SlideShare a Scribd company logo

[Se T 05 0044] T I Prs Secure Log Appliance [2

Sandro Fontana
Sandro Fontana

non solo i log sono importanti ma devono dimostrare la loro autenticità ed integrità nel tempo

Technology
1 of 26
Download to read offline
SecureLog Appliance™ ICT security awareness programme Sandro Fontana, CISSP, CISA, CISM, L.A. BS7799 CTO Secure Edge sfontana@secure-edge.comSECURE EDGE your safety net
2/25 di cosa si parla di quanto i log siano necessari per implementare ed aumentare la sicurezza ed affidabilità dei vostri sistemi. di come implementare una infrastruttura che, basandosi su tecniche crittografiche, permetta la loro corretta e certificata acquisizione e conservazione.
3/25 perchè è importante La mancanza di meccanismi di raccolta dati indebolisce o annulla la capacità di scoprire comportamenti sospetti e tentativi di intrusione; Inoltre rende impossibile determinare se queste aggressioni hanno avuto successo o meno; L’errata configurazione e gestione sicura dei dati di log, metterà questi ultimi a rischio di compromissione, rendendo i successivi esami ed analisi più difficili, se non impossibili;
4/25 Log importance /1 Avere un sistema sicuro presuppone la generazione di dati di log utili, la loro acquisizione e conservazione centralizzata la garanzia di avere i log disponibili, completi ed integri (*) (*) e di effettuarne una corretta e tempestiva analisi
5/25 Log importance /2 L’esistenza di un log sicuro, permette: • di effettuare una estensiva analisi di guasti ed errori del sistema e delle applicazioni presenti su di esso • di evidenziare i segni di anomalie o di abuso del sistema • di supportare le fasi successive ad un incidente • di fornire dati critici in caso di computer forensic analysis The FBI rate 6th highest priority on their list of top 20 vulnerabilities: "Non-existent or Incomplete logging"
6/25 Norme e standards
7/25 Common Criteria Class FAU: Security Audit • FAU_ARP: Security audit automatic response • FAU_GEN: Security audit data generation • FAU_SAA: Security audit analysis • FAU_SAR: Security audit review • FAU_SEL: Security audit event selection • FAU_STG: Security audit event storage (Security functional requirements)
8/25 Information Security Policies (by Charles Cresson Wood - May 2005) 27 policies che descrivono: • cosa deve e non deve essere registrato nei log • la gestione dei log • come assicurare ai log integrità e protezione • le norme di accesso ed uso • requirements per l’infrastruttura IT di supporto
9/25 ISO/IEC 17799:2005 • 10.1.1 Documented operating procedures • 10.1.2 Change management • 10.10.2 Monitoring system use • 10.10.3 Protection of log information • 12.2.1 Input data validation • 12.2.2 Control of internal processing • 12.2.4 Output data validation • 12.4.1 Control of operational software • 12.4.3 Access control to program source code • 12.6.1 Control of technical vulnerabilities • 13.2.3 Collection of evidence Richiami alla gestione dei log • 15.1 Compliance with legal requirements
10/25 Decreto Pisanu si inserisce in un contesto normativo preesistente sulle intercettazioni • Decreto Legislativo 196 del 30/06/2003 (Codice in materia di protezione dei dati personali”) • Decreto Legge 144 del 24/07/2005 convertito nella Legge 155 del 31/07/2005 (Legge Pisanu) • Legge 547/93 sui crimini informatici • Capo IV (artt.266 e ss.) del Codice di procedura penale “Intercettazioni di conversazioni o comunicazioni” • Art.617 bis del Codice Penale “ Installazione di apparecchiature atte ad intercettare o ad impedire comunicazioni o conversazioni telegrafiche o telefoniche”
11/25 Norme antiterrorismo/1 Europa: Al lavoro il Consiglio dei Ministri Europei di Giustizia Ipotesi • periodo minimo per data retention: obbligo per operatori telecomunicazioni e Internet Provider: 12 mesi per dati telefonia mobile 6 mesi per dati traffico internet • NO contenuto comunicazioni ma identificazione interlocutori della conversazione, data e ora della stessa, mittente e destinatario e-mail; • Indicazioni su eventuali compensazioni per i costi sostenuti dagli operatori per la data retention
12/25 Norme antiterrorismo/2 Italia: •“Pacchetto Pisanu” (Decreto Legge 144 del 24/07/2005 convertito nella Legge 155 del 31/07/2005) Con esclusione dei contenuti delle comunicazioni, si stabilisce che i dati relativi al traffico telefonico e telematico non possano essere cancellati fino al 31 Dicembre 2007 (art.6) •Decreto del Ministero dell’Interno del 16/08/2005 (specificato dalla Circolare Ministero dell’Interno n° 557 del 2005) condiziona l’apertura degli Internet Point al rilascio di una licenza del Ministero stesso e impone agli Internet Point l’obbligo di identificazione “..dei soggetti che utilizzano postazioni pubbliche non vigilate..”
what ?
14/25 Crash, hardware failure, resource exhaustion, reboot/restart, patches, log-in/log-out, su, login/su failure, printer use/errors, mail/http transaction, security software exceptions, accounting, security related events, ... Policy Based Source • Operating Systems: Windows: 2003Server, XP, ... Unix: Linux, BSD, Solaris, AIX,... OS/390, GCOS, VMS, ... Appliance: Router & Switches, NAS, RAS • System Applications: Daemons process: TCPWrappers, http, FTP, Telnet, SSH, SMTP, POP3, DNS, LDAP, DHCP, Radius, Kerberos, ... Application process: RDBMS, firewall (FW1), IDS, system&network management, cron, ... • User Applications: SAP, WebMail, BackUp, ...
