Gruppo di lavoro
Big data for security
evaluation (monitoring,
external/internal threats)
CIS, CNR, UNIFI, UNINA,
UNIPARTHENOPE, UNICAL
Descrizione del tavolo
1. Real-time event monitoring to support policy
enforcement (UniParthenope),
2. Security evaluation against external and insider
threats (UniFi),
3. Combining models and experiments to improve
dependability and security evaluation (UniFi),
4. Data-Driven Reliability and Security Analysis
(UniNA),
5. Detecting suspicious events/activities based on
attack models (UNICAL)
- Partecipanti tavolo: max n°12 persone
- Argomenti di interesse rilevati: 4
Collaborazioni Long e Short term
• Collaborazioni Long Term
– NUMERO 3 UNINA-CIS-UNIFI- UNICAL:
Monitoring con granularità adattiva
• Collaborazioni Short Term
– NUMERO 1 UNIPARTHENOPE-CNR-(POLITO) :
Real-time event monitoring to support policy
enforcement in Critical Infrastructure
– NUMERO 2 UNINA-UNICAL: Analisi di tracce di
esecuzione ed estrazione di modelli graph-based
– NUMERO 4 UNIFI-CNR: analisi minacce e modelli
di policy
Problematiche e macro-obiettivi
Problemi identificati
• Mancanza di dati o di sistemi realmente complessi (non
abbiamo big data, nè in termini di dimensione e
complessità di log, né di sistemi in esecuzione)
– Un punto chiave della discussione è stata la condivisione di
case study e/o dati già disponibili
• avere descrizioni di attacchi/malfunzionamenti da
esperti di dominio e tracce di eventi che includono
istanze di tali modelli
Macro-obiettivi e proposte:
• (pubblicazioni, partecipazioni workshops, etc)
• Produrre e distribuire sul web site di TENACE dataset
che possano mitigare il problema identificato
Collaborazione 1:
UNIPARTHENOPE-CNR-(POLITO)
• Real-time event monitoring to support policy
enforcement in Critical Infrastructure
• Obiettivi
– Avanzamento delle tecnologie per il monitoraggio
in tempo reale degli eventi di sicurezza nelle
infrastrutture critiche
– Definizione di supporti decisionali
– Integrazione con sistemi di reazione agli attacchi
basati sulla ridefinizione delle politiche di
sicurezza
– Progettazione di un sistema autonomico
Collaborazione 1:
Architettura del sistema
Monitored Infrastructures
Data/Event
Sources
Correlator
Security
(e.g. SIEM
Information
based) Alarms Decision
Collector
Support
(Uniparthe
(UniPart/
System
Normalized
nope)
POLITO)
(CNR/POLITO)
Events
Data/
Events
Policy
Enforcement
Point
(UNIPARTHEN
OPE/POLITO)
DB
Reaction
System
(POLITO)
Collaborazione 1:
Tecnologie ed interessi
• Raccolta ed analisi dati:
– Security Information and Event Management
(SIEM) (UNIPARTHENOPE)
– Pattern matching (UNIPARTHENOPE)
• Strumenti decisionali:
– Risk Assessment basata su modelli quantitativi
(probabilistici) (CNR)
– Tecniche basate su forward chaining (POLITO)
• Reaction basata su OrBAC (POLITO)
– PolyOrBAC ?
Collaborazione 2
UNINA-UNICAL
• Analisi di tracce di esecuzione ed estrazione
di modelli graph-based
• Obiettivi
– Generazione di log di eventi rappresentanti tracce
di esecuzione
– Estrazione di modelli da log di eventi
– Utilizzo dei modelli estratti quali
• modelli predittivi di attacco/malfunzionamento
• modelli descrittivi di comportamento lecito/atteso
– individuazioni di “pattern d’interesse” in base alla
conformance dei modelli
Collaborazione 2:
Architettura del sistema
Instrumented
Software
(rule-based logging)
(UNINA)
Event
Collector
Normalized
(UNINA)
Events
Model
Extraction
(UNICAL)
Log events
DB
Conformance
Analysis
(UNICAL)
Pattern
detection
Collaborazione 3
UNINA-CIS-UNIFI- UNICAL
• Monitoring con granularità adattiva
• Scenario
– Nei sistemi complessi e eterogenei,
l’infrastruttura di monitoring comprende sonde
hw/sw che guardano un elevato numero di
parametri ai diversi livelli logici
• Obiettivo
– Ridurre il costo/impatto dell’infrastruttura di
monitoring senza avere un impatto negativo
sull’accuratezza del monitoraggio
Collaborazione 3:
Monitoring con granularità adattiva
Approccio
• Caratterizzare comportamento dei parametri
osservati in caso di presenza/assenza guasti o
attacchi
• Configurazione adattiva del sistema di
monitoring per definire differenti livelli di
attivazione (sottoinsiemi) delle sonde
• Primi punti aperti:
– Quali modelli usare per decidere quali sonde
attivare e quando? (modello per attack graph
UNICAL?)
Collaborazione 3:
Competenze ed interessi
• UNIFI: monitoring di Application Server (fine
grained) e studio qualità parametri
• UNICAL: event model
• UNINA: analisi dei dati collezionati
• CIS: infrastruttura di calcolo e analisi per
stream di dati
Collaborazione 4
UNIFI-CNR
Descrizione
• (dato un modello –SAN?-) Analisi quantitativa delle
minacce da parte di potenziali insiders permette di
definire path di attacco e possibili mitigazioni
• Output da analisi per definire strategie di monitoring a
run-time e policy usando indicatori quantitativi
Next step
• Partecipanti principali: Nicola, Ilaria possono interagire
anche vis-à-vis con buona frequenza
• Previsto primo meeting per seconda metà Novembre
per una definizione più precisa di un obiettivo a breve
termine
Scarica

Document