Copyright © 2014 Splunk Inc. Roma – 26 Marzo 2015 Splunk @ HBG Gaming
Copyright © 2014 Splunk Inc.
Roma – 26 Marzo 2015
Splunk @ HBG Gaming
2
Splunk @ HBG Gaming
Privacy & Security Event Search
Marcello David, Sicurezza e
Compliance IT
Roma, 26 Marzo 2015
3
Agenda
Profilo aziendale
Ruolo ed esperienze
Esigenze
Perché Splunk
Splunk @ HBG Gaming
Dashboard
Sviluppi futuri
Lessons Learned
4
Profilo aziendale HBG Gaming è uno dei più grandi operatori italiani presenti nel panorama del gioco sicuro e legale regolato dall’Agenzia delle Dogane e dei Monopoli; con 660 dipendenti ed oltre 14 anni di esperienza nel settore, offre una gamma completa di prodotti di gioco quali New Slot, Videolottery, Bingo, Scommesse e Giochi Online.
35.000 NEWSLOT GESTITE
11.000 ESERCIZI COMMERCIALI
4.798 VIDEOLOTTERY
470 SALE DA GIOCO
42 NEGOZI DI GIOCO
1 PIATTAFORMA ONLINE
16 SALE BINGO
6.000 POSTI A SEDERE
1 PIATTAFORMA ONLINE
GESTIONE REMOTA
ASSISTENZA DEDICATA
GESTIONE REMOTA
ASSISTENZA DEDICATA
FOOD
EVENTI
CONCORSI
EVENTI SPORTIVI
IPPICA
VIRTUAL BETTING
POKER
CASINO’
BINGO
CARD GAMES
ISO-9001 SERVIZI
5
Ruolo ed esperienze
Assicurare la Compliance dei sistemi IT agli obblighi normativi nazionali (Codice Privacy, D.Lgs. 231/2001, AAMS … )
Definire i requisiti e le policy di sicurezza a mitigazione dei rischi residui
Splunk> CSI: Logfiles.
Tag line preferita Esperienze
Progettare ed esercire le piattaforme centralizzate di sicurezza, trasversali per i servizi di business
Verificare l’efficacia e l’efficienza dei controlli di sicurezza a protezione delle informazioni
6
Esigenze Collezionamento centralizzato e correlazione di eventi di sicurezza generati da fonti dati eterogenee e dislocate in modo distribuito su base geografica
Ottimizzazione delle misure IT a supporto degli obblighi* sugli Amministratori di Sistema:
– Registrazione degli accessi logici (sia ai sistemi che alle postazioni di lavoro)
– Record aventi caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità
– Conservazione per un periodo non inferiore a sei mesi
– Verifica dell'operato degli amministratori di sistema con cadenza almeno annuale
Efficacia ed efficienza nell’analisi delle informazioni collezionate, anche per periodi temporali di lungo termine
Individuazione proattiva degli eventi con potenziale impatto in ambito di sicurezza e generazione dei relativi allarmi
* Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema (G.U. n. 300 del 24/12/08 e succ. modifiche)
7
Perché Splunk Le esigenze precedentemente illustrate sono in genere soddisfatte per mezzo di soluzioni SIEM (Security Incident Event Management), di seguito alcuni esempi high level in merito alle valutazioni effettuate in fase di selezione del prodotto:
Collezionamento e correlazione di eventi
Registrazione a norma degli accessi
logici sui sistemi
Efficacia ed efficienza nell’analisi delle
informazioni
Customizzazione (allarmi, cruscotti di
monitoraggio, …)
Automatico sulle fonti dati supportate, viceversa
manuale e complesso
Inalterabilità e integrità assicurate tramite
cifratura ed hashing
Flessibilità legata alle logiche interne, tempi di
ricerca standard
Richiede pieno know-how sul prodotto, a volte
anche di programmazione
Indicizzazione automatica dei dati,
correlazione semplice
Inalterabilità e integrità assicurate tramite
cifratura ed hashing
Elevata flessibilità di ricerca delle informazioni,
tempi di ricerca rapidi
Rapida e graduale grazie a linguaggio user-friendly
SIEM Tradizionale
Last but not least, il licensing di Splunk basato sul volume di dati/gg consente di limitare i rischi di un’errata progettazione, più complessi da gestire nel caso di logiche basate su eventi/secondo.