15/25 Management • Controllo accessi: l’accesso ai dati è riservato; l’accesso ai dati deve essere tracciato; • Prevenzione da Alterazioni Disattivazione Cancellazione • Log Rotation and Archive Process: Log generato senza soluzione di continuità; BackUp conservato in luogo sicuro Definizione di un retention period I log devono: • risiedere su un sistema fisicamente e logicamente protetto; • poter dimostrare la propria integrità
how ?
17/25 SecureLog Appliance un sistema centrale(1) dedicato alla raccolta dei log comprensivo di una suite di software tools open source garantisce l’esistenza di una copia dei log integra tramite firma digitale e forward integrity MAC agevola la generazione di log/msg dalle applicazioni agevola il backup e l’analisi real-time (1) Tipicamente un sistema Linux/OpenBSD (hardened) ad accesso controllato
18/25 Componenti sw Source • Unix / Linux Syslog-ng Stunnel SecurLog_Wrapper • Windows NT Syslog, Kiwi Stunnel SecurLog_Wrapper Receiver • SecureLogD • S-Tunnel
19/25 Architettura SecureLog Appliance Security Manager Log DB Forensic Analysis Anomaly detection ISO 27001 certified environment
20/25 SecurLog_Wrapper Chained message: il sistema sorgente inserisce in ogni messaggio un checksum sul quale ha effetto il checksum precedente; invia quindi il messaggio al SecureLog Appliance header time/source payload(n) cks(n+1) cks(n)cks(n-1) 31MAR2005 11:03:20 ----------- INFORMATION DISPLAY --------------------------- COMMAND ===> SCROLL ===> PAGE CURR WIN ===> 1 ALT WIN ===> W1 =SYSDUMP===========EYUPLX01=EYUPLX01=31MAR2005==11:03:20====CPSM==== 1 CMDDump CICS Dump Curr Max Total Dumps Shutdown --- Code---- System-- Option---- Dumps-- Dumps-- Dumps-- Suprsd- Option---- MT0001 SE-TEST1A YES 1 999 1 0 NO header time/source payload(n+1) cks(n)
21/25 memory only SecureLogD Secure connection: lo SLA accetta connessioni solo tramite mutua autenticazione forte (SSL, TSL) Log (msg) gathering: lo SLA accetta messaggi in qualsiasi formato Forward Integrity MAC: lo SLA imbusta ogni msg utilizzando un chained MAC creando in questo modo il record del log sicuro header time/source data (n) MAC(n) header time/source payload(n) cks(n) msg MAC(n-1) Ak(n-1)Ek(n-1) Ak(n)Ek(n) MAC(n-1)
22/25 memory only Forward Integrity MAC Digital Signature & Timestamp: ogni file di sessione di registrazione dei msg inizia e termina con uno speciale record “SLA Start”R0 TS pre TS now Epk(Ak0) MAC Ak(0)Ek(0) Rn MAC Ak(n)Ek(n) h DSign Esk( ) “SLA End” TS now R1 header time/source data (1) MAC(1)MAC(0) MAC(N-1) Ak(1)Ek(1) h random
23/25 Security Rotation & Archiving: almeno ogni giorno viene aperto un nuovo file di sessione; deve essere effettuato il backup del precedente file; il file viene quindi rimosso. Clock Syncronization: il clock dello SLA viene sincronizzato al bootstrap tramite fonte ufficiale(*) ; semplifica la correlazione degli eventi. (*) http://www.ien.it/tf/time/index.html
24/25 References/1 Information Security Policies Made Easy Version 10 Charles Cresson Wood Information Shild Inc. 2005 Cryptographic Support for Secure Logs on Untrusted Machines Bruce Schneier, John Kelsey Counterpane Systems Secure Audit Logs with Forward Integrity Message Authentication Code Iiang Tao, Liu Ji-qiang, Han Zhen 2004 7th International Conference on Signal Processing, Proceedings. ICSP '04 IEEE Publications The Importance of Logging and Traffic Monitoring for Information Security Seham Mohamed GadAllah SANS Institure 2004 Secure Audit Logs Server to support Computer Forensic in Criminal Investigations Liu Ji-qiang, Han Zhen, Lan Zengwei 2002 IEEE Region 10 Conference on Computers, Communications, Control and Power Engineering, Proceedings. TENCON ’02 IEEE Publications Building a Logging Infrastructure Abe Singer, Tina Bird Sage Publication http://www.sage.org/pubs/12_logging/ Building an Encrypted and Searchable Audit Log Brent R. Waters, Dirk Balfanz, Glenn Durfee, and D. K. Smetters Paolo Alto Research Center January 9, 2004
25/25 References/2 IRITALY (http://iritaly.org) Progetto nato in collaborazione con il Dipartimento di Tecnologie dell'Informazione dell'Università Statale di Milano, Polo Didattico e di Ricerca di Crema. Lo scopo principale è informare e sensibilizzare la comunità scientifica italiana, le aziende piccole e grandi, gli attori privati e pubblici sui temi dell'Incident Response [http://www.honeynet.it] SIKUREZZA.ORG (http:// Sikurezza.org) è un portale non commerciale finalizzato alla diffusione ed alla discussione di informazioni e tecnologie legate alla sicurezza informatica. Sikurezza.org gestisce numerose mailing list "security-related" in italiano. Ospita progetti, software ed e-zine "security-related" della "scena italiana".
SecureLog Appliance™ ICT security awareness Sandro Fontana, CISSP, CISA, CISM, L.A. BS7799 CTO Secure Edge sfontana@secure-edge.comSECURE EDGE your safety net

