Capacità di reazione alle violazioni PANORAMICA

Transcript

1 E U C A L E L E R COLMA I D À IT C A P A ELLA C I IO Z A L IO V E REAZIOE ALL ITY R U C E S L A D I T APPROFODIME UCIL O C IO T A V O I FOR BUSIESS

2 PAORAMICA Questo e-book contiene informazioni dettagliate sulla resilienza, sulla risposta e sulla capacità di reazione alle violazioni ottenute da una serie di interviste approfondite con il Security for Business Innovation Council (SBIC) 1. Il SBIC è costituito da un gruppo di dirigenti della sicurezza orientati al futuro provenienti da imprese globali, impegnati a migliorare lo stato della sicurezza delle informazioni a livello mondiale attraverso la condivisione di informazioni approfondite tratte dalla propria esperienza personale nel mondo reale. I benchmark sulla capacità di reazione per il settore a livello generale derivano da un survey globale effettuato su 170 professionisti della sicurezza in 30 paesi. Vengono fornite misure nell'ambito delle quattro aree principali di capacità di reazione alle violazioni e risposta agli incidenti: intelligence dei contenuti, indagine e analisi, threat intelligence e risposta agli incidenti. Grazie al confronto e all'analisi delle differenze tra le risposte dei leader di settore e il panorama generale, possiamo fornire suggerimenti su cui basare azioni concrete per realizzare un programma preventivo di risposta e capacità di reazione alle violazioni. 1 Vedere l'appendice per un elenco completo dei responsabili e delle organizzazioni di SBIC 2

3 RISPOSTA AGLI ICIDETI La risposta agli incidenti è un approccio organizzato per il trattamento degli eventi avversi sospetti o accertati che riguarda la sicurezza delle reti o dei sistemi di computer. I processi efficaci di risposta agli incidenti consentono di gestire gli eventi in modo da limitare i danni e ridurre il costo e il tempo di ripristino. La pianificazione della risposta agli incidenti deve costituire un processo dinamico. Le organizzazioni che non riescono a valutare e migliorare i piani di risposta agli incidenti espongono il proprio business a rischi maggiori. 100% 67% of SBIC members formally use intelligence and key learnings gleaned from security incidents to improve response processes. SBIC 70% 57% of the non-sbic group infrequently or never review or update those plans. At Large Have formal Incident Response plans in place. "Le persone e il processo rivestono un ruolo più cruciale della tecnologia, poiché quest'ultima fa riferimento alla risposta agli incidenti. Innanzitutto, un team che si occupa di sicurezza deve aver definito chiaramente i ruoli e le responsabilità per evitare confusione nei momenti critici. Ma è altrettanto importante disporre della visibilità e di workflow omogenei durante una qualsiasi crisi rilevante per la sicurezza, così da assicurare responsabilità e coerenza e permettere alle organizzazioni di migliorare nel tempo le procedure di risposta." Ben Doyle, Chief Information Security Officer, Thales Australia e uova Zelanda 3

4 ITELLIGECE DEI COTEUTI L'intelligence dei contenuti è uno stato di situational awareness acquisito attraverso strumenti, tecnologie e processi adottati dalle organizzazioni per identificare e monitorare gli asset critici e diffondere actionable intelligence per l'analisi e la risposta. I membri del SBIC dispongono di team esperti in sicurezza informatica il cui compito è identificare e implementare tecnologie volte ad ampliare l'intelligence dei contenuti. La condivisione delle informazioni è un processo continuo e istituzionalizzato. 100% 45% 92% 60% 90% SBIC At Large 50% "Le organizzazioni devono continuamente affinare il loro approccio alla raccolta delle informazioni. Quanto è opportuno e fattibile tale approccio? È prezioso per il business? Se non venisse attuato, saremmo sommersi da informazioni e perdite virtuali" Tim McKnight, Global Chief Information Security Officer, General Electric Have a security focused log aggregation and correlation solution in place to provide centralized alerting of suspicious activity Utilize asset criticality and/or vulnerability data during daily operations and incident management Identify and reduce false positives 4

