Da Integra.

Indice 1 INTEGRA Log Manager 1.1 INTEGRA Log Manager (ILM) 1.2 ASPETTI INNOVATIVI 1.3 UNIFIED EVENT MODEL 1.4 ALTA AFFIDABILITÀ 1.5 FONTI DI EVENTI 1.6 CARATTERISTICHE HARDWARE E PRESTAZIONI 1.7 FAQ

INTEGRA Log Manager

La gestione dei rischi operativi rappresenta un elemento indispensabile della moderna gestione aziendale. Essa comporta, tra l’altro, la registrazione, l'esame e la verifica di attività rilevanti ai fini della sicurezza che abbiano luogo nel sistema informatico. Il registro degli eventi di sicurezza (audit/security log) che tutte le componenti del sistema informatico (apparati, sistemi, middleware, applicazioni) sono in grado di generare, deve essere quindi raccolto, arricchito delle informazioni che ne consentiranno l’analisi e consolidato in una struttura protetta che lo renda disponibile entro il periodo di conservazione desiderato. Il principale ostacolo nel realizzare questo compito si delinea nella sostanziale incapacità dei prodotti tradizionali di trattare, con tempi e costi ragionevoli, i volumi di dati necessari.

Integra Log Manager è un prodotto di nuova generazione che integra una serie di importanti innovazioni per permettere la realizzazione di sistemi centralizzati di audit e log management senza vincoli di dimensione.

---

INTEGRA Log Manager (ILM)

Integra Log Manager (ILM) è l’infrastruttura di data warehouse per grandi volumi di audit/security log più veloce attualmente al mondo.

Il prodotto opera come middleware e si occupa di raccogliere e centralizzare i log di sicurezza generati dal sistema informatico in un data warehouse che comprende anche tutte le informazioni di business necessarie alla loro verifica ed alla ricostruzione a posteriori degli eventi di sicurezza nel loro contesto originario. Il data warehouse rende disponibili i log di sicurezza ad applicazioni di reportistica e business intelligence sia nella loro forma originale, sia sotto forma consolidata in un modello informativo progettato per permettere la “navigazione” a prescindere dal formato originale.

Collect

ILM raccoglie log di sicurezza in modo incrementale ed in ogni formato da apparati di rete, sistemi, middleware e applicazioni.

Normalize

I dati di log sono strutturati in base ad un modello di eventi unificato orientato alle esigenze di sicurezza ed audit. La struttura originale viene comunque mantenuta per esigenze di conformità ed analisi forense.

Enrich

Ogni evento di sicurezza è arricchito con informazioni di business derivanti dal contesto, ad esempio: utente, organizzazione, risorse, norme rilevanti, aree di criticità, etc.

Archive and Query

I log sono accessibili per tutto il periodo di conservazione. Il sistema di interrogazione è talmente veloce da permettere la navigazione attraverso una serie di query interattive.

ILM gestisce volumi enormi con prestazioni straordinarie grazie ad un’architettura distribuita basata sul calcolo parallelo, sullo sfruttamento di cluster senza elementi in condivisione (shared-nothing cluster) e su un database a colonne (column-oriented DBMS).

ASPETTI INNOVATIVI

Integra Log Manager has been designed with high performance and scalability as primary goals.

INTEGRA Log Manager permette di abbattere l’ostacolo rappresentato dai grandi volumi di dati grazie ad una serie di tecniche innovative:

Grid-based computing • ILM opera in un cluster formato da server di piccolo calibro. Le capacità elaborative di una simile configurazione possono raggiungere quelle di un supercomputer, ma ad un costo nettamente inferiore. Esternamente, il cluster appare come una singola entità virtuale. L’assenza di componenti condivise permette di ottenere una tolleranza ai guasti del tutto analoga a quella nota nei sistemi RAID (Redundant Arrays of Inexpensive Disks).

