Anteprima
Vedrai una selezione di 4 pagine su 12
Appunti Gestione degli incidenti Pag. 1 Appunti Gestione degli incidenti Pag. 2
Anteprima di 4 pagg. su 12.
Scarica il documento per vederlo tutto.
Scarica
Appunti Gestione degli incidenti Pag. 6
Anteprima di 4 pagg. su 12.
Scarica il documento per vederlo tutto.
Scarica
Appunti Gestione degli incidenti Pag. 11
1 su 12
D/illustrazione/soddisfatti o rimborsati
Disdici quando
vuoi
Acquista con carta
o PayPal
Scarica i documenti
tutte le volte che vuoi
Estratto del documento

Indice

  • System & Networks Monitoring
  • Intrusion Detection System (IDS)
  • Svantaggi e debolezze dell'intrusion detection
  • Intrusion Prevention System (IPS)
  • Gestione dei Log
  • SIEM (Security Information & Event Management)
  • Damage Control
  • Piano per la gestione degli incidenti informatici (Incident Response Plan)
  • Indicent Response Team
  • Honeypots
  • Sandbox
  • Canary
  • System & Networks Monitoring

È necessario per garantire e controllare la disponibilità dei dati; non è da sottovalutare la sua funzione in chiave di identificazione di compromissioni della sicurezza.

È necessario stabilire una baseline affidabile, facendo le seguenti considerazioni:

  • Un server sta facendo traffico anomalo?
  • Un client sta cercando di collegarsi ad altri client?
  • Un client produce una quantità di traffico anomalo?
  • Un utente crea numerose sessioni da/verso Internet?
  • Un'applicazione varia il pattern delle sue transazioni?
  • Una linea si satura

Improvvisamente? Stabilire una baseline significa stabilire una situazione normale, per poi essere in grado di capire le anomalie.

Intrusion Detection System (IDS)

Gli Intrusion Detection System (IDS) sono metodologie e tecniche per scoprire attività anomale, scorrette o non appropriate nei sistemi e nelle reti. Gli IDS vengono utilizzati per rilevare tutti gli attacchi alle reti informatiche e ai computer.

Gli IDS catturano il traffico che passa sulla rete eseguendo un filtro su tre livelli:

  1. Primo livello: estrae il traffico da analizzare, con regole o campionamento
  2. Secondo livello: analizzatore del traffico sospetto (pattern matching o statistico: identifica anomalie e la loro frequenza)
  3. Terzo livello: modulo di intervento (logging, alerting)

Il traffico viene catturato tramite un adattatore di rete configurato in modalità promiscua (shared media) oppure collegato ad una porta di mirroring dello switch.

Un IDS è composto da quattro componenti:

  • Uno o più sensori
    • utilizzati per ricevere le informazioni dalla rete o dai computer Un motore che analizza i dati prelevati dai sensori e provvede a individuare eventuali falle nella sicurezza informatica Una console utilizzata per monitorare lo stato della rete e dei computer 8. Gestione degli incidenti 2 Un database cui si appoggia il motore di analisi e dove sono memorizzate una serie di regole utilizzate per identificare violazioni della sicurezza Il più semplice IDS è un dispositivo che integra tutte le componenti in un solo apparato. Gli IDS si possono suddividere anche a seconda di cosa analizzano: Host-based: solitamente sta sul server e consiste in un agente che analizza l'host alla ricerca di intrusioni, attraverso un auditing sistematico dei log di sistema e del filesystem. Le intrusioni vengono rilevate analizzando l'I/O, i processi e le attività nella rete; un esempio di rilevamento può essere a seguito di modifiche al file system del pc sul quale è

    installato (modifiche nel file dellapassword, nel database degli utenti e della gestione dei privilegi ecc.). L'auditing può essere real-time o scheduled.

    Network-based: analizzano il traffico della rete per identificare intrusioni, permettendo quindi di monitorare non solo un singolo host ma una rete completa. È un sistema che "sniffa" il traffico cercando tracce di attacchi.

