Agenda Contesto di riferimento e definizione di un SOC Generazioni di SOC: 1G->4G Formato dei messaggi: Common Event Format 5G e Nuove Tendenze

Transcript

1 New Generation SOC Marco Di Leo LA ISO27001 Alfredo Rinaldi CISSP, OpenCA Master, ITIL Security Summit Roma, 19/06/2014

2 Agenda Contesto di riferimento e definizione di un SOC Generazioni di SOC: 1G->4G Formato dei messaggi: Common Event Format 5G e Nuove Tendenze 2

3 Agenda Contesto di riferimento e definizione di un SOC Generazioni di SOC: 1G->4G Formato dei messaggi: Common Event Format 5G e Nuove Tendenze 3

4 Security Trend Worldwide ed Implicazioni Cyber threat Extended supply chain Financial loss Reputation damage Cost of protection Reactive vs. proactive 56% delle organizzazioni è stato vittima di attacchi 44% dei data breach ha coinvolto errori di terze parti $8.6M costo medio associato ad un data breach 30% riduzione di quota di mercato dovuta ai recenti avvenimenti 8% del budget totale IT speso in Sicurezza 60% delle aziende enterprise spende più tempo e denaro in misure reattive vs. Gestione del Rischio proattiva Punti Chiave La Sicurezza è una preoccupazione del Consiglio di Amministrazione La leadership di Sicurezza è sotto immensa pressione Bisogno di maggiore visibilità sul Business Risk e fare scelte oculate di investimenti di sicurezza 4 Source: Copyright HP internal 2013 Hewlett-Packard data, Forrester Development Research, Company, Ponemon L.P. Institute, The information Coleman contained Parkes herein Research is subject to change without notice. HP Restricted.

5 416 days average time to detect breach 2012 January February March April May June July August September October November December 2013 January February March April 5

6 Il Conundrum della sicurezza Sfide principali Un nuovo tipo di avversario 1 Natura e motivazione degli attacchi (hacktivist, stati nazione) Ricerca Infiltrazione Scoperta Cattura Exfiltration 2 Pressione regolatoria (rischio, costi, complessità in aumento) Contesto regolatorio NERC Sarbanes-Oxley Basel III PCI Security Standards Council 3 Trasformazione dell IT aziendale (cambiamenti di delivery e di bisogni) Delivery DC tradizionale Mobilità Big data Cloud 6

7 Il centro nevralgico Interno SecAdmin Monitoraggio Analisi delle intrusioni Report di sicurezza Esterno Compliance SOC AV Legal Gestione degli incidenti Security device management Access Control SIRT PR Infrastruttura di sicurezza Network operations NetSec HR NetEng 7

8 Benefici e driver delle Security Operations La sicurezza delle informazioni abilita i processi di business Riduce i rischi di sicurezza e di mancata conformità Limita i disservizi Contiene gli attacchi Aumenta la sicurezza Riduce il numero di eventi di sicurezza ad una lista gestibile Identifica e assegna le corrette priorità agli incidenti (automatizzando l analisi laddove possibile) Fornisce situational awareness delle minacce e dei rischi ai processi di business vitali Facilita una veloce remediation Permette di stabilire un workflow di sicurezza all interno dell azienda Requisiti di conformità e compliance a leggi, norme e standard 8

9 Security Operations Center Driver di Business SOC come abilitatore di business Raggiungere gli obiettivi di compliance Ridurre il costo dell impatto di un evento sfavorevole Limitare l esposizione e il tempo del disservizio Rispondere velocemente ad un attacco che impatta il business 9

10 SOC e Business Mitigare rischi Rilevare e prevenire o mitigare l impatto sul business Rilevare e prevenire frodi Riduzione dei costi Aumentare l efficienza tramite il monitoraggio centralizzato Rilevare e correggere errori di configurazione Aumentare l efficienza della compliance e consolidare ROI degli investimenti di sicurezza Pieno utilizzo degli investimenti di sicurezza Chargeback sulle business unit 10

11 Agenda Contesto di riferimento e definizione di un SOC Generazioni di SOC: 1G->4G Formato dei messaggi: Common Event Format 5G e Nuove Tendenze 11

12 1G SOC

13 1G SOC 1970 s Nascita di Internet: business non connesso oppure connesso su linee dati lente Programmi fastidiosi e codice malevolo a basso impatto Comparsa dei primi strumenti di sicurezza informatica Mondo militare e governi iniziano a costuire SOCs e CERTs 13

