Centro Assistenza ACSIA

Architettura di ACSIA XDR Plus V6.x.x

Claudio Proietti
Claudio Proietti
  • Aggiornato

Componenti tecniche

Questo documento descrive il design e l'architettura e le soluzioni per la sicurezza di ACSIA XDR Plus e dei suoi maggiori componenti.

 

1. Piattaforma base

L'applicativo ACSIA viene eseguito su qualsiasi delle principali distribuzioni Linux e può essere implementato su una piattaforma fisica, virtuale, container o cloud. Per i requisiti hardware/software minimi/raccomandati, consigliamo di consultare la nostra ultima guida all'installazione, disponibile nella nostra knowledge base.

 

2. ACSIA Engine

Il central engine di ACSIA è scritto nel framework Java Spring che comprende Spring Boot, Spring Data e Spring Rest.

 

3. Frontend di ACSIA 

Il frontend è un'interfaccia API REST che effettua chiamate al backend utilizzando React.js e la libreria Chakra UI.

 

4. Sicurezza di ACSIA XDR Plus

ACSIA è dotata dei seguenti componenti di sicurezza integrati:

  • OAuth2 - Accesso delegato sicuro
  • Autenticazione a più fattori - Autenticazione a 2 fattori
  • TLS per comunicazioni sicure tra i client
  • Pwgen - Generatore di password forti casuali


5. Strumenti Open Source di ACSIA

Esistono diversi strumenti Open Source utilizzati dal motore analitico di ACSIA, tra cui i seguenti:

Ansible Bc Binds-utils Docker
Dsnif ElasticBeats Falco Httpd-tools
Logstash Lucene MySQL OpenDashboard
OpenSearch OSQuery (Agent) OSSec Postfix
Python pip RabbitMQ Sysmon (Agent) Sysstat
Unbound (Agent) Wazuh Wget Whois

 

6. Metodo di virtualizzazione ACSIA

ACSIA utilizza Docker (Linux Containers) che è un metodo di virtualizzazione a livello di sistema operativo per l'esecuzione di più sistemi Linux isolati (container) su un host di controllo utilizzando un singolo kernel Linux.


7. Sistema di gestione della configurazione ACSIA

ACSIA utilizza Ansible playbooks per automatizzare il provisioning del software, la gestione della configurazione e l'implementazione dell'applicazione.


8. Database di ACSIA

ACSIA utilizza due database distinti, che per motivi di sicurezza sono separati come segue:

  • MariaDB/MySQL
  • MongoDB (OpenSearch)


9. ACSIA Message Broker

L'architettura ACSIA include RabbitMQ, il message broker open source più diffuso.


10. Ambiente SIEM

ACSIA utilizza gli strumenti Elastic Stack per il suo collettore di log centralizzato SIEM (Security Information and Event Management) insieme ai seguenti strumenti:

  • Open Search
  • OpenDashboard
  • Lucene
  • Logstash
  • Wazuh
  • ElasticBeats (log shippers)
  • OSSEC agents (log shipper)


11. Firewall di ACSIA

ACSIA è dotato di un firewall incorporato basato sui singoli host. Il firewall ha caratteristiche innovative come l'eliminazione delle connessioni TCP stabilite, il ban di indirizzi IP nella tabella di routing, l'inserimento in blacklist e whitelist di indirizzi IP e il blocco di singoli utenti (host-based).

La funzione "Kill Connection" (host-based) è implementata utilizzando il Berkeley Packet Filter (BPF), che fornisce un'interfaccia grezza ai data link layers, consentendo l'invio e la ricezione di pacchetti grezzi del link-layer e quindi la possibilità di bloccare i pacchetti indesiderati nel TCP stack.