    L'analisi può essere fatta:

    • Online: in tempo reale si vede cosa succede
    • Offline: dopo aver subito un attacco si controllano i log per capire da dove è partito

    È sempre necessario avere una baseline per definire cosa è normale sia sulla rete che sui server.

    Un IDS può prevedere anche un autoapprendimento, ossia diventa in grado di capire cosa dover segnalare e farlo al verificarsi di certe condizioni.

    Per gli IDS si identificano due categorie base:

    • Sistemi basati sulle firme (signature): usano tecniche in modo analogo a quelle per il rilevamento dei virus,
      • che possono portare a una gestione inefficace degli incidenti. Gli IDS possono segnalare come minacciose attività normali o innocue, generando così falsi positivi. Allo stesso tempo, possono non rilevare attività dannose o intrusioni reali, generando falsi negativi. Questi problemi possono compromettere l'efficacia complessiva del sistema di rilevamento delle intrusioni. In conclusione, sebbene gli IDS siano strumenti utili per rilevare attività sospette o potenzialmente dannose, presentano anche svantaggi e debolezze che ne limitano l'utilità. È importante considerare questi fattori nella gestione degli incidenti e nell'implementazione di misure di sicurezza adeguate.

      Il tuo compito è formattare il testo fornito utilizzando tag html.

      ATTENZIONE: non modificare il testo in altro modo, NON aggiungere commenti, NON utilizzare tag h1;

      a seconda che venga bloccato un traffico lecito oppure venga segnalato un traffico anomalo.

      Intrusion Prevention System (IPS)

      Sono dei componenti software attivi sviluppati per incrementare la sicurezza informatica di un sistema informatico, individuando e registrando le informazioni relative e tentando di segnalare e bloccare le attività dannose.

      Nascono grazie all'aumento della potenza di calcolo di apparati e server: rappresentano un'estensione degli strumenti di Intrusion Detection System (IDS) perché entrambi controllano il traffico e le attività di sistema per identificare l'esecuzione di codice non previsto, ma a differenza di quest'ultimi, gli IPS sono posizionati inline e sono abilitati a prevenire e bloccare le intrusioni identificate.

      Il sistema deve procedere facendo prima Detection, poi Prevention tramite:

      • Mandare un allarme
      • Eliminare pacchetti malevoli
      • Resettare le connessioni
      • Bloccare il traffico da un indirizzo IP attaccante
      • Bloccare le porte
      sugli apparati di rete

      Blocco dei MAC Address

      Kill di processi

      Spostamento del traffico su LAN isolate

      Gli IPS sono basati su una lista di controllo degli accessi simile a quella utilizzata da un firewall, con la differenza che quest'ultimo lavora a livello di trasporto e di rete supportando indirizzi IP mentre questa tecnologia lavora a livello applicativo su programmi/servizi e utenti.

      1. Gestione degli incidenti

      Possono essere classificati in 4 tipologie:

      1. Network-based intrusion prevention systems (NIPS): controlla l'intera rete per trovare il traffico sospetto.
      2. Wireless intrusion prevention systems (WIPS): monitora una rete wireless, in modo che appena si identifica un pattern anomalo non si fa più entrare l'entità nella rete.
      3. Network behavior analysis (NBA): esamina il traffico di rete per identificare le minacce che generano flussi di traffico inusuali, possibili malware e violazioni delle politiche. In particolare, analizza il comportamento dei dispositivi nella
      rete.Host-based intrusion prevention system (HIPS): viene installato un pacchetto software che controlla un singolo host per attività sospette, analizzando gli eventi che si verificano all'interno di quella ospite. Gestione dei Log La gestione dei log indica l'insieme di attività legate alla raccolta e all'analisi dei dati tracciati nei messaggi di log e rappresenta una registrazione completa degli eventi che accadono in qualunque contesto di sicurezza informatica. La gestione dei log è l'elemento chiave per tutte le aziende per capire cosa è successo o cosa sta succedendo in tempo reale. È quindi una raccolta di informazioni da vari sistemi chiave con aggregazione centralizzata in un log server. I dati di log vanno:
      • Memorizzati
      • Conservati a lungo termine
      • Ruotati per le successive analisi
      Per diminuire il rischio di attacco al log server, una soluzione può essere quella di mandare i file tramite protocollo UDP su una macchina, cosìChe non ci sia una sessione da attaccare; inoltre, il canale deve essere unidirezionale (solo entrata). Importante è anche il timestamp per sincronizzare i log e ricostruirne l'ordine (UDP non mantiene l'ordine dei pacchetti).

