Security Intelligence, le risposte alle sfide di domani

Alessandro RaniICT SecurityBusiness Unit Manager

2

Live poll: "Quale percezione hai del livello di sicurezza della tua azienda?"

http://etc.ch/te8y

RISULTATI

3

La difesa di un ecosistema complesso

4

SIEM – Security Information and Event Management

SIEM è l’acronimo di “Security Information and Event Management” , tradotto in

SISTEMA DI GESTIONE DELLE INFORMAZIONI E DEGLI EVENTI DI SICUREZZA e definisce un prodotto costituito da software e/o servizi che unisce le capacità di:

Che cosa si intende per SIEM?

“Security Information Management” (SIM)

SIM si occupa della parte di “log management”, di attività di analisi e della produzione di report per aderire ad esempio norme di compliance.

+ “Security Event Management” (SEM)

SEM si occupa del monitoraggio in real-time degli eventi, dell’incident managementin ambito security, per quanto riguarda eventi che accadono sulla rete, sui dispositivi di

sicurezza, sui sistemi o le applicazioni.

5

Un SIEM, quali funzioni svolge?

• Collezione: raccolta LOG ed Eventi da svariati tipologie di fonti, sistemi, dispositivi, applicazioni.

• Aggregazione: i dati raccolti vengono combinati opportunamente in un unico data storefacilitando così le successive operazioni sui dati.

• Normalizzazione: la normalizzazione è un processo fondamentale, che si occupa di trasformare le differenti rappresentazioni delle informazioni ricevute, in una forma univoca, normalizzata e rappresentata in maniera comprensibile.

• Correlazione: altro processo della massima importanza, vero valore del sistema, ossia la capacità di collegare tra loro le informazioni ricevute dai sistemi più disparati, confrontarle con regole predefinite o create ad hoc secondo policy, per andare poi a segnalare la presenza o meno di Incidenti (od Offenses)

• Segnalazione: definita anche alerting, è quella funzione che in combinazione con la correlazione si occupa di avvisare di minacce o incidenti in atto, sulla base di soglie o regole definite.

• Reportistica: elemento fondamentale, soprattutto in ambito di IT Governance e di compliance, oltre che di analisi.

6

La complessità di raccogliere Log

Log Sources

•Dispositivi di sicurezza• Applicativi di sicurezza• Sistemi Operativi• Data Base• Applicazioni• Dispositivi di Rete• Client

Protocols

•Syslog•ODBC• SNMP• OPSEC• Sftp• altri…

Information

• Attività delle utenze• Login/Logout• Allarmi• Attività amministrative• Email• Navigazione• Attività di traffico• Attività di Sistema

7

…e un Next Generation SIEM, quali funzioni svolge?

1. Collezione e correlazione di Log ai quali si aggiungono Flussi di traffico sia da sorgenti locali che remote

NBAD (Network Behavior Anomaly Detection) Vulnerability Assessment Information

Asset Inventory e Discovery UBA (User Behaviour Analisys) Cyber Threat Intelligence Feeds

2. Full Packet Capture PRE e POST Mortem

3. Risk Assessment tools e data path discovery

8

SIEM per la conformità con Direttive / Normative

• In ottemperanza alla normativa GDPR (General Data Protection Regulation), il mantenimento di un continuo controllo sulla sicurezza IT, con l’obiettivo di rilevare e notificare eventuali violazioni al momento in cui si manifestano.

•Le funzionalità di un SIEM sono necessarie per la conformità alle principaliNormative, vincoli di categoria, framework di processo e di sicurezza

ISO 27001 Payment Card Industry Data Security Standard (PCI DSS) Health Insurance Portability and Accountability Act (HIPAA) Federal Energy Regulatory Commission (FERC) Sarbanes–Oxley (SOX) National Institute of Standards and Technology (NIST) Information Technology Infrastructure Library (ITIL) Control Objectives for Information and related Technology (CoBit)

9

IBM QRadar Security Intelligence Platform

10

IBM QRadar Security Intelligence Platform

11

La piattaforma SIEM QRadar per un Security Operation Center

12

QRadar SIEM - Offenses investigation

Un icona ROSSAindica la presenza di un Offense

13

QRadar Network flows and Application Visibility

• Il traffico di rete NON MENTE. Un attaccante può eliminare le tracce del suo passaggio ma il flussi di traffico non possono essere alterati.• Interpreta flussi NetFlow, IPFIX, sFlow, Jflow, Packeteer• Consente di rilevare gli attacchi zero-day che non hanno firma• Fornisce visibilità in tutte le comunicazioni• Utilizza il monitoraggio passivo per costruire i profili di attività e classificare gli host• Migliora la visibilità della rete e aiuta a risolvere i problemi di traffico

14

QRadar Network Insightdalla raccolta del flusso di rete all' analisi del contenuto

STEP 1 - QRadar Flow CollectorCorrelazione delle informazioni di traffico basato su indirizzi IP e porte TCP/UDP, fino a livello 4.

