aspetti di sicurezza in azienda: gestione dei log aziendali
DESCRIPTION
Presentazione al Distretto delle Tecnologie Digitali (www.ditedi.it) Aspetti di sicurezza in azienda: gestione dei log aziendali Francesco Cossettini - 05 Ottobre 2013 Introduzione al Log Management, obiettivi, standard, possibilità e prodotti (commerciale e OSS). Introduzione a SIEM, possibilità e prodotti (commerciali e OSS). Aspetti tecnici delle normative tecniche e cogenti. I Log per gli sviluppatori. Trend attuali/futuri. http://www.ditedi.it/media/notizie/aspetti-di-sicurezza-in-azienda-gestione-dei-log-aziendali-monitoraggio-dei-sistemi-aziendali-il-fotoraccontoTRANSCRIPT
Aspetti di sicurezza in azienda: gestione dei log aziendali
Francesco Cossettini HTS Hi-Tech Services Srl
5 Ottobre 2013
Who is this guy?
Aspetti di sicurezza in azienda: gestione dei log aziendali
● Lavoro alla HTS Hi-Tech Services S.r.L.
● Pre/Post Sales, Deploy & Support Soluzione Log Management in ambito enterprise
Log Management
Aspetti di sicurezza in azienda: gestione dei log aziendali
● Cosa sono i log?
● Collezionamento dei log
● Perché il Log Management?
● Analisi dei log
● Normative e Linee Guida
● I Log per gli sviluppatori
● Trend attuali/futuri
Cosa sono i Log?
Aspetti di sicurezza in azienda: gestione dei log aziendali
Definizioni del MITRE (www.mitre.org)
http://cee.mitre.org/docs/CEE_Architecture_Overview-v0.5.pdf
An event is a single occurrence within an environment, usually involving an attempted state change. An event usually includes a notion of time, the occurrence, and any details the explicitly pertain to the event or environment that may help explain or understand the event's causes or effects.
An event field describes one characteristic of an event. Examples of an event fieldinclude date, time, source IP, user identification, and host identification.
An event record is a collection of event fields that, together, describe a single event. Terms synonymous to event record include "audit record" and "log entry".
A log is a collection of event records. Terms such as "data log," "activity log," "audit log," "audit trail," "log file," and "event log" are often used to mean the same thing as log.
Cosa sono i Log (2)
Aspetti di sicurezza in azienda: gestione dei log aziendali
… Ancora un paio di definizioni:
http://cee.mitre.org/docs/CEE_Architecture_Overview-v0.5.pdf
Logging is the act of collecting event records into logs. Examples of logging include storing log entries into a text log file, or storing audit record data in binary files or databases.
An audit is the process of evaluating logs within an environment. The typical goal of an audit is to assess the overall status or identify any notable or problematic activity.
Tipologie di Log
Aspetti di sicurezza in azienda: gestione dei log aziendali
Sistema: SyslogWindows Event Register
Servizi e Applicazioni: DBMSWeb ServerFTP server...
Appliance: SyslogOPSECSNMP
Sistemi di sicurezza: IDSAnti-VirusEnd Point Security
Etc...
Log Management
Aspetti di sicurezza in azienda: gestione dei log aziendali
Ed il Log Management, cos'è? (definizione dal NIST 800-92)
http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf
the process for generating, transmitting, storing, analyzing, and disposing of computer security log data.
Insieme di tecnologie, protocolli, standard e non per gestione dei log.
… ovviamente dipende da quali sono i nostri obbiettivi!
Perché LM?
Aspetti di sicurezza in azienda: gestione dei log aziendali
● Controllo● Monitoraggio● Verifiche interne● Security● Compliance Normative● Business intelligence
LM: i passi da compiere
Aspetti di sicurezza in azienda: gestione dei log aziendali
● Generare i Log● Collezionare i Log● Centralizzare i Log● Analizzare i Log● Giudicarne il contenuto (audit)
Ma soprattutto, progettare il LM!
Generare i log
Aspetti di sicurezza in azienda: gestione dei log aziendali
Banale ma... è il punto zero!
● Abbiamo abilitato l'audit?● Configurato il logging?● Sappiamo dove e come vengono registrati gli eventi?
… sempre se è possibile farlo!