 

12. Client Agent 

Un Client Agent leggero è stato distribuito in ACSIA dalla v4 e utilizza ElasticBeats per raccogliere i seguenti dati:

  • System Logs
  • Web Application Logs
  • Audit Logs
  • Network Traffic
  • Kernel/Registry Logs
  • Compliance Related Logs

Il suddetto ElasticBeats è raggruppato in un unico agente client per i sistemi operativi Windows, Linux e MAC OS e può essere scaricato dall'interfaccia utente di ACSIA (consulta la Guida per l'utente e l'amministrazione) e verrà installato automaticamente una volta eseguito l'eseguibile scaricato. L'agente ACSIA consolida tutte le porte di comunicazione in un'unica porta che è 443 (HTTPS) e 444 (TCP/UDP).


13. Log Shipping

I Beat forniti da Open Search sono utilizzati come log shipper per trasferire i vari file di log al Security Information Event Manager di ACSIA. I volumi di dati coinvolti sono minimi (misurati in kilobit), pertanto non vi è alcun sovraccarico di prestazioni sul client o sulla rete durante l'installazione di ACSIA. 

I certificati client-server criptano tutto il traffico dei client utilizzando la Transport Layer Security (TLS V1.2 o successiva).


Design dell'architettura

14. High-Level Architectural Block View

Il prodotto ACSIA XDR Plus incorpora le funzionalità di Endpoint Detection and Response (EDR) con Intrusion Prevention (IPS) e Intrusion Detection Systems (IDS) in un'unica piattaforma, il tutto supportato dal nostro sistema Security Information and Event Management (SIEM) in tempo reale. 

Abbiamo poi migliorato l'Extended Detection and Response (XDR) includendo un feed predittivo di Threat Intelligence che vieta l'accesso alla rete a indirizzi IP errati, nodi di uscita anonimi e fonti di malware. Eliminando così la possibilità che queste fonti di minaccia possano individuare la vostra infrastruttura di rete. Per questo motivo il prodotto viene definito ACSIA XDR Plus. 

 

Nessun dato di Endpoint di alcun tipo viene esportato o condiviso da ACSIA a terzi (inclusa 4Securitas). L'applicazione ACSIA viene installata sull'infrastruttura del cliente senza condividere, distribuire o copiare i dati al di fuori della sede del cliente.

Fig_1_in_Architecture_Doc.jpg

Fig 1: Architectural Block View 

 

L'integrazione delle funzioni predittive, proattive, EDR, IDS e IPS in un unico Application Engine, facilita l'acquisizione e la correlazione di più tipi di eventi per un rilevamento analitico di qualità superiore, una remediaton automatizzata e un miglioramento continuo grazie all'intelligenza artificiale e un miglioramento continuo attraverso l'applicazione di funzioni di intelligenza artificiale e machine learning.


15. Diagramma del flusso di lavoro interno di ACSIA XDR Plus

Il diagramma del workflow (fig. 2) illustra il flusso architetturale di ACSIA e i punti di integrazione con i componenti open source descritti in precedenza in questo documento. 

Mostra anche il flusso di lavoro del server ACSIA, in cui i dati provenienti dai client vengono ricevuti da "logstash" e memorizzati in forma non strutturata nel database "OpenSearch". Il flusso di dati viene accodato e gestito dal message broker "RabbitMQ" che notifica l'analizzatore contenente l'engine centrale di ACSIA. 

I dati analizzati vengono arricchiti e visualizzati nell'interfaccia web di ACSIA (come avvisi, messaggistica, notifiche ecc.) e archiviati in un database MySQL. 

OpenDashboard formatta tutti i dati OpenSearch e li presenta all'utente finale.

ACSIA-Internal-Workflow.png

Fig 2: Diagramma del Workflow interno

 

16. Diagramma del flusso di dati dell'agente client ACSIA XDR Plus

Il seguente diagramma di flusso (fig. 4) mostra come l'installazione dell'agente interagisce con ACSIA inviando i propri log in tempo reale attraverso una porta sicura consolidata, come la 443. Tutti i componenti open source utilizzati da ACSIA vengono eseguiti all'interno di container Docker, con la sola eccezione dell'engine analitico di ACSIA.

img_AGENT.jpg


Fig 4: Client Agent Data flow Diagram