Recommended

Misure minime di sicurezza ICT
Misure minime di sicurezza ICTMisure minime di sicurezza ICT
Misure minime di sicurezza ICTMirko Labbri
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Par-Tec S.p.A.
 
Misure minime di sicurezza informatica per le PA
Misure minime di sicurezza informatica per le PAMisure minime di sicurezza informatica per le PA
Misure minime di sicurezza informatica per le PAAmmLibera AL
 
z/OS Pervasive Encryption
z/OS Pervasive Encryptionz/OS Pervasive Encryption
z/OS Pervasive EncryptionLuigi Perrone
 
Monitoraggio superficie di attacco con Sentinet3
Monitoraggio superficie di attacco con Sentinet3Monitoraggio superficie di attacco con Sentinet3
Monitoraggio superficie di attacco con Sentinet3Antonio Capobianco
 
Key management
Key managementKey management
Key managementLuigi Perrone
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
 
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019BL4CKSWAN Srl
 

Recommended

Misure minime di sicurezza ICT
Misure minime di sicurezza ICTMisure minime di sicurezza ICT
Misure minime di sicurezza ICTMirko Labbri
 
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...
Forum ICT Security 2015 - Identificare gli attacchi di nuova generazione medi...Par-Tec S.p.A.
 
Misure minime di sicurezza informatica per le PA
Misure minime di sicurezza informatica per le PAMisure minime di sicurezza informatica per le PA
Misure minime di sicurezza informatica per le PAAmmLibera AL
 
z/OS Pervasive Encryption
z/OS Pervasive Encryptionz/OS Pervasive Encryption
z/OS Pervasive EncryptionLuigi Perrone
 
Monitoraggio superficie di attacco con Sentinet3
Monitoraggio superficie di attacco con Sentinet3Monitoraggio superficie di attacco con Sentinet3
Monitoraggio superficie di attacco con Sentinet3Antonio Capobianco
 
Key management
Key managementKey management
Key managementLuigi Perrone
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
 
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019BL4CKSWAN Srl
 
EKMF solution overview
EKMF solution overviewEKMF solution overview
EKMF solution overviewLuigi Perrone
 
Project Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Project Management & Industrial Cyber Security (ICS) by Enzo M. TieghiProject Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Project Management & Industrial Cyber Security (ICS) by Enzo M. TieghiEnzo M. Tieghi
 
GDPR & Forensics Readiness -Italiano
GDPR & Forensics Readiness -ItalianoGDPR & Forensics Readiness -Italiano
GDPR & Forensics Readiness -ItalianoStudio Fiorenzi Security & Forensics
 
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
 
2017 racf 2.3 news
2017 racf 2.3 news2017 racf 2.3 news
2017 racf 2.3 newsLuigi Perrone
 
UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000Fabio Guasconi
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
La sicurezza informatica degli impianti industriali - Case study "STET"
La sicurezza informatica degli impianti industriali - Case study "STET"La sicurezza informatica degli impianti industriali - Case study "STET"
La sicurezza informatica degli impianti industriali - Case study "STET"Tiziano Sartori
 
2015 tis servi_tecno_endian-v4_emt2
2015 tis servi_tecno_endian-v4_emt22015 tis servi_tecno_endian-v4_emt2
2015 tis servi_tecno_endian-v4_emt2Enzo M. Tieghi
 
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)Data Driven Innovation
 
Paper E Sign
Paper E SignPaper E Sign
Paper E SignSandro Fontana
 
Managing Brands
Managing BrandsManaging Brands
Managing BrandsJean-Pierre Lacroix, R.G.D.
 
How to Make Email a Traffic Source
How to Make Email a Traffic SourceHow to Make Email a Traffic Source
How to Make Email a Traffic SourceJustin Premick
 
Lieldienas
LieldienasLieldienas
Lieldienasxlt
 
Vectors
VectorsVectors
VectorsRegis Komperda
 
How to Use Email to Create Loyal Fans Who Love You
How to Use Email to Create Loyal Fans Who Love YouHow to Use Email to Create Loyal Fans Who Love You
How to Use Email to Create Loyal Fans Who Love YouJustin Premick
 
Data is Power
Data is PowerData is Power
Data is PowerRaghavendran S
 
Iged s fontana-quando-la-firma-digitale-incontra-la-carta
Iged s fontana-quando-la-firma-digitale-incontra-la-cartaIged s fontana-quando-la-firma-digitale-incontra-la-carta
Iged s fontana-quando-la-firma-digitale-incontra-la-cartaSandro Fontana
 
It's Christmas
It's ChristmasIt's Christmas
It's Christmasanabraga
 
How to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love YouHow to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love YouJustin Premick
 
