Il TechAdvisor Michelangelo Uberti fornisce una panoramica su Blindspotter, l’ultima soluzione di Contextual Security Intelligence del nostro partner BalaBit.
I punti trattati durante la presentazione sono:
- Il ciclo di vita della sicurezza IT
- Il concetto di Contextual Security Intelligence
- Le fonti alla base del contesto: Log Collection e Privileged Activity Monitoring
- Dalle fonti all'intelligence: Contextual Security Intelligence Platform
- Blindspotter in action
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/identificare-gli-attacchi-di-nuova-generazione-mediante-l-analisi-del-comportamento-degli-utenti
MySQL Day Milano 2018 - Le architetture a microservizi
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione mediante l’analisi del comportamento degli utenti
1. partita iva e codice fiscale: 12938200156
c.c.i.a.a. milano n.1599095
registro imprese 12938200156
capitale sociale € 2.418.433,00 i.v.
direzione e sede legale
via campanini 6
20124 milano
tel: +39 02/66.732.1 – fax: +39 02/66.732.300
unità operativa
p.zza san benedetto da norcia 33
00071 pomezia (rm)
tel: +39 06/9826.9600 – fax: +39 06/9826.9680
Forum ICT Security - 16 ottobre 2015
Michelangelo Uberti, Marketing Analyst
Identificare gli attacchi di nuova generazione mediante
l’analisi del comportamento degli utenti
2. 2
Chi è Par-Tec
Par-Tec è un software & infrastructure system integrator specializzato nella fornitura di servizi professionali
altamente qualificati e nella progettazione di soluzioni innovative negli ambiti:
• Business Solutions
• IT Infrastructure & Services
• Vertical Solutions dedicate al mercato finanziario
Le nostre attività in ambito IT Security?
• Consulenza tecnica e organizzativa sulle normative di riferimento
• Privacy compliance: Log Collection e Privileged Activity Monitoring
• Realizzazione di Infrastrutture a Chiave Pubblica (PKI) e Certification Authority
• Progettazione e realizzazione di piattaforme di Posta Elettronica Certificata
• Integrazione di soluzioni per l’Unified Threat Management
La collaborazione con BalaBit è iniziata 6 anni fa con la realizzazione delle prime piattaforme di log
collection centralizzate sul mercato telco.
Nel 2013 siamo stati premiati come Partner of the Year e siamo tuttora Gold Partner.
4. 4
Il ciclo di vita della sicurezza IT
Gli strumenti, le regole di accesso e i
permessi sono progettati per
affrontare le minacce note
I sistemi usano regole e pattern
stabiliti a priori per prevenire
minacce interne o esterne
Tutti i sistemi sono monitorati per
tentare di rilevare degli incidenti,
tipicamente DOPO che questi sono
accaduti
Per evitare il ripetersi
dell’incidente vengono progettati
dei controlli ancora più stringenti
e/o complessi Define
Prevent
Detect
Respond
Access
Controls
& policies
5. 5
Proviamo a cambiare approccio:
partiamo dalla terminologia
Context Security Intelligence
conoscenza e
comprensione
di un evento
esenzione da
rischi e pericoli
circostanze a
contorno di un
evento
Contextual Security Intelligence?
Una metodologia che consente di proteggere un bene mediante la
comprensione di uno o più eventi all’interno di un contesto ben preciso.
6. 6
Le fonti alla base del contesto:
Log Collection
Ogni giorno i vostri sistemi producono milioni di righe di log di vario genere.
Come fare per non perdere nemmeno una riga? Come trasmetterli e archiviarli in modo sicuro?
Apparati
di rete
Firewall,
IDS, IPS
Server
Dati
macchina
Applicazioni
/dev/null ?
7. 7
Le fonti alla base del contesto:
Log Collection
Ogni giorno i vostri sistemi producono milioni di righe di log di vario genere.
Come fare per non perdere nemmeno una riga? Come trasmetterli e archiviarli in modo sicuro?
Central Server
oppure
Apparati
di rete
Firewall,
IDS, IPS
Server
Applicazioni
Dati
macchina
8. 8
Le fonti alla base del contesto:
Log Collection
Il syslog-ng Store Box gestisce l'intero ciclo di vita dei log
garantendo il rispetto degli standard e delle normative
internazionali come PCI-DSS, ISO 27001, SOX e HIPAA.
Feature principali:
• Supporta i log da più di 50 piattaforme
• Memorizzazione sicura dei log mediante
cifratura, compressione e timestamp
• Classificazione e filtraggio dei log ricevuti
• Interfaccia web con ricerca avanzata
• Store & forward dei log verso strumenti di terze
parti (es. SIEM), anche via REST API
• Reportistica integrata
9. 9
Le fonti alla base del contesto:
Privileged Activity Monitoring
Ogni giorno i vostri sistemi sono acceduti a vario titolo da una moltitudine di soggetti.
Come tenere traccia delle loro azioni? Come limitare la sindrome da “God mode”?
IT Staff
Outsourcing
partners
Managers
RDP, VNC
VDI users
Cyber attacker
Data center
10. 10
Le fonti alla base del contesto:
Privileged Activity Monitoring
Ogni giorno i vostri sistemi sono acceduti a vario titolo da una moltitudine di soggetti.
Come tenere traccia delle loro azioni? Come limitare la sindrome da “God mode”?