14 1G SOC - Cronologia 1972 Introduzione del primo modem full duplex a 1,200 bps 1974 Sviluppo di Ethernet 1979 Kevin Mitnick usa social engineering per accedere ai sistemi DEC tramite dial-in password reset 1981 Si moltiplicano le BBS (Hayes SmartModem 14.4kbs) con connettività erogata direttamente dal salotto di casa 1983 Esce il film War Games 1986 La Computer Fraud and Abuse Act and the Electronic Communications Privacy Act criminalizza l accesso abusivo ad un sistema informatico 1987 Christmas Tree Exec, primo software autoreplicante 1987 Viene creato tcpdump 1987 McAfee & Associates crea il software antivirus 1992 Viene rilasciato DEC SEAL, primo firewall commerciale 1993 Viene rilasciato Windows USAF crea il 67th Air Intelligence Wing (AFCERT) di stanza a Lackland AFB (San Antonio, TX) per focalizzarsi sulla Cyber Intelligence 1995 Wheelgroup lancia il primo intrusion detection system: NetRanger 14

15 1G SOC - Sorgenti dati firewalls intrusion detection network equipment 15

16 1G SOC- Processo di analisi dei log Questa porta è aperta? È effettivamente un attacco? payload port scan Per cosa viene usata? port lookup Come funziona questo attacco? dettagli della signature Che altro sta accadendo? eventi concorrenti : :1433 SQL Injection Attack 23Mar :003 user=jones traceroute Da dove proviene? analisi del address book traffico Cosa fa questa persona? Che timing ha? nslookup Quali altri sistemi sono coinvolti? 16

17 2G SOC

18 2G SOC Malware outbreak & intrusion detection MSSPs iniziano a offire SOC as a service ai clienti Viene introdotto il concetto di SEM 18

19 2G SOC - Cronologia 1996 Managed Security Provider inizano ad offrire servizi di gestione Firewall e IDS services (per es NetTrex) 1998 Viene creato SNORT, viene fondata Riptech 1999 Mitre crea il CVE repository/system 1999 Debutta la mailing list di sicurezza PacketStorm 1999 Il virus Happy99 attacca Outlook Express e augura agli utenti buon anno, il worm Melissa attacca MS Word 1999 Viene introdotta GLBA con standard di privacy e di protezione 2000 ILOVEYOU (LoveBug) virus 2001 Il worm Sadmind attacca Sun Solaris, i worm Code Red e Nimda attaccano MS IIS 2001 Wahoo Technologies cambia nome in ArcSight e nasce la classe di prodotti Security Event Management 19

20 2G SOC Sorgenti dati firewalls Intrusion detection Network equipment 20

21 2G SOC - Processo di analisi dei log Questo IP sta facendo altro? altri log Cos è installato su questo ip? asset inventory Questa porta è aperta? port scan È effettivamente un attacco? payload Per cosa viene usata? port lookup Come funziona questo attacco? dettagli della signature Da quanto tempo va avanti? contesto storico Che altro sta accadendo? eventi concorrenti : :1433 SQL Injection Attack 23Mar :003 user=jones traceroute Da dove proviene? analisi del address book traffico Cosa fa questa persona? Che timing ha? nslookup Quali altri sistemi sono coinvolti? 21

22 2G SOC Processo di analisi 22

23 3G SOC

24 3G SOC Botnet, cybercrime, intrusion prevention e compliance Le maggiori aziende di ogni industria creano SOC interni 24

25 3G SOC - Cronologia 2002 Sarbanes Oxley Act impone controlli di sicurezza IT e responsabilità personali per gli executive 2003 I worm SQL Slammer, Blaster, Nachi, Sobig, Sober vengono rilasciati 2003 HD Moore crea il framework Metasploit 2003 Viene creato l US-CERT 2004 Viene formato il PCI council 2004 Vengono rilasciati I worm Bagle e MyDoom 2004 Rock phish attack tramite wildcard DNS 2004 Primo malware mobile Cabir, scritto per Symbian OS 2004 Convention on Cybercrime diventa effettiva 2004 Operazione Titan Rain (attacco cinese contro sistemi militari/governativi USA) 2005 Worm Zotob 25

26 3G SOC Sorgenti dati intrusion detection firewalls anti-virus databases proxies system health information vulnerability scanning server & desktop OS network equipment intelligence feeds 26