Cinco cosas
Cinco cosasCinco cosas
Cinco cosasBerli Onle
 
Socialanatverk - oktober 09
Socialanatverk - oktober 09Socialanatverk - oktober 09
Socialanatverk - oktober 09tomhard
 

More Related Content

What's hot

EKMF solution overview
EKMF solution overviewEKMF solution overview
EKMF solution overviewLuigi Perrone
 
Project Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Project Management & Industrial Cyber Security (ICS) by Enzo M. TieghiProject Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Project Management & Industrial Cyber Security (ICS) by Enzo M. TieghiEnzo M. Tieghi
 
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
 
UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000Fabio Guasconi
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
La sicurezza informatica degli impianti industriali - Case study "STET"
La sicurezza informatica degli impianti industriali - Case study "STET"La sicurezza informatica degli impianti industriali - Case study "STET"
La sicurezza informatica degli impianti industriali - Case study "STET"Tiziano Sartori
 
2015 tis servi_tecno_endian-v4_emt2
2015 tis servi_tecno_endian-v4_emt22015 tis servi_tecno_endian-v4_emt2
2015 tis servi_tecno_endian-v4_emt2Enzo M. Tieghi
 
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)Data Driven Innovation
 

What's hot (10)

EKMF solution overview
EKMF solution overviewEKMF solution overview
EKMF solution overview
 
Project Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Project Management & Industrial Cyber Security (ICS) by Enzo M. TieghiProject Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Project Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
 
GDPR & Forensics Readiness -Italiano
GDPR & Forensics Readiness -ItalianoGDPR & Forensics Readiness -Italiano
GDPR & Forensics Readiness -Italiano
 
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
 
2017 racf 2.3 news
2017 racf 2.3 news2017 racf 2.3 news
2017 racf 2.3 news
 
UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
 
La sicurezza informatica degli impianti industriali - Case study "STET"
La sicurezza informatica degli impianti industriali - Case study "STET"La sicurezza informatica degli impianti industriali - Case study "STET"
La sicurezza informatica degli impianti industriali - Case study "STET"
 
2015 tis servi_tecno_endian-v4_emt2
2015 tis servi_tecno_endian-v4_emt22015 tis servi_tecno_endian-v4_emt2
2015 tis servi_tecno_endian-v4_emt2
 
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
 

Viewers also liked

How to Make Email a Traffic Source
How to Make Email a Traffic SourceHow to Make Email a Traffic Source
How to Make Email a Traffic SourceJustin Premick
 
Lieldienas
LieldienasLieldienas
Lieldienasxlt
 
How to Use Email to Create Loyal Fans Who Love You
How to Use Email to Create Loyal Fans Who Love YouHow to Use Email to Create Loyal Fans Who Love You
How to Use Email to Create Loyal Fans Who Love YouJustin Premick
 
Iged s fontana-quando-la-firma-digitale-incontra-la-carta
Iged s fontana-quando-la-firma-digitale-incontra-la-cartaIged s fontana-quando-la-firma-digitale-incontra-la-carta
Iged s fontana-quando-la-firma-digitale-incontra-la-cartaSandro Fontana
 
It's Christmas
It's ChristmasIt's Christmas
It's Christmasanabraga
 
How to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love YouHow to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love YouJustin Premick
 
Socialanatverk - oktober 09
Socialanatverk - oktober 09Socialanatverk - oktober 09
Socialanatverk - oktober 09tomhard
 
Email Deliverability: 10 Myths and a Reality Check
Email Deliverability: 10 Myths and a Reality CheckEmail Deliverability: 10 Myths and a Reality Check
Email Deliverability: 10 Myths and a Reality CheckJustin Premick
 
Mercedes W124
Mercedes W124Mercedes W124
Mercedes W124filaplon
 
Country report
Country reportCountry report
Country reportjschoen
 
Socialanätverk
SocialanätverkSocialanätverk
Socialanätverktomhard
 
la firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsarila firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsariSandro Fontana
 
Current Resistance & Power
Current Resistance & PowerCurrent Resistance & Power
Current Resistance & PowerRegis Komperda
 

Viewers also liked (20)

Paper E Sign
Paper E SignPaper E Sign
Paper E Sign
 
Managing Brands
Managing BrandsManaging Brands
Managing Brands
 
How to Make Email a Traffic Source
How to Make Email a Traffic SourceHow to Make Email a Traffic Source
How to Make Email a Traffic Source
 
Lieldienas
LieldienasLieldienas
Lieldienas
 
Vectors
VectorsVectors
Vectors
 
How to Use Email to Create Loyal Fans Who Love You
How to Use Email to Create Loyal Fans Who Love YouHow to Use Email to Create Loyal Fans Who Love You
How to Use Email to Create Loyal Fans Who Love You
 
Data is Power
Data is PowerData is Power
Data is Power
 
Iged s fontana-quando-la-firma-digitale-incontra-la-carta
Iged s fontana-quando-la-firma-digitale-incontra-la-cartaIged s fontana-quando-la-firma-digitale-incontra-la-carta
Iged s fontana-quando-la-firma-digitale-incontra-la-carta
 
It's Christmas
It's ChristmasIt's Christmas
It's Christmas
 
How to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love YouHow to Create Killer Emails that Make Readers Love You
How to Create Killer Emails that Make Readers Love You
 
Cinco cosas
Cinco cosasCinco cosas
Cinco cosas
 
Socialanatverk - oktober 09
Socialanatverk - oktober 09Socialanatverk - oktober 09
Socialanatverk - oktober 09
 
