HBG Gaming, operatore italiano nel settore del gioco legale, utilizza Splunk per garantire la compliance normativa e per la sicurezza IT. Le esigenze di monitoraggio e correlazione degli eventi di sicurezza sono soddisfatte tramite dashboard personalizzate, che permettono di analizzare e gestire gli accessi logici e le anomalie. Gli sviluppi futuri prevedono un monitoraggio più specifico e un sistema di allarmistica proattivo.

1. Copyright © 2014 Splunk Inc.
Roma – 26 Marzo 2015
Splunk @ HBG Gaming

2. 2
Splunk @ HBG Gaming
Privacy & Security Event Search
Marcello David, Sicurezza e
Compliance IT
Roma, 26 Marzo 2015

3. 3
Agenda
Profilo aziendale
Ruolo ed esperienze
Esigenze
Perché Splunk
Splunk @ HBG Gaming
Dashboard
Sviluppi futuri
Lessons Learned

4. 4
Profilo aziendale
HBG Gaming è uno dei più grandi operatori italiani presenti nel panorama del gioco sicuro e legale regolato
dall’Agenzia delle Dogane e dei Monopoli; con 660 dipendenti ed oltre 14 anni di esperienza nel settore, offre una
gamma completa di prodotti di gioco quali New Slot, Videolottery, Bingo, Scommesse e Giochi Online.
35.000
NEWSLOT GESTITE
11.000
ESERCIZI COMMERCIALI
4.798
VIDEOLOTTERY
470
SALE DA GIOCO
42
NEGOZI DI GIOCO
1
PIATTAFORMA ONLINE
16
SALE BINGO
6.000
POSTI A SEDERE
1
PIATTAFORMA ONLINE
GESTIONE
REMOTA
ASSISTENZA
DEDICATA
GESTIONE
REMOTA
ASSISTENZA
DEDICATA
FOOD
EVENTI
CONCORSI
EVENTI
SPORTIVI
IPPICA
VIRTUAL
BETTING
POKER
CASINO’
BINGO
CARD GAMES
ISO-9001 SERVIZI

5. 5
Ruolo ed esperienze
Assicurare la Compliance dei sistemi IT agli
obblighi normativi nazionali (Codice Privacy,
D.Lgs. 231/2001, AAMS … )
Definire i requisiti e le policy di sicurezza a
mitigazione dei rischi residui
Splunk> CSI: Logfiles.
Tag line preferitaEsperienze
Progettare ed esercire le piattaforme
centralizzate di sicurezza, trasversali per i
servizi di business
Verificare l’efficacia e l’efficienza dei controlli di
sicurezza a protezione delle informazioni

6. 6
Esigenze
Collezionamento centralizzato e correlazione di eventi di sicurezza generati da fonti dati
eterogenee e dislocate in modo distribuito su base geografica
Ottimizzazione delle misure IT a supporto degli obblighi* sugli Amministratori di Sistema:
– Registrazione degli accessi logici (sia ai sistemi che alle postazioni di lavoro)
– Record aventi caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità
– Conservazione per un periodo non inferiore a sei mesi
– Verifica dell'operato degli amministratori di sistema con cadenza almeno annuale
Efficacia ed efficienza nell’analisi delle informazioni collezionate, anche per periodi temporali
di lungo termine
Individuazione proattiva degli eventi con potenziale impatto in ambito di sicurezza e
generazione dei relativi allarmi
* Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema (G.U. n. 300 del 24/12/08 e succ. modifiche)

7. 7
Perché Splunk
Le esigenze precedentemente illustrate sono in genere soddisfatte per mezzo di soluzioni SIEM
(Security Incident Event Management), di seguito alcuni esempi high level in merito alle valutazioni
effettuate in fase di selezione del prodotto:
Collezionamento e
correlazione di eventi
Registrazione a
norma degli accessi
logici sui sistemi
Efficacia ed efficienza
nell’analisi delle
informazioni
Customizzazione
(allarmi, cruscotti di
monitoraggio, …)
Automatico sulle fonti
dati supportate, viceversa
manuale e complesso
Inalterabilità e integrità
assicurate tramite
cifratura ed hashing
Flessibilità legata alle
logiche interne, tempi di
ricerca standard
Richiede pieno know-how
sul prodotto, a volte
anche di programmazione
Indicizzazione
automatica dei dati,
correlazione semplice
Inalterabilità e integrità
assicurate tramite
cifratura ed hashing
Elevata flessibilità di
ricerca delle informazioni,
tempi di ricerca rapidi
Rapida e graduale grazie
a linguaggio user-friendly
SIEM
Tradizionale
Last but not least, il licensing di Splunk basato sul volume di dati/gg consente di limitare i rischi di
un’errata progettazione, più complessi da gestire nel caso di logiche basate su eventi/secondo.

