Impatto organizztivo, da soglie statiche a dinamiche Componente Operativa: e’ necessario identificarlo e generare alert ( e organizzare una remediation) Impatto sulla personalizzazione della soluzione Questa richiesta puo’ essere risolta soltanto con prodotti che effettuano correlazione dei dati nel tempo come Arcsight su Log acquisiti dai sistemi e normalizzati poche Banche dispongono di questa tecnologia
  • 24. 12 Maggio 2011 - Garante II - Le prescrizioni INIT consiglia  Tutti i log di tutti gli applicativi di accesso devono essere utilizzati Criticita’ sui volumi di dati da storicizzare, Correlare. Importante disporre di una soluzione che scala con facilita’ e consente di avere semplice governabilita’ Della retention dei dati  Verifica, reportistica e ricerca post su base dati acquisita Necessita’ di avere in-linea grosse moli di dati non modificabili per molto tempo
  • 25. 12 Maggio 2011 - Garante II - Le prescrizioni INIT consiglia La Normativa Garante 2011 non ha certamente colto di sorpresa il mondo Finance, ma sicuramente ha un effetto profondo. Viene ribadita rafforzata la centralità dei Log come elemento cardine di tutte le operazioni di Governance Viene introdotto il concetto di comportamento anomalo (che porta con se la funzione di correlazione) innovativo per il mercato. In tanti pensano che questo nuovo paradigma “comportamenti anomali di chi opera” possa essere esteso a tutte le realta’ che trattano grossi volumi di dati personali: Assicurazioni, ASL, Ospedali, Comuni, etc. che hanno gli stessi problemi del mondo Finance.
  • 26. Scenari di Mercato: Chi non ha investito ( e dispone di soluzioni fatte in casa) INIT consiglia Si può efficacemente dimostrare che gli strumenti messi a disposizione da Arcsight consentono una serie di benefici di cui un’azienda ha bisogno: “perché non si può governare cio’ che non si puo’ vedere” Ed i log rappresentano i “sensori” del contesto IT di un’azienda, dei processi, dell’azienda stessa, quindi sono l’elemento fondamentale per il suo efficace governo.
  • 27. Scenari di Mercato: chi ha investito male ( e dispone di prodotti di mercato ma non Arcsight) INIT consiglia Colti i limiti dei prodotti scelti rispetto ad Arcsigh, si possono semplicemente evidenziare le mancanze in termini di funzioni base come l’acquisizione di dati, la normalizzazione, la semplice storicizzazione e la reportistica oltre che evidenziare la mancanza di funzioni di correlazione e l’impossibilita’ di evidenziare comportamenti anomali o la flessibilità d’utilizzo
  • 28. Scenari di Mercato: chi ha già scelto Arcsight INIT consiglia Chi ha gia’ Arcsight ha certamente presente le problematiche di dettaglio relative all’acquisizione di Log. INIT ha sviluppato soluzioni per i temi più delicati che possono compromettere l’intera struttura di acquisizione: • Variazione di EPS (*) (possono compromettere la struttura di acquisizione) • Controllo dello stato della Singola Log Source • Variazioni del formato dei log (compromettono normalizzazione e reportistica) (*) EPS = gli Eventi Per Secondo sono il volume di Log generati da un sistema al secondo che vengono acquisiti dal sistema di collezionamento dei Log
  • 29. ESM / Express: (correlazione) – analisi in real-time – sviluppo di riferimenti statistici da utilizzarsi come riferimento per le analisi comportamentale – duttilità nella presentazione di risultati e nella creazione Domande ? di dashboard di correlazione (policy di correlazione). Sergio Leoni info@init.it Disponibile come: 0289546000 Data Center Rackable Appliance Installable Software Benefit: Massima efficacia nell’evidenziare i log che contano tra i milioni prodotti