5 IDAGII E AALISI Le indagini riguardano l'acquisizione, la registrazione e l'analisi della rete e dei dati host per rivelare l'origine degli attacchi o di altri incidenti. Le indagini rappresentano una funzionalità chiave per l'identificazione di campagne di attacco e attacchi avanzati e sofisticati. 83% 42% 83% 72% SBIC At Large "È importante utilizzare sia le risorse interne che esterne per il rilevamento e l'analisi del malware. Con l'ausilio di terze parti, le organizzazioni possono capire meglio cosa accade al loro interno e sfruttare queste informazioni per prepararsi contro gli attacchi futuri." Dave Martin, Chief Trust Officer, RSA Have in place a live network forensics capability such as a tool(s) with full packet capture and analysis Have a live host forensics capability 5

6 THREAT ITELLIGECE La threat intelligence è il processo che mira a raccogliere e sintetizzare i dati sulle minacce esterne e interne per implementare procedure di rilevamento, indagine e risposta a eventi di sicurezza. 100% 60% 100% 83% use this data in daily cyber security operations. 43% SBIC At Large "Le operazioni di sicurezza devono mantenere un determinato livello di flessibilità. A fronte degli eventi zero-day e di altri tipi di attacchi più complessi da capire, i team dedicati alla sicurezza devono essere agili e adattivi. I servizi di sottoscrizione sono una buona soluzione per ampliare il team se le risorse in questo ambito sono limitate." Jerry Geisler, Senior Director, Information Systems Security Operations, Office of the Chief Information Security Officer, Walmart Have an active vulnerability management program to identify, investigate, assess and remediate potential points of breaches. Augment internal Threat Intelligence with data from external sources. 6

7 ALTRI I T E IM D APPROFO 7

8 ALTRI APPROFODIMETI GESTIOE E RISPOSTA AGLI ICIDETI Le modalità con cui vengono assegnate la priorità agli incidenti e tracciati gli eventi possono influire notevolmente sull'efficacia della risposta a una violazione. Molte organizzazioni si affidano tuttora a un sistema manuale e decentralizzato per tenere traccia degli incidenti nella sicurezza. In alcuni casi, si tratta per lo più di un foglio di calcolo aggiornato al momento dall'analista della sicurezza. Tale approccio rende difficile assicurare la governance, tenere traccia dei sistemi di risoluzione degli incidenti e offrire informazioni approfondite nel miglioramento del processo nel tempo. Le organizzazioni devono adottare un sistema dedicato basato su workflow che assicuri visibilità completa, dalla raccolta degli alert all'escalation e alla creazione degli incidenti attraverso la mitigazione, il contenimento, l'analisi e la correzione. Tra gli intervistati del SBIC, solo il 58% adotta un sistema di gestione dei rischi e del workflow dedicato per le operazioni di sicurezza volto a monitorare e gestire gli incidenti. Da ultimo, l'esecuzione di test su base periodica aumenta le possibilità che le procedure di risposta agli incidenti siano implementate secondo i programmi quando necessario. Tra i membri del SBIC, solo il 92% dispone di un processo formale in atto per testare il proprio programma di risposta agli incidenti almeno una volta l'anno. Le strategie nella lotta informatica consentono di identificare le aree di miglioramento e assicurare che livelli adeguati di attenzione, staff e budget siano destinati a queste applicazioni di elevato valore e all'infrastruttura di dati vulnerabile. ITELLIGECE DI COTEUTI Istituire un'intelligence di contenuti rappresenta un primo passo cruciale per la creazione di un programma di risposta e capacità di reazione alle violazioni. Le organizzazioni devono utilizzare al meglio le tecnologie di data collection per acquisire una visibilità ampia e approfondita nell'attività in tutto l'ambiente. Deve sussistere la capacità di fornire un rilevamento automatizzato delle anomalie con un team o una risorsa dedicati per analizzare gli incidenti potenziali individuati attraverso la tecnologia. Lo sviluppo dell'intelligence di contenuti è un processo continuo. I membri del SBIC, che attuano protocolli avanzati di risposta e capacità di reazione alle violazioni, esortano al miglioramento continuo. Il 58% dei membri intervistati ha dichiarato che sebbene disponga di un sistema di aggregazione centrale per i dati di sicurezza e l'automazione degli avvisi, risulta comunque difficile assicurare la copertura di tutti gli asset critici. I falsi positivi costituiscono un altro problema. L'analisi degli incidenti di falsi positivi consente l'adattamento dei sistemi di intelligence dei contenuti. Tra i membri del SBIC, il 50% non dispone di un processo formale. Molte aziende non tengono in considerazione l'aspetto dei falsi positivi. Le organizzazioni dovrebbero cercare costantemente di aumentare le fonti di intelligence dei contenuti. Secondo i membri del SBIC, la condivisione dei dati tra i team interni è cruciale sia attraverso comunicazioni out-of-band regolari sia attraverso strumenti di governance, rischi e conformità centralizzati. L'obiettivo è abbattere i silos esistenti. 8

