Speaker
Description
In seguito all’evoluzione delle linee guida di sicurezza delle informazioni, anche in ambito ricerca, diviene estremamente utile dotarsi di uno strumento per il monitoring, l’analisi e la correlazione di eventi di sicurezza, a supporto della difesa attiva, della compliance e dell’analisi forense. Grandi quantità di dati prodotti dai sistemi di log, dai firewall perimetrali, dalle sonde IDS e dai sistemi EDR sono spesso inutilizzati fino all’evento negativo. Esistono strumenti per l’analisi e la correlazione real-time degli eventi di sicurezza sia opensource che commerciali.
Lo scopo di questo talk è mostrare l’esperienza maturata nell’utilizzo di un sistema basato su OSSIM oggi sviluppato da AT&T chiamato AlienVault-OSSIM. Attraverso una rete di sonde e motori di correlazione AlienVault-OSSIM è in grado di realizzare molte delle funzionalita’ richieste da un moderno sistema di analisi di sicurezza, tra le quali:
Asset discovery: Active & Passive Network scanning, Asset Inventory, Software Inventory
Vulnerability Assessment: Continuos vulnerability monitoring ( authenticated/unauthenticated), active scanning, remediation verification
Intrusion detection: Network IDS, Host IDS, File integrity monitoring
Behavioral monitoring: NetFlow analysis, Service availability
SIEM: Log Management, Open Threat eXchange data, event correlation, incident response.
Esiste una versione community-free facilmente gestibile sia via dashboard web che via API e CLI.