STEP 2 - QRadar Qflow e VflowVerifca dei primi 64 byte del flusso di traffico e consente di riconoscere una applicazione, catturando la parte iniziale della sessione di comunicazione

STEP 3 – QRadar ForensicsRicostruzione del traficco post mortem, ossia a seguito di un evento e replay dell’ interaconversazione

STEP 4 – QRadar Network InsightAnalisi e correlazione del contenuto dei pacchetti di rete in tempo reale. Consente di rilevarese temi di interesse o elementi sospetti, vengono trattati durante una conversazione o sessione di comunicazione.

15

QRadar Network InsightLe sfide di sicurezza che le aziende devono affrontare

16

Quali sono i 4 livelli di maturità di Security Intelligence?

Modern Security Intelligence Platform

2nd Gen SIEM

1st Gen SIEM

Evoluzione della Security OperationsTo gain awareness of the current state of an organization’s security posture requires data and analytics. But thus far security operations teams limited focus to internal security data with minimal use of external knowledge

Increasing Volume and Variety of Data

Log Data Vulnerability Data/External Threat Feeds Flow Data Full Packet Capture Unstructured/

External Data

Incr

easi

ng S

ophi

stic

atio

n of

Ana

lytic

s

Sear

chPa

ttern

D

etec

tion

Rep

ortin

gR

ules

Out

-of t

he-b

ox

Anal

ytic

s

Plat

form

for

Cus

tom

An

alyt

ics

Log Mgmt

Advanced Cyber

Forensics

1st

Generation

Forensics

L’ Evoluzione del Security Operations Center

Fonte: Rapporto Clusit 2017

•Il SOC sta evolvendo (o dovrà evolvere) verso il Next Generation SOC, il quale dovràgiocoforza predisporsi e adeguarsi ad agganciare fonti non tradizionali, ad adottareregole di correlazione che includano metodi e tecniche di analisi Business Oriented e dovrà soprattutto essere integrabile con strumenti di monitoring predisposti per i Big Data.

• E’ in particolare nel mondo esterno che I dati moltiplicano esponenzialmente il lorovolume e la loro eterogeneità, dati fatti per essere ad uso e consumo dell’ uomo, piùche della macchina. In questa direzione dovrà orientarsi l’intelligence preventiva dinuova generazione.

• Il fattore tempo è quello sempre più determinate nel contrasto al Cyber Crime.

TraditionalSecurity Data

Una quantità enorme di conoscenze di sicurezza è creata per il consumo umano, ma la maggior parte è inutilizzata

Examples include:• Research documents• Industry publications• Forensic information• Threat intelligence

commentary

• Conference presentations• Analyst reports• Webpages • Wikis• Blogs

• News sources

• Newsletters• Tweets

A universe of security knowledgeDark to your defensesTypical organizations leverage only 8% of this content*

Human Generated Knowledge

•Security events and alerts•Logs and configuration data

•User and network activity•Threat and vulnerability feeds

Todays reality - Do all of this in under 20 minutes, all day, every day

Review your security incidents in a SIEM

Decide which incident to focus on next

Review the data

(events / flows that made up that incident)

Expand your search to capture more data around that incident

Pivot the data multiple ways to

find outliers (such as unusual domains, IPs,

file access)

Review the payload outlying events for

anything interesting (domains, MD5s, etc)

Search X-Force Exchange + Search Engine + Virus Total + your favorite tools for these outliers / indicators.

Find new Malware is at play

Get the name of the Malware

Search more websites for information about indicators of compromise (IOCs) for that Malware Take these newly found IOCs from the internet

Take these newly found

IOCs from the internet

and search from them

back in a SIEM

Find other internal IPs are potentially infected with the

same Malware.

Start another investigation around

each of these IPs.

Watson For Cyber Security

Da cosa viene alimentato Watson for Cyber Security?