Email Deliverability: 10 Myths and a Reality Check
Email Deliverability: 10 Myths and a Reality CheckEmail Deliverability: 10 Myths and a Reality Check
Email Deliverability: 10 Myths and a Reality Check
 
ghgh
ghghghgh
ghgh
 
Mercedes W124
Mercedes W124Mercedes W124
Mercedes W124
 
Country report
Country reportCountry report
Country report
 
Socialanätverk
SocialanätverkSocialanätverk
Socialanätverk
 
Trusted Experience
Trusted ExperienceTrusted Experience
Trusted Experience
 
la firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsarila firma grafometrica ed i (nuovi) falsari
la firma grafometrica ed i (nuovi) falsari
 
Current Resistance & Power
Current Resistance & PowerCurrent Resistance & Power
Current Resistance & Power
 

Similar to [Se T 05 0044] T I Prs Secure Log Appliance [2

Shell Control Box - Il Gusto della Sicurezza
Shell Control Box - Il Gusto della SicurezzaShell Control Box - Il Gusto della Sicurezza
Shell Control Box - Il Gusto della SicurezzaBabel
 
Splunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationSplunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationGeorg Knon
 
SplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunk
 
Tracciamento delle attività di amministrazione mediante i BalaBit Shell Contr...
Tracciamento delle attività di amministrazione mediante i BalaBit Shell Contr...Tracciamento delle attività di amministrazione mediante i BalaBit Shell Contr...
Tracciamento delle attività di amministrazione mediante i BalaBit Shell Contr...Babel
 
XSecure di Xech
XSecure di XechXSecure di Xech
XSecure di XechXech
 
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSLOpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSLVincenzo Calabrò
 
La cybersecurity nel telecontrollo delle reti idriche
La cybersecurity nel telecontrollo delle reti idricheLa cybersecurity nel telecontrollo delle reti idriche
La cybersecurity nel telecontrollo delle reti idricheServizi a rete
 
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA SecurityEnzo M. Tieghi
 
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...Enzo M. Tieghi
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Studio Fiorenzi Security & Forensics
 
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeIndustria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeCONFINDUSTRIA TOSCANA NORD
 
Smart grid 4 novembre
Smart grid 4 novembreSmart grid 4 novembre
Smart grid 4 novembrecanaleenergia
 
04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianzaIBM Italia Web Team
 
05 Paolo Lessio, Processo civile telematico
05 Paolo Lessio, Processo civile telematico05 Paolo Lessio, Processo civile telematico
05 Paolo Lessio, Processo civile telematicopaolo.lessio
 
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)Sardegna Ricerche
 
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017Agenda digitale Umbria
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniAdalberto Casalboni
 
Conservazione Sostitutiva Legal Doclite
Conservazione Sostitutiva Legal DocliteConservazione Sostitutiva Legal Doclite
Conservazione Sostitutiva Legal DocliteInfoCert S.p.A.
 
Gruppo Sintesi Tms Commerciale
Gruppo Sintesi Tms CommercialeGruppo Sintesi Tms Commerciale
Gruppo Sintesi Tms Commercialemarcotucci
 

Similar to [Se T 05 0044] T I Prs Secure Log Appliance [2 (20)

Shell Control Box - Il Gusto della Sicurezza
Shell Control Box - Il Gusto della SicurezzaShell Control Box - Il Gusto della Sicurezza
Shell Control Box - Il Gusto della Sicurezza
 
Splunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationSplunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentation
 
SplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG Gaming
 
Tracciamento delle attività di amministrazione mediante i BalaBit Shell Contr...
Tracciamento delle attività di amministrazione mediante i BalaBit Shell Contr...Tracciamento delle attività di amministrazione mediante i BalaBit Shell Contr...
Tracciamento delle attività di amministrazione mediante i BalaBit Shell Contr...
 
XSecure di Xech
XSecure di XechXSecure di Xech
XSecure di Xech
 
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSLOpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
 
La cybersecurity nel telecontrollo delle reti idriche
La cybersecurity nel telecontrollo delle reti idricheLa cybersecurity nel telecontrollo delle reti idriche
La cybersecurity nel telecontrollo delle reti idriche
 
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
 
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
Ma bisogna proprio proteggere anche le reti di fabbrica ed IIoT? Tieghi CLUSI...
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
 
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industrialeIndustria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale
 
Smart grid 4 novembre
Smart grid 4 novembreSmart grid 4 novembre
Smart grid 4 novembre
 
04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza
 
05 Paolo Lessio, Processo civile telematico
05 Paolo Lessio, Processo civile telematico05 Paolo Lessio, Processo civile telematico
05 Paolo Lessio, Processo civile telematico
 
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
 
Image Archiving - TEF
Image Archiving - TEFImage Archiving - TEF
Image Archiving - TEF
 
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
Infrastrutture fisiche e sicurezza ICT - Regione Umbria AgID del 6/9/2017
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
 
Conservazione Sostitutiva Legal Doclite
Conservazione Sostitutiva Legal DocliteConservazione Sostitutiva Legal Doclite
Conservazione Sostitutiva Legal Doclite
 
Gruppo Sintesi Tms Commerciale
Gruppo Sintesi Tms CommercialeGruppo Sintesi Tms Commerciale
Gruppo Sintesi Tms Commerciale
 