8
Splunk Enterprise 6.1 @ HBG Gaming
Indexer Indexer + Search Head Indexer + Backup Search Head
Antivirus Web Server
Application Application Application
Database Database
DHCP DHCP DHCP Active Directory Active Directory Active Directory
File Server
Wi-Fi VPN
Windows Windows Windows Linux Linux Linux
Firewall Firewall Firewall
Syslog Syslog Syslog
A B C
Log F. Metrics Log F. Metrics Log F. Metrics
9
Dashboard “Accessi Amministratori” Consente di monitorare gli accessi logici effettuati dagli Amministratori di Sistema; è stata interamente creata da zero al fine di presentare le informazioni in modo chiaro e completo.
• Funzionalità di filtraggio per:
– Tipologia di evento (logon, logoff,
logon failed, logoff pending)
– Tipologia di accesso (remoto,
locale, cartella di rete, ..)
– Intervallo temporale
– Host di interesse
– Tipologia di destinazione
(Windows, Linux, Database, Rete,
Workstation, Applicazione,
Sicurezza)
– Sito geografico
– Amministratore di Sistema
1
0
Dashboard “Data Source” Consente di monitorare i sistemi che hanno generato variazioni significative rispetto alla media temporale degli eventi e/o che hanno interrotto l’invio di log verso gli indexer.
• Funzionalità:
– Filtraggio per sito geografico
– Filtraggio su base temporale
– Identificazione degli host
– Identificazione dei data source
che hanno causato la varianza
nel periodo di riferimento
– Identificazione dell’ultimo
evento di log ricevuto
1
1
Dashboard “Application Log” Consente di monitorare il volume di accessi giornalieri sui portali aziendali, rilevando eventuali attacchi brute-force sulle password e/o potenziali furti d’identità.
• Funzionalità:
– Filtraggio su base
temporale, geografica ed
applicativa
– Trend degli eventi di logon
riusciti/falliti
– Allarmistica al
superamento della soglia
sul numero di tentativi errati
di accesso
– Individuazione degli
account la cui
geolocalizzazione vari
sensibilmente nell’arco di
1h
1
2
Dashboard “VPN” Consente di monitorare gli accessi effettuati da remoto alla rete aziendale e di produrre una reportistica pro verifica di eventuali accessi anomali (es. accessi notturni non pianificati)
• Funzionalità:
– Filtraggio per tipologia di evento
(logon, logoff, timeout di sessione,
timeout per inattività)
– Filtraggio su base temporale ed
utente
– Rilevamento numerosità di
eventi generati per singolo utente
– Dettaglio accessi effettuati da
remoto (timestamp, utente, IP di
provenienza, tipologia di
dispositivo)
1
3
Dashboard “Firewall” Consente di monitorare l’andamento dei flussi sui firewall, individuando gli IP che insistono maggiormente sugli apparati e la loro geolocalizzazione.
• Funzionalità:
– Monitoraggio real-time dei flussi di
frontiera inbound ed outbound
per sito geografico
– Individuazione della Top 10 IP
generatori di traffico sui firewall
– Geolocalizzazione grafica degli
IP al fine di individuare
rapidamente eventuali tentativi di
connessione anomali in relazione
al traffico atteso di business
14
Sviluppi futuri
• Verticalizzazione del monitoraggio effettuato per singolo applicativo, al fine di rilevare informazioni di sicurezza specifiche in funzione del contesto di business
• Estensione delle regole di correlazione sui dati provenienti da fonti eterogenee, al fine di attuare un sistema di allarmistica intelligente e proattivo in ottica di sicurezza IT
• Creazione di interfacce dedicate in ottica di Incident Management, che a partire dagli allarmi di sicurezza generati consentano di tracciare l’evento e di effettuarne l’analisi e la risoluzione
15
Lessons Learned
Documentare sempre i razionali di ricerca individuati per il monitoraggio di un evento, a distanza di tempo consentirà di effettuarne la manutenzione in modo rapido
Il concatenamento di più ricerche semplici in luogo ad una singola ricerca complessa consente una maggiore flessibilità qualora occorra apportare lievi modifiche in tempi brevi
Oltre a collezionare log dai sistemi, Splunk genera a sua volta log contenenti indicatori sul suo stato di salute: effettuarne il monitoraggio per prevenire imprevisti
Porre attenzione alla corretta configurazione delle transizioni hot/warm/cold, la velocità di ricerca e l’uso dello spazio disco miglioreranno sensibilmente
GRAZIE