Elaborazione continua parallela • I processi di acquisizione, trasformazione, caricamento ed interrogazione sono progettati per operare in parallelo ottimizzando lo sfruttamento dell’hardware a disposizione. In particolare, il caricamento dei log può avvenire 24 ore su 24 senza interferire con l’interrogazione del data warehouse.

Unified Event Model • I dati di log acquisiti, oltre ad essere memorizzati nella loro forma originale, sono strutturati secondo un modello informativo universalmente applicabile a qualsiasi evento di sicurezza e audit. Il modello comprende una tassonomia comune per tipologie di eventi e informazioni di contesto che rispondono flessibilmente a tutte le esigenze di correlazione richieste per un’analisi complessa.

Database a colonne • L’architettura del database contenente i log è ottimizzata per operazioni di lettura, piuttosto che per l’esecuzione di frequenti transazioni di aggiornamento. Ciò si ottiene organizzando la memoria del DBMS per colonne anziché per righe. L’interrogazione del DBMS è mediamente 100 volte più veloce che per DBMS tradizionali e non risente del numero di colonne presenti nelle tavole.

Compressione dei dati • L’omogeneità in termini di forma o contenuto dei valori appartenenti alla singola colonna consentono di ottenere maggiori benefici nella compressione dei dati. Rispetto alla dimensione originale, ILM richiede 1/10 dello spazio di memoria su disco.

Linguaggio SQL • Il linguaggio con il quale si interroga il DBMS di ILM è SQL, un potente linguaggio per l’analisi ed estrazione dei dati. Trattandosi di uno standard industriale, esso consente ad ILM di interfacciarsi con prodotti di business intellicence e reportistica, tipicamente già presenti nelle grandi aziende.

UNIFIED EVENT MODEL

Per tutti i dati di log acquisiti, ILM genera una vista normalizzata che prescinde dalla struttura originale del log. Questo approccio permette di costruire modelli di analisi personalizzati e duraturi perché indipendenti dalla tipologia di log immessa nel data warehouse. Il modello si articola in sette principali dimensioni di correlazione, ulteriormente articolate al proprio interno:

Dimensione	Domande (esempi)
Tempo	Quando è avvenuto l’evento?
Questa dimensione rappresenta il momento preciso in cui il singolo evento si è verificato, ma anche tutte le categorie ad esso correlate: fasce orarie lavorative, fasce di presidio operativo, periodi di festività, ferie, etc.
Operazione	Che tipo di evento si è verificato? Ha avuto successo?
ILM classifica tutti gli eventi di sicurezza attribuendo loro due categorie all’interno di una tassonomia che copre tutte le occorrenze rilevanti ai fini della sicurezza e dell’audit.
Utente	Chi ha causato l’evento? Chi è e che ruolo ha al verificarsi dell’evento? Con quali privilegi opera? A quale organizzazione appartiene? Chi è il responsabile?
In ILM, l’utente rappresenta un tassello dell’organizzazione con il quale è possibile correlare l’evento in funzione di entità come ruolo, mansione, reparto, responsabile, azienda, luogo geografico, etc. Le informazioni che permettono di arricchire il dato originale derivano da directory, sistemi di identitiy management e di gestione del personale.
Piattaforma	Dove si è verificato l’evento? Quale sistema lo ha generato? A quale area organizzativa/di business appartiene?
Questa dimensione rappresenta l’apparato, il sistema, il middleware oppure l’applicazione che ha generato l’evento con tutte le informazioni organizzative ad essi correlate.
Oggetto	Quale risorsa è stata coinvolta nell’evento? Di cosa si tratta? A chi, a quale area di business appartiene?
Ogni evento riguarda un soggetto (utente) ed un oggetto: file, database, tabella, transazione, sistema, etc. Come per “Piattaforma”, anche per questa dimensione le informazioni di contesto derivano dai sistemi di asset management, risk management, etc.
Origine	Da dove proviene l’attività che ha dato luogo all’evento? Da quale postazione opera l’utente?
Un dato evento può essere causato internamente ad un sistema, oppure può essere provocato da un sistema remoto. Nel secondo caso, questa dimensione fornisce informazioni relative al sistema (ad esempio postazione utente oppure indirizzo IP) associato all’evento.
Target	Quale sistema remoto è affetto dall’evento?
Questa dimensione è tipicamente utilizzata insieme a “Origine” per descrivere eventi generati da apparati di interconnessione (come ad es. firewall), dove il “target” è ad es. il sistema remoto che partecipa ad una connessione di rete.