More from Sandro Fontana

Blockchain! - Luglio 2018 Convegno SGI a Bevagna
Blockchain! - Luglio 2018 Convegno SGI a BevagnaBlockchain! - Luglio 2018 Convegno SGI a Bevagna
Blockchain! - Luglio 2018 Convegno SGI a BevagnaSandro Fontana
 
Sgi breve storia della crittografia ep II
Sgi breve storia della crittografia ep IISgi breve storia della crittografia ep II
Sgi breve storia della crittografia ep IISandro Fontana
 
SGI sandro fontana breve storia della crittografia Ep I
SGI sandro fontana breve storia della crittografia Ep ISGI sandro fontana breve storia della crittografia Ep I
SGI sandro fontana breve storia della crittografia Ep ISandro Fontana
 
Wiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.PdfWiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.PdfSandro Fontana
 
Paper E Sign La Firma Digitale Su Carta Seminario Epa
Paper E Sign La Firma Digitale Su Carta Seminario EpaPaper E Sign La Firma Digitale Su Carta Seminario Epa
Paper E Sign La Firma Digitale Su Carta Seminario EpaSandro Fontana
 
Paper E Sign Aica Xxxix Annual Conference
Paper E Sign Aica Xxxix Annual ConferencePaper E Sign Aica Xxxix Annual Conference
Paper E Sign Aica Xxxix Annual ConferenceSandro Fontana
 
Minaccie Vere Vulnerabilita Evitabili
Minaccie Vere Vulnerabilita EvitabiliMinaccie Vere Vulnerabilita Evitabili
Minaccie Vere Vulnerabilita EvitabiliSandro Fontana
 
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...Sandro Fontana
 
Che Bel Progresso Abbiamo Fatto! Iged
Che Bel Progresso Abbiamo Fatto! IgedChe Bel Progresso Abbiamo Fatto! Iged
Che Bel Progresso Abbiamo Fatto! IgedSandro Fontana
 
Critical Infrastructure Security Ict Security Anno Vi N
Critical Infrastructure Security Ict Security Anno Vi NCritical Infrastructure Security Ict Security Anno Vi N
Critical Infrastructure Security Ict Security Anno Vi NSandro Fontana
 
Security Certification Vs Marketing Hype
Security Certification Vs Marketing HypeSecurity Certification Vs Marketing Hype
Security Certification Vs Marketing HypeSandro Fontana
 

More from Sandro Fontana (12)

Blockchain! - Luglio 2018 Convegno SGI a Bevagna
Blockchain! - Luglio 2018 Convegno SGI a BevagnaBlockchain! - Luglio 2018 Convegno SGI a Bevagna
Blockchain! - Luglio 2018 Convegno SGI a Bevagna
 
Sgi breve storia della crittografia ep II
Sgi breve storia della crittografia ep IISgi breve storia della crittografia ep II
Sgi breve storia della crittografia ep II
 
SGI sandro fontana breve storia della crittografia Ep I
SGI sandro fontana breve storia della crittografia Ep ISGI sandro fontana breve storia della crittografia Ep I
SGI sandro fontana breve storia della crittografia Ep I
 
Wiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.PdfWiress Lan Pros And Cons.Pdf
Wiress Lan Pros And Cons.Pdf
 
The Missing Link
The Missing LinkThe Missing Link
The Missing Link
 
Paper E Sign La Firma Digitale Su Carta Seminario Epa
Paper E Sign La Firma Digitale Su Carta Seminario EpaPaper E Sign La Firma Digitale Su Carta Seminario Epa
Paper E Sign La Firma Digitale Su Carta Seminario Epa
 
Paper E Sign Aica Xxxix Annual Conference
Paper E Sign Aica Xxxix Annual ConferencePaper E Sign Aica Xxxix Annual Conference
Paper E Sign Aica Xxxix Annual Conference
 
Minaccie Vere Vulnerabilita Evitabili
Minaccie Vere Vulnerabilita EvitabiliMinaccie Vere Vulnerabilita Evitabili
Minaccie Vere Vulnerabilita Evitabili
 
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
La Firma Digitale Come Mezzo Per L’Autenticazione Dei Documenti Stampati In...
 
Che Bel Progresso Abbiamo Fatto! Iged
Che Bel Progresso Abbiamo Fatto! IgedChe Bel Progresso Abbiamo Fatto! Iged
Che Bel Progresso Abbiamo Fatto! Iged
 
Critical Infrastructure Security Ict Security Anno Vi N
Critical Infrastructure Security Ict Security Anno Vi NCritical Infrastructure Security Ict Security Anno Vi N
Critical Infrastructure Security Ict Security Anno Vi N
 
Security Certification Vs Marketing Hype
Security Certification Vs Marketing HypeSecurity Certification Vs Marketing Hype
Security Certification Vs Marketing Hype
 