9 ALTRI APPROFODIMETI IDAGII E AALISI Le indagini e l'analisi delle reti sono essenziali per migliorare le capacità di reazione alle violazioni. Le organizzazioni che si basano sulla sola analisi dei registri presentano molti punti ciechi potenziali. Attraverso la correlazione di pacchetti di rete e altri dati di sicurezza, le organizzazioni possono scoprire l'esistenza di attacchi non rilevati dagli strumenti basati su firma e SIEM incentrati su registri. L'analisi del malware è una tecnica di indagine standard che fa parte della maggior parte delle strategie di risposta e reazione alle violazioni. Grazie alla comprensione delle modalità operative e degli obiettivi del malware, le organizzazioni possono far fronte alle vulnerabilità degli endpoint e della rete per migliorare il rilevamento degli attacchi e i sistemi di difesa. Tuttavia, gli attacker continuano ad affinare le proprie tecniche a fronte di questi strumenti, avanzando molti attacchi che non possono essere rilevati con gli engine di analisi. Gli strumenti di indagine per l'analisi dinamica e statica dell'utilizzo della memoria, delle connessioni di reti aperte, dei processi in esecuzione dei log degli eventi possono dimostrare l'esistenza di intrusioni e attacchi mirati nascosti. L'83% dei membri SIBC intervistati dispone di funzionalità di indagine host in tempo reale, malgrado tali strumenti siano implementati su vari livelli funzionali e non utilizzati da tutti nel processo di indagine. THREAT ITELLIGECE Secondo l'sbic, è necessario estrarre i dati sulle minacce riportati di seguito per migliorare la risposta e capacità di reazione alle violazioni: Dati di vulnerabilità Dati sulle minacce open source Feed di threat intelligence esterni da terze parti Le organizzazioni non dovrebbero tuttavia affidarsi completamente alla threat intelligence. Anche gli attacker sottoscrivono i feed delle minacce, creando attacchi per evitare l'utilizzo di indicatori chiave che possono ridurre l'efficacia contro le campagne sofisticate. I dati di vulnerabilità associati alla determinazione dell'importanza delle risorse di informazioni (ad esempio mission-critical, business-critical) offrono il contesto aziendale che consente alle organizzazioni di assegnare priorità nell'allocazione delle risorse. 9