ALTA AFFIDABILITÀ

ILM garantisce l’alta affidabilità senza richiedere la presenza di sistemi stand-by. Tutti gli elementi del cluster sono sempre sfruttati al pieno delle loro risorse.

Se si dovesse verificare inaspettatamente un guasto che renda indisponibile un’unità del cluster, ILM si riconfigura per operare in sua assenza senza che questo possa causare perdita di dati o interruzioni del servizio.

Quando l’unità difettosa sarà stata ripristinata, ILM ricostruisce su di essa automaticamente le partizioni di dati andate perse e riprende l’operatività normale.

Nei casi in cui si rende necessario incrementare prestazione o capacità del sistema, è possibile aggiungere al cluster nuove unità senza interrompere l’operatività dell’applicazione. ILM si adatta automaticamente alla nuova struttura per sfruttarne le capacità ed ottenere una distribuzione ottimale anche per i dati caricati in precedenza.

Il livello di tolleranza ai guasti è adattabile alla dimensione della configurazione e può essere modificato in qualsiasi momento.

FONTI DI EVENTI

ILM è in grado di interpretare correttamente dati di log prodotti da un vasto numero di apparati, sistemi operativi, database, software di sicurezza, applicazioni e middleware. Il supporto per una fonte di eventi comporta la classificazione delle entità informative in essa contenute secondo il modello unificato degli eventi (Unified Event Model).

La lista di fonti attualmente supportate:

Sistemi operativi • IBM AIX, HP-UX , Sun Solaris, Linux, Novell Netware, HP OpenVMS, HP Tru64, Microsoft Windows, Tandem, IBM OS/400, IBM OS/390, IBM z/OS

Database • Oracle Database, Microsoft SQL Server, IBM DB2 UDB, MySQL, Sybase ASE

Applicazioni • SAP R/3

Prodotti di security • Trend Micro ScanMail, Trend Micro ServerProtect, Snort, RSA Authentication Manager, Raptor Firewall, McAfee ePolicy Orchestrator, McAfee IDS, IBM Tivoli Access Manager , CA eTrust Access Control, Symantec AntiVius, TopSecret/VSE, Cisco Router, Cisco PIX Firewall, Cisco Secure ACS, Symantec Raptor Firewall

Middleware • Siteminder Policy Server, Microsoft Internet Information Server, IBM BEA Aqualogic Portal, Websphere Application Server, iPlanet Web Server, Oracle Portal, Microsoft Exchange, BMC Control-SA

La lista aggiornata delle fonti è qui.

La realizzazione di adattatori per altre fonti di dati (ad es. applicazioni interne) è compresa nell’ambito dei servizi diimplementazione offerti da INTEGRA. Su richiesta è disponibile un software development kit (SDK) per lo sviluppo di adattatori.

CARATTERISTICHE HARDWARE E PRESTAZIONI

L’hardware per ILM è composto un numero variabile da 3 a un centinaio di unità elaborative interconnesse da una rete LAN privata ed una rete LAN pubblica. I processi di acquisizione, arricchimento, archiviazione e interrogazione operano in parallelo su tutte le unità del cluster sfruttando la rete LAN privata per il coordinamento e lo scambio di dati. Il sistema si connette con la rete aziendale tramite la LAN pubblica.

Un singolo cluster può acquisire un volume massimo di 4,5 TB al giorno (non compressi). I tempi di risposta in interrogazione sono tipicamente nell’ordine dai 3 ai 15 secondi e possono essere ottimizzati in funzione del tipo di interrogazioni che l’utente effettua con maggiore frequenza.

