Alla scoperta della soluzione LogOS per Observability Advanced e Cybersecurity

La security come priorità di un’infrastruttura informatica

Prima di introdurre Logos, vogliamo mettere in evidenza di come, al giorno d’oggi, la sicurezza informatica sia una delle principali priorità per le organizzazioni data l’importanza di proteggere sistemi e infrastrutture dagli attacchi dall’esterno. Aziende e servizi pubblici si trovano sempre più impegnate nell’attuare la digital trasformation. Vi è infatti la necessità di velocizzare e migliorare la propria capacità nel raccogliere grandi quantità di dati. Per contrastare questi attacchi e tenere l’infrastruttura informatica sotto controllo occorre però stabilire un efficace programma di sicurezza con il supporto di partner specializzati che possano garantire competenze e tecnologia per questo tipo servizio.

 

LogOS, la soluzione di Seacom per Observability Advanced e Cybersecurity

 

In tale ambito rientra la soluzione sviluppata da Seacom, ovvero LogOS Cyber Security. Questa verticalizzazione, basata su Elastic, aggiunge alcune funzionalità necessarie per avere un sistema di gestione dei dati per la raccolta e la visualizzazione degli stessi. Ne permette inoltre anche la conservazione per rispondere alla normativa del garante della Privacy per gli accessi degli Amministratori di Sistema.

Oltre alle potenzialità di Elastic nell’indicizzazione, ricerca e visualizzazione dei LOG, LogOS CS aggiunge meccanismi di host-based intrusion detection system (HIDS), offrendo template di comparazione di pattern di file, Log e traffico di rete, al fine di individuare le attività malevoli. LogOS CS garantisce anche la possibilità di conservare i LOG in maniera inalterabile, in modo da soddisfare i requisiti di legge di conservazione del dato. Grazie al componente di machine learning, permette di poter avere un approccio pro-attivo all’accadimento dell’anomalia.

Per garantire queste funzionalità, LogOS CS raccoglie le informazioni dalle varie fonti dati (tramite agent o tramite Syslog), le firma e le invia al manager, nella quale vengono conservate. Allo stesso tempo le informazioni vengono inviate ad Elasticsearch, dove costituiranno la base dati per la consultazione.

La verticalizzazione Security in LogOS

 

LogOS Cyber Security (LogOS CS) è una verticalizzazione modulare di Log Management basata su Elastic. La soluzione è costituita da 3 moduli:

• Log Analysis: motore di Log management basato su Elastic Stack per una completa piattaforma di Logging, con i beats già disponibili per le principali tipologie di LOG (ad esempio Winglobit, PacketBeat, MetricBeat, e molti altri). Le informazioni sui dati correlate tra di loro sono visualizzate in tempo reale e in streaming, e le ricerche lanciate si aggiornano senza esigenze di reload e riprocessamento del dato. Elastic offre una soluzione per l’analisi dei LOG che non è in nessun modo limitante nella quantità dei dati da gestire, ma è scalabile e cresce in base alle necessità.
• Compliance: modulo di controllo che gestisce la conformità dei log agli standard, garantisce conservazione e inalterabilità del dato. Inoltre raccoglie, aggrega, indicizza e analizza i dati di sicurezza, garantisce il monitoraggio del file system, ed effettua controlli di sicurezza di conformità agli standard e alle normative di settore.
• Cybersecurity: modulo che integra meccanismi avanzati di sicurezza informatica come vulnerability detection, integrità dei file e incident response.
  

  Componenti del modulo Cybersecurity:

 

• CDB List, ovvero per utilizzare delle liste per segnalare la presenza di attività provenienti da IP non affidabili e sollevare un alert o definire un’azione conseguente.
• CIS-CAT: sistema Java Multipiattaforma sviluppato per la scansione dei sistemi: offre un report che confronta le impostazioni di sistema con i benchmark CIS (Center for Internet Security).

Individuazione SQL Injection Riconosce in base a regole pronte, ma espandibili, la presenza di tentativi di injection analizzando i LOG delle chiamate Url verso i server.

VirusTotal: servizio web che consente l’analisi dei file e/o Url per identificare la presenza di virus o maleware, utilizzando più di 46 software antivirus. Il sistema controlla inserimenti, modifica o cancellazioni dei file nelle cartelle monitorate dal modulo SysCheck

OSQuery: framework sviluppato da facebook per l’analisi e il monitoraggio,basato su query, del sistema operativo.

Cloud Security Monitoring: in caso di presenza di ambienti cloud, aiuta a monitorare l’infrastruttura a livello di API, utilizzando moduli di integrazione in grado di estrarre dati di sicurezza dai principali provider: Amazon AWS, Azure o Google Cloud.