IT Staff
Outsourcing
partners
Managers
RDP, VNC
VDI users
Cyber attacker
Data center
11. 11
Le fonti alla base del contesto:
Privileged Activity Monitoring
Lo Shell Control Box effettua il monitoraggio e l’audit
degli accessi amministrativi remoti a uno o più server
mediante il controllo delle connessioni crittografate e non.
Feature principali:
• E’ indipendente dai client e dai server
• Non richiede alcuna modifica alle applicazioni
esistenti
• I dati sono salvati in file legalmente inoppugnabili
crittografati e firmati con timestamp
• Supporta la notifica dell’esecuzione di comandi
malevoli e l’eventuale blocco delle connessioni in
tempo reale
• Gestisce l’autenticazione centralizzata, lo user
mapping e la 4-eyes authentication
Protocolli supportati
• SSH (v2)
• SCP e SFTP
• X11 rediretto via SSH
• RDP (v4 – 8)
• VMware View su client che usano RDP
• Telnet (tra cui TN3720 e TN5250)
• Citrix ICA (XenApp 5-6.5, XenDesktop 5-7)
• VNC (v3.3 – 3.8)
• HTTP/HTTPS
12. 12
Dalle fonti all’intelligence:
Contextual Security Intelligence Platform
Context Activity
Repository
System
Logs
Applicatio
n Logs
Activity
Monitoring
ContextDataIngestionHub
ThreatManagement
API
User
Directory
User
Profiles
Activity
Records
ContextIntelligence
Behavioral
Analytics
Video
Replay
Risk
Landscape
Searc
h
Real-timetrusteddatacollection
Risk
Assessment
Real-time
Response
Repor
t
FilterNormalizeEnrich
Indexing
13. 13
Dalle fonti all’intelligence:
Contextual Security Intelligence Platform
Ci siamo assicurati di avere le migliori fonti disponibili.
Context Activity
Repository
System
Logs
Applicatio
n Logs
Activity
Monitoring
ContextDataIngestionHub
ThreatManagement
API
User
Directory
User
Profiles
Activity
Records
ContextIntelligence
Behavioral
Analytics
Video
Replay
Risk
Landscape
Searc
h
Real-timetrusteddatacollection
Risk
Assessment
Real-time
Response
Repor
t
FilterNormalizeEnrich
Indexing
14. 14
Dalle fonti all’intelligence:
Contextual Security Intelligence Platform
I dati raccolti vengono collezionati con procedure affidabili e in tempo
reale. Il processo di collezionamento include l’esclusione delle
informazioni inutili, la normalizzazione dei dati e l’eventuale
arricchimento degli stessi con l’incrocio di altre fonti dati.
Context Activity
Repository
System
Logs
Applicatio
n Logs
Activity
Monitoring
ContextDataIngestionHub
ThreatManagement
API
User
Directory
User
Profiles
Activity
Records
ContextIntelligence
Behavioral
Analytics
Video
Replay
Risk
Landscape
Searc
h
Real-timetrusteddatacollection
Risk
Assessment
Real-time
Response
Repor
t
FilterNormalizeEnrich
Indexing
15. 15
Dalle fonti all’intelligence:
Contextual Security Intelligence Platform
Sulla base dei dati raccolti vengono creati dei profili utente che
determineranno la baseline. I dati sono memorizzati in modo sicuro e
inalterabile e sono indicizzati per facilitarne la fruizione da parte dei
modelli di analisi comportamentale.
Context Activity
Repository
System
Logs
Applicatio
n Logs
Activity
Monitoring
ContextDataIngestionHub
ThreatManagement
API
User
Directory
User
Profiles
Activity
Records
ContextIntelligence
Behavioral
Analytics
Video
Replay
Risk
Landscape
Searc
h
Real-timetrusteddatacollection
Risk
Assessment
Real-time
Response
Repor
t
FilterNormalizeEnrich
Indexing
16. 16
Dalle fonti all’intelligence:
Contextual Security Intelligence Platform
Context Activity
Repository
System
Logs
Applicatio
n Logs
Activity
Monitoring
ContextDataIngestionHub
ThreatManagement
API
User
Directory
User
Profiles
Activity
Records
ContextIntelligence
Behavioral
Analytics
Video
Replay
Risk
Landscape
Searc
h
Real-timetrusteddatacollection
Risk
Assessment
Real-time
Response
Repor
t
FilterNormalizeEnrich
Indexing
Il sistema analizza in tempo reale ciò che accade e,
confrontandolo con la baseline, identifica gli eventi difformi
e li classifica stimandone la pericolosità. In base al tipo di
minaccia può anche applicare delle contromisure.
17. 17
Dalle fonti all’intelligence:
Contextual Security Intelligence Platform
La console di amministrazione fornisce una panoramica del rischio
generale e consente di analizzare in dettaglio il rischio per ogni utente.
Context Activity
Repository
System
Logs
Applicatio
n Logs
Activity
Monitoring
ContextDataIngestionHub
ThreatManagement
API
User
Directory
User
Profiles
Activity
Records
ContextIntelligence
Behavioral
Analytics
Video
Replay
Risk
Landscape
Searc
h
Real-timetrusteddatacollection
Risk
Assessment
Real-time
Response
Repor
t
FilterNormalizeEnrich
Indexing
23. direzione e sede legale
via campanini 6
20124 milano
tel: +39 02/66.732.1 – fax: +39 02/66.732.300
unità operativa
p.zza san benedetto da norcia 33
00071 pomezia (rm)
tel: +39 06/9826.9600 – fax: +39 06/9826.9680
Grazie per l’attenzione
Volete approfondire l’argomento?
Venite a trovarci al nostro desk!