Collezionare i log
Aspetti di sicurezza in azienda: gestione dei log aziendali
Ovvero renderli disponibili al nostro sistema di Log Management
● Sono su file di testo?● I log sono in formato binario/proprietario?● Sono registrati su DB?● Si ottengono richiamando determinate procedure?
Qualche caso pratico: Syslog
Aspetti di sicurezza in azienda: gestione dei log aziendali
● Sviluppato negli anni '80 (BSD Syslog) - Standard de facto● Fonti: largamente diffuso su OS Unix like e dispositivi di rete ● Regolamentato RFC 3164 (2001) resa obsoleta da RFC 5424 (2009)● Definizione del “formato” (RFC 5425) Definizione del trasporto
UDP porta 514 (RFC 5426) Previsto anche TCP (RFC6587 – inutilizzato) e TLS (RFC5425 – poco utilizzato)
● … Tutta una serie di RFC scarsamente implementate● Reliability?
Oct 3 22:09:30 ObiOne sshd[23927]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.128.255.178
Oct 3 22:09:32 ObiOne sshd[23927]: Failed password for invalid user tristan from 190.128.255.178 port 37558 ssh2
Oct 3 22:12:01 ObiOne sshd[23933]: Accepted password for cos from 192.168.1.47 port 61440 ssh2
Oct 3 22:12:01 ObiOne sshd[23933]: pam_unix(sshd:session): session opened for user cos by (uid=0)
Syslog (2)
Aspetti di sicurezza in azienda: gestione dei log aziendali
Multiplexing
kern (0) kerneluser (1) user-level mail (2) mail system daemon (3) system daemons' auth (4) authorization Syslog (5) generated internally Lpr (6) line printer subsys news (7) network news subsys uucp (8) UUCP subsystem cron (9) clock daemon authpriv (10) security/auth ftp (11) ftp daemon ntp (12) NTP subsystem Audit (13) audit messagesConsole (14) console messagescron2 (15) clock daemon local0 (16) ...local7 (23)
Non troppo “standard”!
Emerg (0) system is unusableAlert (1) action must be taken immediatelyCrit (2) critical conditionErr (3) error conditionWarning (4) warning conditionNotice (5) significant conditionInfo (6) informational Debug (7) debug-level
Facility: Severity:
Syslog (3)
Aspetti di sicurezza in azienda: gestione dei log aziendali
Configurazione[root@server ~]# cat /etc/syslog.conf# Log all kernel messages to the console. kern.* /dev/console
# Log anything (except mail) of level info or higher.# Don't log private authentication messages!*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.auth,authpriv.* /var/log/secure
# Log all the mail messages in one place.mail.* /var/log/maillog
# Log cron stuffcron.* /var/log/cron
# Everybody gets emergency messages*.emerg *
# Save boot messages also to boot.loglocal7.* /var/log/boot.log
# send auth log to the syslog collectorauth,authpriv.* @192.168.11.200
Windows Event Logs
Aspetti di sicurezza in azienda: gestione dei log aziendali
Registro eventi di Windows● I più antichi sono “System”, “Security” e “Application”● Aggiunti altri nei Windows più recenti● Dopo Vista anche registri personalizzabili e viste
Windows Event Logs (2)
Aspetti di sicurezza in azienda: gestione dei log aziendali
● Logs registrati su file binario● .evt● .evtx: (binary xml) post-Vista
● Accesso attraverso tools (Event Viewer, Wevt Command Line, PowerShell, LogParser...)● Alcune informazioni vengono memorizzate com UID ma visualizzate “tradotte”
Event Types (security):● Error● Warning● Information● Success Audit● Failure Audit
Event Category (security):● System Events● Audit Logs Cleared● Successful User Logons● Logon Failures● Successful User Logoffs● Object Access● Audit Policy Changes● User Account Changes● Successful User Account Validation● Failed User Account Validation● ...
Event ID: identificativo preciso della tipologia di evento/azione tracciato.
Windows Event Logs (3)
Aspetti di sicurezza in azienda: gestione dei log aziendali
Configurazione● Group Policy Management Console (Dominio)● Security Policy (singolo computer)
Windows Event Logs (4)
Aspetti di sicurezza in azienda: gestione dei log aziendali
Esempio: logon interattivo
● Logon Type
● New Logon● Account Name● Account Domain● Logon ID
● Source Network Information● Computer Name● Source Network Address
● . . .
