1 / 14

Gruppo di lavoro Big data for security evaluation (monitoring, external/internal threats)

Gruppo di lavoro Big data for security evaluation (monitoring, external/internal threats). CIS, CNR, UNIFI, UNINA, UNIPARTHENOPE, UNICAL. Descrizione del tavolo. Real-time event monitoring to support policy enforcement ( UniParthenope ),

nen
Download Presentation

Gruppo di lavoro Big data for security evaluation (monitoring, external/internal threats)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. GruppodilavoroBig data for security evaluation (monitoring, external/internal threats) CIS, CNR, UNIFI, UNINA, UNIPARTHENOPE, UNICAL

  2. Descrizione del tavolo • Real-time event monitoring to support policy enforcement (UniParthenope), • Security evaluation against external and insider threats (UniFi), • Combining models and experiments to improve dependability and security evaluation (UniFi), • Data-Driven Reliability and Security Analysis (UniNA), • Detecting suspicious events/activities based on attack models (UNICAL) - Partecipantitavolo: max n°12 persone - Argomentidiinteresserilevati: 4

  3. Collaborazioni Long e Short term • Collaborazioni Long Term • NUMERO 3 UNINA-CIS-UNIFI- UNICAL: Monitoring con granularità adattiva • Collaborazioni Short Term • NUMERO 1 UNIPARTHENOPE-CNR-(POLITO) : Real-time event monitoring to support policy enforcement in Critical Infrastructure • NUMERO 2 UNINA-UNICAL: Analisi di tracce di esecuzione ed estrazione di modelli graph-based • NUMERO 4 UNIFI-CNR: analisiminacce e modellidi policy

  4. Problematiche e macro-obiettivi Problemi identificati • Mancanza di dati o di sistemi realmente complessi (non abbiamo big data, nè in termini di dimensione e complessità di log, né di sistemi in esecuzione) • Un punto chiave della discussione è stata la condivisione di case study e/o dati già disponibili • avere descrizioni di attacchi/malfunzionamenti da esperti di dominio e tracce di eventi che includono istanze di tali modelli Macro-obiettivi e proposte: • (pubblicazioni, partecipazioni workshops, etc) • Produrre e distribuire sul web site di TENACE dataset che possano mitigare il problema identificato

  5. Collaborazione 1: UNIPARTHENOPE-CNR-(POLITO) • Real-time event monitoring to support policy enforcement in Critical Infrastructure • Obiettivi • Avanzamento delle tecnologie per il monitoraggio in tempo reale degli eventi di sicurezza nelle infrastrutture critiche • Definizione di supporti decisionali • Integrazione con sistemi di reazione agli attacchi basati sulla ridefinizione delle politiche di sicurezza • Progettazione di un sistema autonomico

  6. Collaborazione 1: Architettura del sistema Security Information Collector (UniPart/POLITO) Correlator (e.g. SIEM based)(Uniparthenope) MonitoredInfrastructures DecisionSupport System (CNR/POLITO) Alarms Normalized Events Data/Event Sources Data/Events DB Reaction System (POLITO) Policy Enforcement Point (UNIPARTHENOPE/POLITO)

  7. Collaborazione 1: Tecnologie ed interessi • Raccolta ed analisi dati: • Security Information and Event Management (SIEM) (UNIPARTHENOPE) • Pattern matching (UNIPARTHENOPE) • Strumenti decisionali: • Risk Assessment basatasumodelliquantitativi(probabilistici) (CNR) • Tecniche basate su forwardchaining (POLITO) • Reaction basatasuOrBAC (POLITO) • PolyOrBAC?

  8. Collaborazione 2UNINA-UNICAL • Analisi di tracce di esecuzione ed estrazione di modelli graph-based • Obiettivi • Generazione di log di eventi rappresentanti tracce di esecuzione • Estrazione di modelli da log di eventi • Utilizzo dei modelli estratti quali • modelli predittivi di attacco/malfunzionamento • modelli descrittivi di comportamento lecito/atteso • individuazioni di “pattern d’interesse” in base alla conformance dei modelli

  9. Collaborazione 2: Architettura del sistema Model Extraction • (UNICAL) EventCollector (UNINA) InstrumentedSoftware (rule-basedlogging) (UNINA) Normalized Events Log events DB Patterndetection Conformance Analysis (UNICAL)

  10. Collaborazione 3UNINA-CIS-UNIFI- UNICAL • Monitoring con granularità adattiva • Scenario • Nei sistemi complessi e eterogenei, l’infrastruttura di monitoring comprende sonde hw/sw che guardano un elevato numero di parametri ai diversi livelli logici • Obiettivo • Ridurre il costo/impatto dell’infrastruttura di monitoring senza avere un impatto negativo sull’accuratezza del monitoraggio

  11. Collaborazione 3: Monitoring con granularitàadattiva Approccio • Caratterizzare comportamento dei parametri osservati in caso di presenza/assenza guasti o attacchi • Configurazione adattiva del sistema di monitoring per definire differenti livelli di attivazione (sottoinsiemi) delle sonde • Primi punti aperti: • Quali modelli usare per decidere quali sonde attivare e quando? (modello per attack graph UNICAL?)

  12. Collaborazione 3: Competenzeedinteressi • UNIFI: monitoring di Application Server (fine grained) e studio qualità parametri • UNICAL: event model • UNINA: analisi dei dati collezionati • CIS: infrastruttura di calcolo e analisi per stream di dati

  13. Collaborazione 4 UNIFI-CNR Descrizione • (dato un modello –SAN?-) Analisi quantitativa delle minacce da parte di potenziali insiders permette di definire path di attacco e possibili mitigazioni • Output da analisi per definire strategie di monitoring a run-time e policy usando indicatori quantitativi Nextstep • Partecipanti principali: Nicola, Ilaria possono interagire anche vis-à-vis con buona frequenza • Previsto primo meeting per seconda metà Novembre per una definizione più precisa di un obiettivo a breve termine

More Related