Gruppo di lavoro Big data for security evaluation (monitoring, external/internal threats)
description
Transcript of Gruppo di lavoro Big data for security evaluation (monitoring, external/internal threats)
Gruppo di lavoro
Big data for security evaluation (monitoring,
external/internal threats)
CIS, CNR, UNIFI, UNINA, UNIPARTHENOPE, UNICAL
Descrizione del tavolo
1. Real-time event monitoring to support policy enforcement (UniParthenope),
2. Security evaluation against external and insider threats (UniFi),
3. Combining models and experiments to improve dependability and security evaluation (UniFi),
4. Data-Driven Reliability and Security Analysis (UniNA), 5. Detecting suspicious events/activities based on
attack models (UNICAL)
- Partecipanti tavolo: max n°12 persone - Argomenti di interesse rilevati: 4
Collaborazioni Long e Short term
• Collaborazioni Long Term– NUMERO 3 UNINA-CIS-UNIFI- UNICAL: Monitoring
con granularità adattiva• Collaborazioni Short Term– NUMERO 1 UNIPARTHENOPE-CNR-(POLITO) : Real-
time event monitoring to support policy enforcement in Critical Infrastructure
– NUMERO 2 UNINA-UNICAL: Analisi di tracce di esecuzione ed estrazione di modelli graph-based
– NUMERO 4 UNIFI-CNR: analisi minacce e modelli di policy
Problematiche e macro-obiettivi
Problemi identificati• Mancanza di dati o di sistemi realmente complessi (non
abbiamo big data, nè in termini di dimensione e complessità di log, né di sistemi in esecuzione)– Un punto chiave della discussione è stata la condivisione di
case study e/o dati già disponibili• avere descrizioni di attacchi/malfunzionamenti da
esperti di dominio e tracce di eventi che includono istanze di tali modelli
Macro-obiettivi e proposte:• (pubblicazioni, partecipazioni workshops, etc)• Produrre e distribuire sul web site di TENACE dataset che
possano mitigare il problema identificato
Collaborazione 1: UNIPARTHENOPE-CNR-(POLITO)
• Real-time event monitoring to support policy enforcement in Critical Infrastructure
• Obiettivi– Avanzamento delle tecnologie per il monitoraggio
in tempo reale degli eventi di sicurezza nelle infrastrutture critiche
– Definizione di supporti decisionali– Integrazione con sistemi di reazione agli attacchi
basati sulla ridefinizione delle politiche di sicurezza
– Progettazione di un sistema autonomico
Collaborazione 1: Architettura del sistema
Security Information
Collector(UniPart/POLITO)
Data/EventSources
Correlator(e.g. SIEM
based)(Uniparthe
nope)
Data/Events
NormalizedEvents
Alarms DecisionSupportSystem
(CNR/POLITO)
DB
Monitored Infrastructures
ReactionSystem
(POLITO)
Policy Enforcement
Point(UNIPARTHENOPE/POLITO)
Collaborazione 1: Tecnologie ed interessi
• Raccolta ed analisi dati:– Security Information and Event Management
(SIEM) (UNIPARTHENOPE)– Pattern matching (UNIPARTHENOPE)
• Strumenti decisionali: – Risk Assessment basata su modelli quantitativi
(probabilistici) (CNR)– Tecniche basate su forward chaining (POLITO)
• Reaction basata su OrBAC (POLITO)– PolyOrBAC ?
Collaborazione 2UNINA-UNICAL
• Analisi di tracce di esecuzione ed estrazione di modelli graph-based
• Obiettivi– Generazione di log di eventi rappresentanti tracce
di esecuzione– Estrazione di modelli da log di eventi– Utilizzo dei modelli estratti quali • modelli predittivi di attacco/malfunzionamento • modelli descrittivi di comportamento lecito/atteso
– individuazioni di “pattern d’interesse” in base alla conformance dei modelli
Collaborazione 2: Architettura del sistema
EventCollector(UNINA)
Instrumented Software
(rule-based logging)(UNINA)
Model Extraction(UNICAL)
Log events
NormalizedEvents
ConformanceAnalysis(UNICAL)
DB
Patterndetection
Collaborazione 3UNINA-CIS-UNIFI- UNICAL
• Monitoring con granularità adattiva• Scenario– Nei sistemi complessi e eterogenei,
l’infrastruttura di monitoring comprende sonde hw/sw che guardano un elevato numero di parametri ai diversi livelli logici
• Obiettivo– Ridurre il costo/impatto dell’infrastruttura di
monitoring senza avere un impatto negativo sull’accuratezza del monitoraggio
Collaborazione 3: Monitoring con granularità adattiva
Approccio• Caratterizzare comportamento dei parametri
osservati in caso di presenza/assenza guasti o attacchi
• Configurazione adattiva del sistema di monitoring per definire differenti livelli di attivazione (sottoinsiemi) delle sonde
• Primi punti aperti: – Quali modelli usare per decidere quali sonde
attivare e quando? (modello per attack graph UNICAL?)
Collaborazione 3: Competenze ed interessi
• UNIFI: monitoring di Application Server (fine grained) e studio qualità parametri
• UNICAL: event model• UNINA: analisi dei dati collezionati• CIS: infrastruttura di calcolo e analisi per
stream di dati
Collaborazione 4 UNIFI-CNR
Descrizione• (dato un modello –SAN?-) Analisi quantitativa delle
minacce da parte di potenziali insiders permette di definire path di attacco e possibili mitigazioni
• Output da analisi per definire strategie di monitoring a run-time e policy usando indicatori quantitativi
Next step• Partecipanti principali: Nicola, Ilaria possono
interagire anche vis-à-vis con buona frequenza• Previsto primo meeting per seconda metà Novembre
per una definizione più precisa di un obiettivo a breve termine