● . . . altri info di dettaglio
● Descrizione dettagliata dei campi del log!
Windows Event Logs (5)
Aspetti di sicurezza in azienda: gestione dei log aziendali
Esempio: logon interattivo parte seconda
Windows Event Logs (6)
Aspetti di sicurezza in azienda: gestione dei log aziendali
Centralizzazione dei Log di Windows, possibile?
Log Forwarding● Sistema nativo (OS più recenti) ● Non banale da implementare● Non molto utile
Domain Controller● Gli eventi che mi interessano sono già sul DC
Tool terze parti● Inoltro via Syslog● Integrazione con tool di LM proprietario
Centralizzare i Log
Aspetti di sicurezza in azienda: gestione dei log aziendali
Perché?
● Facilità di consultazione● Facilità di gestione (verifica presenza, contenuto, cancellazione)● Analisi/Statistiche● Analisi/Correlazione● Sicurezza
Come?● Sistemi nativi (Syslog, Event Forwarding)● Protocolli standard (Syslog, FTP)● Sistemi OSS (Rsyslog, ...)● Sistemi propietari (Splunk, Snare, Syslog-ng, ...)
Centralizzare i Log (2)
Aspetti di sicurezza in azienda: gestione dei log aziendali
Sistema di collezionamento dei Log● Homemade● Open Source● Commerciale/Propietario
Supporta le mie sorgenti (windows, opsec, ftp, snmp, …)
Destinazione dei log (file, DB SQL, NoSQL, ...)
Gestione● Agent o Agent-less● Centralizzata o periferica● Servizio/Cloud
Security● Autenticazione/Integrità/Confidenza● Inalterabilità (Cifratura e/o Firma digitale dei dati)● Accessi ai log con differenti livelli di privilegi (e magari strong-authentication)● Compliant a normative/regolamenti
Analisi, allarmistica e reportistica
Centralizzare i Log (3)
Aspetti di sicurezza in azienda: gestione dei log aziendali
Sistemi Open Source e Commerciali
Attenzione! Programma con inserimento di prodotti commerciali! :-)
Laboratorio
Aspetti di sicurezza in azienda: gestione dei log aziendali
concentratore RSyslog
Pausa!
Aspetti di sicurezza in azienda: gestione dei log aziendali
Analisi dei Log
Aspetti di sicurezza in azienda: gestione dei log aziendali
Cosa significa?Principalmente estrarre le informazioni importanti (a seconda dello scopo) dalle righe di log.Magari in maniera automatizzata.
Perché?● Ricerca● Normalizzazione● Statistiche e Report● Correlazione● Allarmistica
Come si ottiente?● Parsing● Data Reduction● Tabelle e grafici● Istruzioni date al sistema
Analisi dei Log
Aspetti di sicurezza in azienda: gestione dei log aziendali
Gli strumenti “base”● Grep● Awk● LogParser / PowerShell
Ottimi per iniziare ma...
Quando ho log complessi?Quando ho importanti volumi di dati?Quando mi servono dati precisi e “subito”?
Analisi dei Log
Aspetti di sicurezza in azienda: gestione dei log aziendali
<189>46: FW_UD_ser01: 000046: Sep 21 2011 11:12:58.023 CEST: %SEC_LOGIN-5-LOGIN_SUCCESS: Login Success [user: net_adm016] [Source: 10.22.43.133] [localport: 23] at 11:12:58 CEST Wed Sep 21 2011
<180>Dec 15 11:55:42 date=2010-12-15, time=11:51:12,devname=FGXXX,device_id=FGXX,log_id=0317013312,type=webfilter,subtype=ftgd_allow,pri=notice,fwver=040008,vd="ProxyWebFlt",policyid=2,serial=251933596,user="BCAPOS",group="CN=Internet_Profilo4,OU=Users Non_Nominali,DC=zonebs,DC=locale",src=10.0.1.101,sport=1622,src_port=1622,src_int="Proxy_prefilter",dst=10.31.21.206,dport=80,dst_port=80,dst_int="Proxy_postfilte",service="http",hostname="",profile="IPS",status="passthrough",req_type="referral",url=”...