8. 8
Splunk Enterprise 6.1 @ HBG Gaming
IndexerIndexer + Search Head
Indexer + Backup Search Head
Antivirus Web Server
ApplicationApplication Application
Database Database
DHCP DHCP DHCPActive Directory Active Directory Active Directory
File Server
Wi-FiVPN
Windows Windows WindowsLinux Linux Linux
Firewall Firewall Firewall
Syslog Syslog Syslog
A B C
Log F. Metrics Log F. Metrics Log F. Metrics

9. 9
Dashboard “Accessi Amministratori”
Consente di monitorare gli accessi logici effettuati dagli Amministratori di Sistema; è stata
interamente creata da zero al fine di presentare le informazioni in modo chiaro e completo.
• Funzionalità di filtraggio per:
– Tipologia di evento (logon, logoff,
logon failed, logoff pending)
– Tipologia di accesso (remoto,
locale, cartella di rete, ..)
– Intervallo temporale
– Host di interesse
– Tipologia di destinazione
(Windows, Linux, Database, Rete,
Workstation, Applicazione,
Sicurezza)
– Sito geografico
– Amministratore di Sistema

10. 1
Dashboard “Data Source”
Consente di monitorare i sistemi che hanno generato variazioni significative rispetto alla media
temporale degli eventi e/o che hanno interrotto l’invio di log verso gli indexer.
• Funzionalità:
– Filtraggio per sito geografico
– Filtraggio su base temporale
– Identificazione degli host
– Identificazione dei data source
che hanno causato la varianza
nel periodo di riferimento
– Identificazione dell’ultimo
evento di log ricevuto

11. 1
Dashboard “Application Log”
Consente di monitorare il volume di accessi giornalieri sui portali aziendali, rilevando eventuali attacchi
brute-force sulle password e/o potenziali furti d’identità.
• Funzionalità:
– Filtraggio su base
temporale, geografica ed
applicativa
– Trend degli eventi di logon
riusciti/falliti
– Allarmistica al
superamento della soglia
sul numero di tentativi errati
di accesso
– Individuazione degli
account la cui
geolocalizzazione vari

12. 1
Dashboard “VPN”
Consente di monitorare gli accessi effettuati da remoto alla rete aziendale e di produrre una
reportistica pro verifica di eventuali accessi anomali (es. accessi notturni non pianificati)
• Funzionalità:
– Filtraggio per tipologia di evento
(logon, logoff, timeout di sessione,
timeout per inattività)
– Filtraggio su base temporale ed
utente
– Rilevamento numerosità di
eventi generati per singolo utente
– Dettaglio accessi effettuati da
remoto (timestamp, utente, IP di
provenienza, tipologia di
dispositivo)

13. 1
Dashboard “Firewall”
Consente di monitorare l’andamento dei flussi sui firewall, individuando gli IP che insistono
maggiormente sugli apparati e la loro geolocalizzazione.
• Funzionalità:
– Monitoraggio real-time dei flussi di
frontiera inbound ed outbound
per sito geografico
– Individuazione della Top 10 IP
generatori di traffico sui firewall
– Geolocalizzazione grafica degli
IP al fine di individuare
rapidamente eventuali tentativi di
connessione anomali in relazione
al traffico atteso di business

14. 14
Sviluppi futuri
• Verticalizzazione del
monitoraggio effettuato
per singolo applicativo,
al fine di rilevare
informazioni di sicurezza
specifiche in funzione
del contesto di business
• Estensione delle regole
di correlazione sui dati
provenienti da fonti
eterogenee, al fine di
attuare un sistema di
allarmistica intelligente
e proattivo in ottica di
sicurezza IT
• Creazione di interfacce
dedicate in ottica di
Incident Management,
che a partire dagli
allarmi di sicurezza
generati consentano di
tracciare l’evento e di
effettuarne l’analisi e la
risoluzione

15. 15
Lessons Learned
Documentare sempre i razionali di ricerca individuati per il
monitoraggio di un evento, a distanza di tempo consentirà di
effettuarne la manutenzione in modo rapido
Il concatenamento di più ricerche semplici in luogo ad una singola
ricerca complessa consente una maggiore flessibilità qualora
occorra apportare lievi modifiche in tempi brevi
Oltre a collezionare log dai sistemi, Splunk genera a sua volta log
contenenti indicatori sul suo stato di salute: effettuarne il
monitoraggio per prevenire imprevisti
Porre attenzione alla corretta configurazione delle transizioni
hot/warm/cold, la velocità di ricerca e l’uso dello spazio disco
miglioreranno sensibilmente

16. GRAZIE