1 Week 1 Hour5 Minutes

StructuredSecurity Data

X-Force Exchange Trusted Partner Data

Open sourcePaid data- Indicators

- Vulnerabilities- Malware names, …

- New actors- Campaigns- Malware outbreaks- Indicators, …

- Course of action- Actors

- Trends- Indicators, …

Crawl of CriticalUnstructured Security

Data

Massive Crawl of all SecurityRelated Data on Web

Breach repliesAttack write-ups

Best practices

BlogsWebsitesNews, …

Filtering + Machine LearningRemoves Unnecessary

InformationMachine Learning / Natural Language ProcessingExtracts and Annotates

Collected Data

Billions ofData Elements

Millions of Documents

5-10 updates / hour! 100K updates / week!

3:1 Reduction

Massive Security Knowledge GraphBillions of Nodes / Edges

Cognitive Security Starts HereIBM Security Introduces a Revolutionary Shift in Security Operations

• Employs powerful cognitive capabilities to investigate and qualify security incidents and anomalies on behalf of security analysts

• Powered by Watson for Cyber Security to tap into vast amounts of security knowledge and deliver insights relevant to specific security incidents

• Transforms SOC operations by addressing current challenges that include skills shortages, alert overloads, incident response delays, currency of security information and process risks

• Designed to be easily consumable: delivered via IBM Security App Exchange and deployed in minutes

NEW! IBM QRadar Watson Advisor

• Review the incident data

• Review the outlying events for anything interesting (e.g., domains, MD5s, etc.)

• Pivot on the data to find outliers (e.g., unusual domains, IPs, file access)

• Expand your search to capture more data around that incident

• Search for these outliers / indicators using X-Force Exchange + Google + Virus Total + your favorite tools

• Discover new malware is at play

• Get the name of the malware

• Gather IOC (indicators of compromise) from additional web searches

• Investigate gathered IOC locally

• Find other internal IPs are potentially infected with the same Malware

• Qualify the incident based on insights gathered from threat research

• Start another investigation around each of these IPs

Attività cognitive di un analista della sicurezza nell'individuare un incidente

Time consuming

threat analysis

There’s got to be an easier way!

Applicare l'intelligenza e indagare sull'incidente

Raccogliere la ricerca di minaccia, sviluppare le competenze

Ottenere il contesto locale che porta all'incidente

Sbloccare una nuova partnership tra gli analisti della sicurezza e la loro tecnologia

QRadar Advisor complementing the investigative resources of a SOC

• Manage alerts

• Research security events and anomalies

• Evaluate user activity and vulnerabilities

• Configuration

• Other

• Data correlation

• Pattern identification

• Thresholds

• Policies

• Anomaly detection

• Prioritization

Security Analytics

Security Analysts Watson for Cyber Security• Security knowledge

• Threat identification

• Reveal additional indicators

• Surface or derive relationships

• Evidence

• Local data mining

• Perform threat research using Watson for Cyber Security

• Qualify and relate threat research to security incidents

• Present findings

QRadar Watson Advisor

SECURITY ANALYSTS

SECURITY ANALYTICS

QRadarAdvisor

with Watson

Watsonfor Cyber Security

QRadar Advisor in Action

1. Offenses

5. Research results

Knowledgegraph

4. Performs threat research and develops expertise

3. Observables2. Gains local context and forms threat research strategy

Offensecontext

Deviceactivities

Equivalencyrelationships

6. Applies the intelligence gathered to investigate and qualify the incident

QRadarCorrelated enterprise data

Grazie per l’attenzione!

www.vmsistemi.it

VM SISTEMI SpA Faenza: Via R. Ossani, 18 - 48018 - Faenza (RA) - Tel 0546 689511 – Fax 0546 689591Milano: Via L. Tolstoj 86 - Scala H - 20089 San Giuliano Milanese (MI) – Tel 02 57506417Roma: Via Troilo il Grande, 3 – 00131 Roma – Tel 06 41294278www.vmsistemi.it – vm@vmsistemi.it

Grazie per l’attenzione!

www.vmsistemi.it

VM SISTEMI SpA Faenza: Via R. Ossani, 18 - 48018 - Faenza (RA) - Tel 0546 689511 – Fax 0546 689591Milano: Via L. Tolstoj 86 - Scala H - 20089 San Giuliano Milanese (MI) – Tel 02 57506417Roma: Via Troilo il Grande, 3 – 00131 Roma – Tel 06 41294278www.vmsistemi.it – vm@vmsistemi.it

Alessandro Rani

ICT Security Business Unit Manager

Email: arani@vmsistemi.itLinkedin: it.linkedin.com/in/alessandrorani