Le prestazioni di una configurazione sono generalmente proporzionali al numero di unità di cui è composto il cluster.

Ciascuna unità elaborativa è costituita da un server con le seguenti caratteristiche:

CPU: x86 IA64
RAM: 2 GB + 2GB per CPU core
HD: RAID SATA o SAS
Rete: 2 x Gigabit Ethernet

Il volume di dati archiviabile è proporzionale alla somma delle unità di memoria appartenenti ad ogni unità. Le unità HD per ciascuna unità sono da allocare in funzione del quantitativo di dati immagazzinato quotidianamente ed il periodo di conservazione online.

Ad esempio, per acquisire un volume di 100 GB giornalieri e mantenere in linea 36,5 TB (un anno di conservazione) con tempi di riposta in interrogazione medi inferiori ai 10 secondi si suggerisce una configurazione con 6 unità biprocessore e 4 hard disk da 250 GB per unità singola.

FAQ

Come si colloca ILM nel mercato SIEM (Security Information & Event Management)?

Secondo Gartner il mercato dei prodotti di Security Information e Event Management (SIEM) è determinato dall’esigenza di analizzare eventi di sicurezza in tempo reale (per la gestione di minacce ed incidenti, primariamente rispetto ad eventi di rete) e di analizzare e valutare log di sicurezza (per monitorare la conformità con le politiche di sicurezza, primariamente rispetto ad eventi di applicazioni e sistemi). Negli ultimi anni i budget di spesa si sono spostati progressivamente verso l’area del log management, in linea con la volontà delle aziende a voler porre l’attenzione sull’operato di utenti autorizzati. ILM si colloca in quest’area, detta SIM (security information management), integrandosi con i sistemi di security event management (SEM) fornendo eventi da correlare, acquisendo segnalazioni di allarme e facilitando agli operati del SOC nella ricostruzione degli eventi.

Come nasce l’idea di sviluppare un prodotto?

Dal 2000 INTEGRA ha realizzato sistemi di audit e log management avvalendosi di prodotti di terze parti. In questo periodo, INTEGRA è stata distributore esclusivo di Consul InSight (ora IBM Tivoli Compliance InSight Manager) fino all’acquisizione di Consul da parte di IBM. Successivamente, Integra è diventata partner di SenSage, occupandosi anche di realizzare degli add-on per SanSage che replicassero funzionalità assenti in SenSage e presenti in Consul. Operando nei più grandi progetti di Log Management realizzati in Italia (all’avanguardia europea per via delle imposizioni del Garante per la Privacy), INTEGRA ha consolidato la convinzione che l’esigenza primaria del mercato fosse quella di riuscire ad elaborare, a costi ragionevoli, grandi volumi di dati per fornire all’utente finale l’accesso immediato al dato originale, in combinazione con un modello più ricco e consolidato. Nel perseguire questo obiettivo, Integra ha avviato una collaborazione a livello internazionale con aziende leader a livello tecnologico ed ha stipulato accordi per integrare tecnologie d’avanguardia nel proprio prodotto.

Perchè ILM è un middleware?

La maggior parte di prodotti di log management presenti sul mercato dispone di una propria interfaccia per la consultazione e reportistica dei dati di log, ignorando il fatto che sul mercato si possono trovare prodotti di business intelligence con ben più elevate capacità di interazione ed analisi e ad un costo nettamente più competitivo. Piuttosto che vincolare l’utente all’utilizzo della propria interfaccia di analisi e reportistica, ILM si integra con prodotti di mercato (ad es. Business Objects, MicroStrategy, Cognos, SAS Insititute, Oracle, Hyperion). L’utente è libero di scegliere con quale prodotto sviluppare l’interfaccia di analisi e reportistica, capitalizzando eventuali investimenti già fatti in tema business intelligence.

---

Per richiedere ulteriori informazioni si prega di contattarci direttamente info@integra-group.it