11/6/2013 00:36:33 Microsoft-Windows-Security-Auditing 4624 Audit Success FSERV2 12544 An account was successfully logged on. Subject:Security ID: S-1-5-18 Account Name: MILANO$ Account Domain: EMEA Logon ID: 0x3e7 Logon Type: 5 New Logon: Security ID: S-1-5-21-3444241613-2674865918-2390548536-1000 Account Name: Service02 Account Domain: MILAN2 Logon ID: 0x96f35023 Logon GUID: {00000000-0000-0000-0000-000000000000} Process Information: Process ID: 0x1348 Process Name:
C:\Windows\Temp\AV\Update.exe Network Information: Workstation Name: ….
Dati complessi: quasi tutti i log sono complessi!
Aspetti di sicurezza in azienda: gestione dei log aziendali
Volumi di dati: non sottovalutare i volumi di Log!
Esempio:
1000 messaggi /secondo - media dimensione messaggio: 300bytes= 0,28MB al secondo
X 3600 secondi = ~1GB all'ora
X 24 ore = ~24GB al giorno
X 365 giorni = ~8TB all'anno
X 3 anni = ~24TB in 3 anni
… e se moltiplico per 100?
Esempio: http://devops.com/2012/11/11/big-data-problems-in-monitoring-at-ebay/
Analisi dei Log
Aspetti di sicurezza in azienda: gestione dei log aziendali
Analisi dei Log
SIAMO NEL BIG-DATA!
… quando non basta un foglio excel
Aspetti di sicurezza in azienda: gestione dei log aziendali
Analisi dei Log
Cosa e quando mi serve avere l'analisi dei dati?● Semplice ricerca nei dati● Report schedulati (giornalieri, settimanali, mensili)● Analisi Real-Time● Correlazione in Real-Time
● Allarmistica● Azioni basate su regole
Forse ci stiamo spostando dal Log Management semplice verso qualcos'altro...
Aspetti di sicurezza in azienda: gestione dei log aziendali
Analisi dei Log
Analisi statisticaEsempi di report:● Accessi eseguiti/falliti al giorno/settimana● Operazioni di cambio configurazione● Network Activity● Accesso alle risorse● Malware Activity Reports
Ed altri...● Accessi fuori orario di lavoro● Accessi alla VPN● Accesso con account priviliegiati● Multipli login falliti seguiti da un accesso eseguito con successo per lo stesso
account● …
Aspetti di sicurezza in azienda: gestione dei log aziendali
Analisi dei Log
Alcuni Prodotti
AWStats Apache Log Viewer
Aspetti di sicurezza in azienda: gestione dei log aziendali
SIEMSIEM
Security Information and Event Management
Aggregazione, Correlazione, Allarmistica, Reportistica, Dashboarde feature avanzate di sicurezza
Importante: il sistema deve conoscere bene il formato dei log, i sistemi in uso, la topologia...
Aspetti di sicurezza in azienda: gestione dei log aziendali
Correlazione
Solo due parole...
● Più semplice su eventi normalizzati
● Livello base:● Rule-based su alcuni campi dei dati● Es: If sees event E1.type = portscan
then do Something
● Livello avanzato:● Verifica se viene eseguito OS fingeprint● Esegue vulnerability scan e verifica che l'IDS lo rilevi● Anti-Port Correlation● Geographic Location Correlation
Aspetti di sicurezza in azienda: gestione dei log aziendali
Prodotti di Log Analisi
SEC
DeepSight
Aspetti di sicurezza in azienda: gestione dei log aziendali
NormativeSe non è obbligatorio non lo faccio
Norme tecniche e cogenti● ISO27001 (Information Security Management System)● PCI-DSS● HIPAA (Health Insurance Portability and Accountability Act)● FISMA● NIST 800-53 NIST 800-92
Tutte impongono la creazione di policy di Logging (entrando +/- nello specifico):● Generazione dei Log● Analisi
● particolare attenzione ad accessi amministrativi; ● cambi di conf● accesso ai dati● availability● minacce
● Storage (retention)● Monitoraggio● Azioni da compiere in casi particolari
Aspetti di sicurezza in azienda: gestione dei log aziendali
Normative (2)
PCI DSSPayment Card Industry Data Security Standard
Key Requirement 10 – molto specifico su cosa deve essere loggato:● Accessi individuali ai dati● Tutte le azioni eseguite con privilegi amministrativi● Accesso a tutti i tracciati di audit● Accessi falliti● Utilizzo di meccanismi autenticazione e identificazione● Log del sistema di audit● Creazione ed eliminazione di oggetti a livello di sistema
● Campi da loggare (id utente, tipo evento, timestamp, success/failure, origine dell'evento, sistema o componente)
● Sincronizzazione con NTP● Limite accesso ai tracciati di log● Immodificabilità del log raccolti (integrity, monitoring)● Policy di review dei log (anche giornaliere!)
