Gruppo di lavoro Big data for security evaluation (monitoring, external/internal threats) CIS, CNR, UNIFI, UNINA, UNIPARTHENOPE, UNICAL Descrizione del tavolo 1. Real-time event monitoring to support policy enforcement (UniParthenope), 2. Security evaluation against external and insider threats (UniFi), 3. Combining models and experiments to improve dependability and security evaluation (UniFi), 4. Data-Driven Reliability and Security Analysis (UniNA), 5. Detecting suspicious events/activities based on attack models (UNICAL) - Partecipanti tavolo: max n°12 persone - Argomenti di interesse rilevati: 4 Collaborazioni Long e Short term • Collaborazioni Long Term – NUMERO 3 UNINA-CIS-UNIFI- UNICAL: Monitoring con granularità adattiva • Collaborazioni Short Term – NUMERO 1 UNIPARTHENOPE-CNR-(POLITO) : Real-time event monitoring to support policy enforcement in Critical Infrastructure – NUMERO 2 UNINA-UNICAL: Analisi di tracce di esecuzione ed estrazione di modelli graph-based – NUMERO 4 UNIFI-CNR: analisi minacce e modelli di policy Problematiche e macro-obiettivi Problemi identificati • Mancanza di dati o di sistemi realmente complessi (non abbiamo big data, nè in termini di dimensione e complessità di log, né di sistemi in esecuzione) – Un punto chiave della discussione è stata la condivisione di case study e/o dati già disponibili • avere descrizioni di attacchi/malfunzionamenti da esperti di dominio e tracce di eventi che includono istanze di tali modelli Macro-obiettivi e proposte: • (pubblicazioni, partecipazioni workshops, etc) • Produrre e distribuire sul web site di TENACE dataset che possano mitigare il problema identificato Collaborazione 1: UNIPARTHENOPE-CNR-(POLITO) • Real-time event monitoring to support policy enforcement in Critical Infrastructure • Obiettivi – Avanzamento delle tecnologie per il monitoraggio in tempo reale degli eventi di sicurezza nelle infrastrutture critiche – Definizione di supporti decisionali – Integrazione con sistemi di reazione agli attacchi basati sulla ridefinizione delle politiche di sicurezza – Progettazione di un sistema autonomico Collaborazione 1: Architettura del sistema Monitored Infrastructures Data/Event Sources Correlator Security (e.g. SIEM Information based) Alarms Decision Collector Support (Uniparthe (UniPart/ System Normalized nope) POLITO) (CNR/POLITO) Events Data/ Events Policy Enforcement Point (UNIPARTHEN OPE/POLITO) DB Reaction System (POLITO) Collaborazione 1: Tecnologie ed interessi • Raccolta ed analisi dati: – Security Information and Event Management (SIEM) (UNIPARTHENOPE) – Pattern matching (UNIPARTHENOPE) • Strumenti decisionali: – Risk Assessment basata su modelli quantitativi (probabilistici) (CNR) – Tecniche basate su forward chaining (POLITO) • Reaction basata su OrBAC (POLITO) – PolyOrBAC ? Collaborazione 2 UNINA-UNICAL • Analisi di tracce di esecuzione ed estrazione di modelli graph-based • Obiettivi – Generazione di log di eventi rappresentanti tracce di esecuzione – Estrazione di modelli da log di eventi – Utilizzo dei modelli estratti quali • modelli predittivi di attacco/malfunzionamento • modelli descrittivi di comportamento lecito/atteso – individuazioni di “pattern d’interesse” in base alla conformance dei modelli Collaborazione 2: Architettura del sistema Instrumented Software (rule-based logging) (UNINA) Event Collector Normalized (UNINA) Events Model Extraction (UNICAL) Log events DB Conformance Analysis (UNICAL) Pattern detection Collaborazione 3 UNINA-CIS-UNIFI- UNICAL • Monitoring con granularità adattiva • Scenario – Nei sistemi complessi e eterogenei, l’infrastruttura di monitoring comprende sonde hw/sw che guardano un elevato numero di parametri ai diversi livelli logici • Obiettivo – Ridurre il costo/impatto dell’infrastruttura di monitoring senza avere un impatto negativo sull’accuratezza del monitoraggio Collaborazione 3: Monitoring con granularità adattiva Approccio • Caratterizzare comportamento dei parametri osservati in caso di presenza/assenza guasti o attacchi • Configurazione adattiva del sistema di monitoring per definire differenti livelli di attivazione (sottoinsiemi) delle sonde • Primi punti aperti: – Quali modelli usare per decidere quali sonde attivare e quando? (modello per attack graph UNICAL?) Collaborazione 3: Competenze ed interessi • UNIFI: monitoring di Application Server (fine grained) e studio qualità parametri • UNICAL: event model • UNINA: analisi dei dati collezionati • CIS: infrastruttura di calcolo e analisi per stream di dati Collaborazione 4 UNIFI-CNR Descrizione • (dato un modello –SAN?-) Analisi quantitativa delle minacce da parte di potenziali insiders permette di definire path di attacco e possibili mitigazioni • Output da analisi per definire strategie di monitoring a run-time e policy usando indicatori quantitativi Next step • Partecipanti principali: Nicola, Ilaria possono interagire anche vis-à-vis con buona frequenza • Previsto primo meeting per seconda metà Novembre per una definizione più precisa di un obiettivo a breve termine