      Gestione degli incidenti

      Analizzare efficacemente grandi volumi di dati di log comporta una serie di implicazioni, quali:

      • Sincronizzazione: i diversi sistemi devono avere orologi perfettamente sincronizzati per poter correlare in maniera accurata le informazioni date dai log. È infatti fondamentale conoscere l'ordine temporale esatto degli eventi.
      • Volumi dei dati: possono raggiungere centinaia di gigabyte al giorno per le grandi aziende.
      • Normalizzazione: i log prodotti possono avere diversi formati. Il processo di normalizzazione è progettato per fornire un output comune per l'analisi da diverse fonti.
      • Frequenza: la frequenza con cui i log vengono generati dai dispositivi può rendere difficile la raccolta e formattazione del testo fornito utilizzando tag html.
      l'aggregazione. Veridicità: gli eventi registrati potrebbero non essere accurati. Ciò è particolarmente problematico nei sistemi che eseguono rilevamenti (come ad esempio il rilevamento delle intrusioni). Privacy: le procedure di logging tengono traccia dei movimenti degli attaccanti, ma anche dei dipendenti dell'azienda. Per cui è necessario stare attenti nel rispettare il nuovo Regolamento generale sulla protezione dei dati (GDPR). Per i log, bisogna anche tenere in considerazione: - Per quanto tempo devo tenerli: non è pensabile tenere memorizzati tutti i log. - Devono essere ruotati: a fine giornata si chiude il file di log e il giorno dopo si ricomincia, poi dopo, ad esempio, 10 giorni si torna a scrivere nel primo file in modo da mantenere memorizzati solo 9 file. - Bisogna nasconderli agli utenti: i log possono avere informazioni degli utenti, quindi bisogna garantire la privacy. - Bisogna proteggerli dagli attaccanti: usare connessione UDP. Servestabilire una baseline: decidere cosa è normale che ci sia nei file di log. Servono strumenti di analisi (in tempo reale o a posteriori): ad esempio, non aprire subito un file di grandi dimensioni ma prima analizzarlo. Servono strumenti di aggregazione e reporting SIEM (Security Information & Event Management).

      Un SIEM è una serie di prodotti software e servizi che combinano/integrano le funzionalità offerte dai SIM (Security Information Management) a quelle dei SEM (Security Event Management): unisce IPS, gestione dei log e logica.

      Sono strumenti che da tutti i log, IDS, antivirus, access-point eseguono ragionamenti per dire se si è sotto attacco o se si è tranquilli, capendo anche da quanto tempo si è sotto attacco. Sono strumenti di machine learning in grado di eseguire

Dettagli
Publisher
elefante1234
A.A. 2021-2022
12 pagine
SSD Scienze matematiche e informatiche INF/01 Informatica
I contenuti di questa pagina costituiscono rielaborazioni personali del Publisher elefante1234 di informazioni apprese con la frequenza delle lezioni di Sicurezza dei sistemi informatici e studio autonomo di eventuali libri di riferimento in preparazione dell'esame finale o della tesi. Non devono intendersi come materiale ufficiale dell'università Università degli Studi di Ferrara o del prof Carnevali Massimo.