Aspetti di sicurezza in azienda: gestione dei log aziendali
Normative (3)
E IN ITALIA?Normativa Amministratori di Sistema
Il provvedimento del Garante Privacy del 27/11/2008: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema
● Individuazione, nomina scritta di un elenco aggiornato degli amministratori di sistema. ● Obbligo di acquisizione e conservazione dei log di accesso degli AdS● Retention di almeno 6 mesi (completezza, inalterabilità e integrità)● Verifica almeno annuale dell’operato degli AdS mediante analisi dei log
Chi si deve adeguare?Titolari del trattamento che trattano dati sensibili in formato elettronico riferiti a:● clienti o ad altri soggetti diversi dai propri dipendenti● trattano dati sullo stato di salute ● altri trattamenti che presentano rischi specifici fuori dall’ambito amministrativo-contabile.
Aspetti di sicurezza in azienda: gestione dei log aziendali
Normative (4)
E IN ITALIA?
Sicurezza dei dati di traffico telefonico e telematico – 17/01/2008Misure e accorgimenti a garanzia degli interessati in tema di conservazione di dati di traffico telefonico e telematico per finalità di accertamento e repressione di reati
Soggetti: gestori reti di fonia e dati al pubblico (ISP)● Conservazione separata (storage)● Cancellazione dei dati (anche dai backup!)
● Massimo 6 mesi per fini fatturazione● Massimo 24 mesi per accertamento e soppressione dei reati
● Designazione precisa degli incaricati all'accesso ai dati di traffico● Accesso tramite strong-authentication● Audit log● Audit interno–Rapporti periodici (demandato a personale diverso)● Cifratura e protezione dei dati● Verifiche annuali
Aspetti di sicurezza in azienda: gestione dei log aziendali
Log per gli sviluppatoriSe fate bene il vostro lavoro, il sistema prima o poi andrà in produzione...
● Chiedersi cosa deve essere loggato (5W + How)● Utilizzare un timestamp preciso● Utilizzare facility/severity● Utilizzare un file di conf per il loggin● Utilizzare API e sistemi nativi del OS, se possibile (Event Viewer, Logger)● Chiedersi dove registrare i log (file, DB)● Non dimenticarsi della rotation (logrotate)● Utilizzare un formato di log fisso per i log da analizzare (CSV, key-value,...)● Scrivere sempre chiare le informazioni● Attenzione alle implicazioni sulla sicurezza (non scriviamo password nei log)● Considerazioni sulle performace
Aspetti di sicurezza in azienda: gestione dei log aziendali
Progettazione sistema LMRicapitoliamo...
● Obbiettivi● Audit interno● Monitoraggio● Security● Compliance
● Cosa monitorare● Non di meno / non di più (filtro a monte, se possibile)● OS, Applicativi, Device
● Come collezionare● Modalità trasferimento● Collettori● Autenticazione
Aspetti di sicurezza in azienda: gestione dei log aziendali
Progettazione sistema LM (2)● Dove memorizzare
● Raw file● Database
● Quanto a lungo● Retention● Storage
● Disponibilità dei dati e analisi● Analisi e reportistica a intervalli di tempo● Analisi RT● Ricerche contenuto● …
Aspetti di sicurezza in azienda: gestione dei log aziendali
Log: trend attuali e futuriSforzo per redigere ed adottare standard su:● Linee guide, Policy e progettazione LM● Formato dei log● Modalità di collezionamento sicure
Alcuni sviluppi...
● Rsyslog vs Journald● Progetto Lumberjack
● MITRE CEE Common Event Expression● NIST 800-92
… e per il big data?
Aspetti di sicurezza in azienda: gestione dei log aziendali
Big Data
Hadoop● HDFS● Framework calcolo distribuito● Processi batch (basato su algoritmo MapReduce)● Error Handling● Ecosistema di applicazione
Aspetti di sicurezza in azienda: gestione dei log aziendali
Fine
Grazie per l'attenzione!
Domande?