[Se T 05 0044] T I Prs Secure Log Appliance [2

  • 1. SecureLog Appliance™ ICT security awareness programme Sandro Fontana, CISSP, CISA, CISM, L.A. BS7799 CTO Secure Edge sfontana@secure-edge.comSECURE EDGE your safety net
  • 2. 2/25 di cosa si parla di quanto i log siano necessari per implementare ed aumentare la sicurezza ed affidabilità dei vostri sistemi. di come implementare una infrastruttura che, basandosi su tecniche crittografiche, permetta la loro corretta e certificata acquisizione e conservazione.
  • 3. 3/25 perchè è importante La mancanza di meccanismi di raccolta dati indebolisce o annulla la capacità di scoprire comportamenti sospetti e tentativi di intrusione; Inoltre rende impossibile determinare se queste aggressioni hanno avuto successo o meno; L’errata configurazione e gestione sicura dei dati di log, metterà questi ultimi a rischio di compromissione, rendendo i successivi esami ed analisi più difficili, se non impossibili;
  • 4. 4/25 Log importance /1 Avere un sistema sicuro presuppone la generazione di dati di log utili, la loro acquisizione e conservazione centralizzata la garanzia di avere i log disponibili, completi ed integri (*) (*) e di effettuarne una corretta e tempestiva analisi
  • 5. 5/25 Log importance /2 L’esistenza di un log sicuro, permette: • di effettuare una estensiva analisi di guasti ed errori del sistema e delle applicazioni presenti su di esso • di evidenziare i segni di anomalie o di abuso del sistema • di supportare le fasi successive ad un incidente • di fornire dati critici in caso di computer forensic analysis The FBI rate 6th highest priority on their list of top 20 vulnerabilities: "Non-existent or Incomplete logging"
  • 7. 7/25 Common Criteria Class FAU: Security Audit • FAU_ARP: Security audit automatic response • FAU_GEN: Security audit data generation • FAU_SAA: Security audit analysis • FAU_SAR: Security audit review • FAU_SEL: Security audit event selection • FAU_STG: Security audit event storage (Security functional requirements)
  • 8. 8/25 Information Security Policies (by Charles Cresson Wood - May 2005) 27 policies che descrivono: • cosa deve e non deve essere registrato nei log • la gestione dei log • come assicurare ai log integrità e protezione • le norme di accesso ed uso • requirements per l’infrastruttura IT di supporto
  • 9. 9/25 ISO/IEC 17799:2005 • 10.1.1 Documented operating procedures • 10.1.2 Change management • 10.10.2 Monitoring system use • 10.10.3 Protection of log information • 12.2.1 Input data validation • 12.2.2 Control of internal processing • 12.2.4 Output data validation • 12.4.1 Control of operational software • 12.4.3 Access control to program source code • 12.6.1 Control of technical vulnerabilities • 13.2.3 Collection of evidence Richiami alla gestione dei log • 15.1 Compliance with legal requirements
  • 10. 10/25 Decreto Pisanu si inserisce in un contesto normativo preesistente sulle intercettazioni • Decreto Legislativo 196 del 30/06/2003 (Codice in materia di protezione dei dati personali”) • Decreto Legge 144 del 24/07/2005 convertito nella Legge 155 del 31/07/2005 (Legge Pisanu) • Legge 547/93 sui crimini informatici • Capo IV (artt.266 e ss.) del Codice di procedura penale “Intercettazioni di conversazioni o comunicazioni” • Art.617 bis del Codice Penale “ Installazione di apparecchiature atte ad intercettare o ad impedire comunicazioni o conversazioni telegrafiche o telefoniche”
  • 11. 11/25 Norme antiterrorismo/1 Europa: Al lavoro il Consiglio dei Ministri Europei di Giustizia Ipotesi • periodo minimo per data retention: obbligo per operatori telecomunicazioni e Internet Provider: 12 mesi per dati telefonia mobile 6 mesi per dati traffico internet • NO contenuto comunicazioni ma identificazione interlocutori della conversazione, data e ora della stessa, mittente e destinatario e-mail; • Indicazioni su eventuali compensazioni per i costi sostenuti dagli operatori per la data retention
  • 12. 12/25 Norme antiterrorismo/2 Italia: •“Pacchetto Pisanu” (Decreto Legge 144 del 24/07/2005 convertito nella Legge 155 del 31/07/2005) Con esclusione dei contenuti delle comunicazioni, si stabilisce che i dati relativi al traffico telefonico e telematico non possano essere cancellati fino al 31 Dicembre 2007 (art.6) •Decreto del Ministero dell’Interno del 16/08/2005 (specificato dalla Circolare Ministero dell’Interno n° 557 del 2005) condiziona l’apertura degli Internet Point al rilascio di una licenza del Ministero stesso e impone agli Internet Point l’obbligo di identificazione “..dei soggetti che utilizzano postazioni pubbliche non vigilate..”
  • 14. 14/25 Crash, hardware failure, resource exhaustion, reboot/restart, patches, log-in/log-out, su, login/su failure, printer use/errors, mail/http transaction, security software exceptions, accounting, security related events, ... Policy Based Source • Operating Systems: Windows: 2003Server, XP, ... Unix: Linux, BSD, Solaris, AIX,... OS/390, GCOS, VMS, ... Appliance: Router & Switches, NAS, RAS • System Applications: Daemons process: TCPWrappers, http, FTP, Telnet, SSH, SMTP, POP3, DNS, LDAP, DHCP, Radius, Kerberos, ... Application process: RDBMS, firewall (FW1), IDS, system&network management, cron, ... • User Applications: SAP, WebMail, BackUp, ...