Architettura Modulo Security LogOS

Le funzionalità di LogOS Cyber Security

LogOS Cyber Security raccoglie, aggrega, indicizza e analizza i dati di sicurezza, aiutando le organizzazioni a identificare intrusioni, minacce e anomalie nei comportamenti tramite la Security Analytics. Gli agent LogOS CS possono essere utilizzati in ottica Intrusion Detection per identificare file nascosti, processi occulti, listener non registrati a livello network o incongruenze nelle risposte alle chiamate di sistema. Gli agent LogOS CS svolgono inoltre azioni di Log Data Analysis leggendo i log del sistema operativo e delle applicazioni monitorate, inoltrandoli in modo sicuro a un manager centrale per l’analisi e l’archiviazione, ed estraggono i dati del software e inviano queste informazioni al server, dove sono correlate a database CVE per le attività di Data Detection.

LogOS CS monitora il file system, identificando i cambiamenti nel contenuto, nei permessi, la proprietà e gli attributi dei file che è necessario tenere d’occhio (File Integrity). Monitora inoltre le impostazioni di configurazione del sistema e dell’applicazione per garantire che siano conformi alle politiche di sicurezza e agli standard (Configuration Assesment), e fornisce alcuni dei controlli di sicurezza necessari per conformarsi agli standard e alle normative di settore (Regulatory Compliance). Un’altra funzionalità di LogOS CS è quella di Cloud Security Monitoring, ovvero aiuta a monitorare l’infrastruttura cloud a livello API, utilizzando moduli di integrazione in grado di estrarre dati di sicurezza da noti provider di cloud, come Amazon AWS, Azure Google.

Altre funzionalità e integrazioni

 

Nella sua configurazione cybersecurity LogOs offre moltissime funzionalità di HIDS, cioè Host Intrusion Detection System, grazie agli agent installati sulle macchine, ma anche molte altre componenti che andiamo ad osservare nel dettaglio:

 

Logos NIDS: Nella sua configurazione cybersecurity LogOs offre moltissime funzionalità di HIDS, cioè Host Intrusion Detection System, grazie agli agent installati sulle macchine. Questo pacchetto permette di affiancare anche funzionalità NIDS, cioè Network Intrusion Detection System, mediante la distribuzione di sonde nella rete dell’organizzazione per la raccolta di informazioni direttamente dal traffico di rete.

Integrazione MISP: MISP è una piattaforma open source per la conservazione, condivisione e correlazione di indicatori di compromissione (IoC – Indicator of Compromise). LogOs sfrutta le caratteristiche di MISP integrando un database costantemente aggiornato sugli indicatori di compromissione. Attraverso una sincronizzazione automatica con le fonti dati, LogOs è in grado di estrarre automaticamente liste di indicatori da utilizzare su sistemi come firewall o IDS per migliorare la sicurezza dell’organizzazione.

MISP e & MITRE ATT&CK: Nella classificazione degli eventi in MISP è possibile anche avere riferimenti alle categorie ATT&CK di MITRE, una base dati globalmente accessibile di contromisure di sicurezza, distribuita a livello mondiale. Grazie a questa integrazione è possibile collegare l’indicatore di compromissione (IoC), rilevato da MISP, all’evento corrispondente registrato sul Database di Mitre. In questo modo possiamo salvare tali informazioni a corredo dell’evento ed essere visualizzate da kibana per migliorare l’analisi degli eventi e individuare la contromisura più adatta.

Il caso d’uso della Scuola Normale Superiore

Abbiamo specificato in precedenza come LogOs si propone per essere una soluzione di raccolta dei log in compliance. Una importante realtà come la Scuola Normale Superiore di Pisa ha scelto di affidarsi a Seacom, e di conseguenza a Logos, per la raccolta e analisi dei dati e gestione dei log di alcune macchine critiche.

Il risultato del progetto ha superato le aspettative iniziali, dato che lo strumento infatti non soltanto risponde alle richieste normative. Il suo sviluppo permette anche di avere una maggiore visibilità degli eventi che potrebbero impattare sulla sicurezza delle macchine “critiche”. Inoltre, le capacità di raccolta e analisi dati di LogOs insieme alla potenza del motore di ricerca Elasticsearch e alle visualizzazioni di Kibana. hanno permesso di creare le basi per un primo SOC (Security Operation Center) presso la Scuola Normale.

 

Questo caso di studio mette quindi in evidenza come la cybersecurity, se applicata con le adeguate soluzioni, oltre ad essere funzionale per le necessità descritte precedentemente, può rivelarsi uno strumento molto importante per i suoi innumerevoli campi d’applicazione e sviluppo in tantissimi settori dell’industria 4.0 e dei servizi pubblici.

 

Approfondisci LogOS visitando la sezione dedicata sul nostro sito.