10 L'AZIEDA È PROTA A REAGIRE ALLE VIOLAZIOI? Domande fondamentali nel quattro categorie principali di risposta e capacità di reazione alle violazioni Risposta agli incidenti L'organizzazione dispone di un processo di risposta agli incidenti definito formalmente e basato su documenti? Esistono criteri di assunzione definiti e programmi di formazione per sviluppare risorse umane IR efficienti? È disponibile un sistema che consente allo staff di assegnare priorità alle risposte agli incidenti? Se l'organizzazione venisse informata da terze parti, ad esempio dalle autorità giudiziarie, dell'esistenza di una violazione alla sicurezza all'interno della rete aziendale, saprebbe chiaramente quali sono i passaggi di risposta richiesti? Qual è la frequenza con cui vengono testate le funzionalità di risposta agli incidenti? Intelligence dei contenuti L'organizzazione dispone in questo momento di una soluzione di data collection incentrata sulla sicurezza per fornire avvisi centralizzati e avviare indagini su attività sospette? L'organizzazione prevede una funzione/un team dedicato per lo sviluppo e il test di nuovi contenuti per le tecnologie di sicurezza? Esistono misure in atto volte a identificare e ridurre i falsi positivi? L'organizzazione integra i dati di criticità degli asset o altre misurazioni dei rischi per creare un'intelligence di contenuti su cui basare azioni più concrete? Indagini e analisi L'organizzazione ha adottato sistemi di indagine della rete in tempo reale, come strumenti per l'acquisizione e l'analisi completa dei pacchetti? Attualmente l'organizzazione di sicurezza ha una funzione di analisi del malware? Esiste una funzionalità di indagine host "in tempo reale"? Threat intelligence L'organizzazione ha attuato un programma di gestione delle vulnerabilità? Il team addetto alla sicurezza si occupa di esaminare i dati sulle minacce per classificare e assegnare priorità ai dati per l'utilizzo nelle operazioni di routine? Il programma interno di operatività sulla sicurezza utilizza dati di threat intelligence open source per l'utilizzo nelle operazioni di routine? Il programma interno di operatività sulla sicurezza acquista dati di threat intelligence esterni per l'utilizzo nelle operazioni di routine? L'organizzazione analizza su base periodica le "lezioni" apprese a seguito degli incidenti di sicurezza per generare informazioni che confluiscono nuovamente nelle operazioni di sicurezza per un perfezionamento continuo? 10

11 SECURITY FOR BUSIESS IOVATIO COUCIL Marene Alison* - World Wide VP of Information Security, Johnson & Johnson Anish Bhimani* - Chief Information Officer, Commercial Banking, JP Morgan Chase William Boni - Corporate Information Security Officer (CISO) e Vice President, Enterprise Information Security, T-Mobile USA Roland Cloutier* - Vice President, Chief Security Officer, Automatic Data Processing, Inc. Dr. Martijn Dekker* - Senior Vice President, Chief Information Security Officer, AB Amro Ben Doyle* - Chief Information Security Officer, Thales Australia e uova Zelanda Jerry R. Geisler III* - Office of the Chief Information Security Officer, Walmart Stores, Inc. Malcolm Harkins - Vice President, Chief Security e Privacy Officer, Intel Kenneth Haertling* - Vice President e Chief Security Officer, TELUS Dave Martin*- Former Vice President e Chief Security Officer, EMC Corporation, Chief Trust Officer, RSA Timothy McKnight* - Global Chief Information Security Officer, General Electric Kevin Meehan* - Vice President e Chief Information Security Officer, The Boeing Company Philip Hong Sun, Kim - Executive Vice President e Chief Security Information Officer, Standard Chartered Bank of Korea David Powell - Head of IT Security, ational Australian Bank Robert Rodger - Group Head of Infrastructure Security, HSBC Holdings plc. Ralph Salomon - Vice President Security, Processes & Compliance Office, SAP Cloud and Infrastructure Delivery Vishal Salvi* - Chief Information Security Officer e Senior Vice President, HDFC Bank Limited Denise D. Wood* - Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation *Membri del SBIC che hanno partecipato a questo survey 11

12 Capacità di reazione alle violazioni EMC2, EMC, il logo EMC, RSA e il logo RSA sono marchi o marchi registrati di EMC Corporation negli Stati Uniti e in altri paesi. Copyright 2015 EMC Corporation. Tutti i diritti riservati. Pubblicato in Italia. 04/15 ebook H14105