  • 15. 15/25 Management • Controllo accessi: l’accesso ai dati è riservato; l’accesso ai dati deve essere tracciato; • Prevenzione da Alterazioni Disattivazione Cancellazione • Log Rotation and Archive Process: Log generato senza soluzione di continuità; BackUp conservato in luogo sicuro Definizione di un retention period I log devono: • risiedere su un sistema fisicamente e logicamente protetto; • poter dimostrare la propria integrità
  • 16. how ?
  • 17. 17/25 SecureLog Appliance un sistema centrale(1) dedicato alla raccolta dei log comprensivo di una suite di software tools open source garantisce l’esistenza di una copia dei log integra tramite firma digitale e forward integrity MAC agevola la generazione di log/msg dalle applicazioni agevola il backup e l’analisi real-time (1) Tipicamente un sistema Linux/OpenBSD (hardened) ad accesso controllato
  • 18. 18/25 Componenti sw Source • Unix / Linux Syslog-ng Stunnel SecurLog_Wrapper • Windows NT Syslog, Kiwi Stunnel SecurLog_Wrapper Receiver • SecureLogD • S-Tunnel
  • 20. 20/25 SecurLog_Wrapper Chained message: il sistema sorgente inserisce in ogni messaggio un checksum sul quale ha effetto il checksum precedente; invia quindi il messaggio al SecureLog Appliance header time/source payload(n) cks(n+1) cks(n)cks(n-1) 31MAR2005 11:03:20 ----------- INFORMATION DISPLAY --------------------------- COMMAND ===> SCROLL ===> PAGE CURR WIN ===> 1 ALT WIN ===> W1 =SYSDUMP===========EYUPLX01=EYUPLX01=31MAR2005==11:03:20====CPSM==== 1 CMDDump CICS Dump Curr Max Total Dumps Shutdown --- Code---- System-- Option---- Dumps-- Dumps-- Dumps-- Suprsd- Option---- MT0001 SE-TEST1A YES 1 999 1 0 NO header time/source payload(n+1) cks(n)
  • 21. 21/25 memory only SecureLogD Secure connection: lo SLA accetta connessioni solo tramite mutua autenticazione forte (SSL, TSL) Log (msg) gathering: lo SLA accetta messaggi in qualsiasi formato Forward Integrity MAC: lo SLA imbusta ogni msg utilizzando un chained MAC creando in questo modo il record del log sicuro header time/source data (n) MAC(n) header time/source payload(n) cks(n) msg MAC(n-1) Ak(n-1)Ek(n-1) Ak(n)Ek(n) MAC(n-1)
  • 22. 22/25 memory only Forward Integrity MAC Digital Signature & Timestamp: ogni file di sessione di registrazione dei msg inizia e termina con uno speciale record “SLA Start”R0 TS pre TS now Epk(Ak0) MAC Ak(0)Ek(0) Rn MAC Ak(n)Ek(n) h DSign Esk( ) “SLA End” TS now R1 header time/source data (1) MAC(1)MAC(0) MAC(N-1) Ak(1)Ek(1) h random
  • 23. 23/25 Security Rotation & Archiving: almeno ogni giorno viene aperto un nuovo file di sessione; deve essere effettuato il backup del precedente file; il file viene quindi rimosso. Clock Syncronization: il clock dello SLA viene sincronizzato al bootstrap tramite fonte ufficiale(*) ; semplifica la correlazione degli eventi. (*) http://www.ien.it/tf/time/index.html
  • 24. 24/25 References/1 Information Security Policies Made Easy Version 10 Charles Cresson Wood Information Shild Inc. 2005 Cryptographic Support for Secure Logs on Untrusted Machines Bruce Schneier, John Kelsey Counterpane Systems Secure Audit Logs with Forward Integrity Message Authentication Code Iiang Tao, Liu Ji-qiang, Han Zhen 2004 7th International Conference on Signal Processing, Proceedings. ICSP '04 IEEE Publications The Importance of Logging and Traffic Monitoring for Information Security Seham Mohamed GadAllah SANS Institure 2004 Secure Audit Logs Server to support Computer Forensic in Criminal Investigations Liu Ji-qiang, Han Zhen, Lan Zengwei 2002 IEEE Region 10 Conference on Computers, Communications, Control and Power Engineering, Proceedings. TENCON ’02 IEEE Publications Building a Logging Infrastructure Abe Singer, Tina Bird Sage Publication http://www.sage.org/pubs/12_logging/ Building an Encrypted and Searchable Audit Log Brent R. Waters, Dirk Balfanz, Glenn Durfee, and D. K. Smetters Paolo Alto Research Center January 9, 2004
  • 25. 25/25 References/2 IRITALY (http://iritaly.org) Progetto nato in collaborazione con il Dipartimento di Tecnologie dell'Informazione dell'Università Statale di Milano, Polo Didattico e di Ricerca di Crema. Lo scopo principale è informare e sensibilizzare la comunità scientifica italiana, le aziende piccole e grandi, gli attori privati e pubblici sui temi dell'Incident Response [http://www.honeynet.it] SIKUREZZA.ORG (http:// Sikurezza.org) è un portale non commerciale finalizzato alla diffusione ed alla discussione di informazioni e tecnologie legate alla sicurezza informatica. Sikurezza.org gestisce numerose mailing list "security-related" in italiano. Ospita progetti, software ed e-zine "security-related" della "scena italiana".
  • 26. SecureLog Appliance™ ICT security awareness Sandro Fontana, CISSP, CISA, CISM, L.A. BS7799 CTO Secure Edge sfontana@secure-edge.comSECURE EDGE your safety net