27 3G SOC Processo di analisi dei log Questo IP sta facendo altro? Altri log Cos è installato su questo ip? asset inventory Questa porta è aperta? port scan È effettivamente un attacco? payload Per cosa viene usata? port lookup Come funziona questo attacco? Dettagli della signature Da quanto tempo va avanti? Contesto storico Che altro sta accadendo? Eventi concorrenti : :1433 SQL Injection Attack 23Mar :003 user=jones traceroute Da dove proviene? vulnerability scan Il sistema è vulnerabile? Analisi del address book traffico Cosa fa questa persona? Che timing ha? nslookup Quali altri sistemi sono coinvolti? IDAM ITAM Qual è lo stato di questo utente? Chi gestisce il sistema? 27

28 3G SOC Processo di analisi 28

29 4G SOC

30 4G SOC oggi Hacktivism, Furto di Proprietà Intellettuale, Advanced Persistent Threat Ampia adozione del monitoraggio continuo della sicurezza 30

31 4G SOC - Cronologia 2007 Zeus Trojan / Botnet 2007 TJX breach (catena di vestiario e moda): 94 milioni 2007 La Russia attacca l Estonia nella prima cyberwar pubblicamente nota 2007 Anonymous guadagna la prima attenzione dei media 2008 Conficker Worm/Botnet 2008 Hannaford Bros breach (catena di supermarket): 4.2 milioni di numeri di carte di credito e debito 2008 Heartland Payment Systems breach (sistemi di pagamento): 130 milioni di numeri di carte di credito e debito 2009 Operation Aurora Attacchi dalla Cina contro aziende Google, Adobe Systems, Juniper Networks, Yahoo, Symantec, Northrop Grumman, Morgan Stanley, and Dow Chemical 2010 WikiLeaks pubblica cablogrammi diplomatici 2010 Stuxnet Trojan attacca i sistemi SCADA iraniani 2011 RSA breach 2012 Anonymous attacca SONY Playstation Network : 100 milioni di record sottratti 31

32 Aumento delle cyber-minacce L ambiente di minaccia più aggressivo della storia delle informazioni 32

33 4G SOC Sorgenti dati applications IDAM directory physical infrastructure business context intrusion detection firewalls anti-virus databases proxies system health information vulnerability scanning server & desktop OS network equipment intelligence feeds Cyber Defense Center (CDC) Security Operations Center (SOC) Cyber Security Intelligence Response Center (C-SIRC) Threat Operations Center (TOC) Security Defense Center (SDC) Threat Management Center (TMC) Security Intelligence & Operations Center (SIOC) Security Intelligence & Threat Handlers (SITH) Security Threat and Intelligence Center (STIC) 33

34 4G SOC Processo di analisi History Privileged User Session Role Anomaly Transactions Asset Action Location IP Address 34

35 Agenda Contesto di riferimento e definizione di un SOC Generazioni di SOC: 1G->4G Formato dei messaggi: Common Event Format 5G e Nuove Tendenze 35

36 Common Event Format - CEF Cos è e come funziona Open Standard di gestione dei log sviluppato da HP ArcSight; Permette di utilizzare un formato standard dei log facilitando le operazioni di collezione e aggregazione dei dati; CEF definisce una sintassi per i record dei log composta da un intestazione tipo e da una estensione variabile formattata come coppia chiave-valore; Utilizza syslog come meccanismo di trasporto e implementa il seguente formato: CEF:Version Device Vendor Device Product Device Version Signature ID Name Severity [Extension] Ogni campo è definito ed è possibile mantenere il formato raw dei dati all interno di uno di tali campi (per analisi forensi); Viene utilizzato da molti vendor di sicurezza per produrre nativamente i propri log in formato CEF. 36

37 Collezionare in quantità e con qualità Access and Identity Anti-Virus Data Security Firewalls Integrated Security Log Consolidation NBAD Network Management Policy Management Router Vulnerability Mgmt Web Cache Applications Honeypot Mail Filtering Network Monitoring Security Management Web Filtering Content Security Host IDS/IPS Mail Server Net Traffic Analysis Switch Web Server Database Network IDS/IPS Mainframe Operating System VPN Wireless 37

38 Normalizzare UNIX Failed Login Event Oracle Failed Login Event Windows Failed Login Event 38

39 Categorizzare Senza Jun :16:03: %PIX : Deny TCP (no connection) from /15605 to /443 flags FIN ACK on interface outside Jun :53:16 drop gw.foobar.com >eth0 product VPN-1 & Firewall-1 src xxx.xxx s_port 2523 dst xxx.xxx.10.2 service ms-sql-m proto udp rule 49 Con Time (Event Time) Name Device Vendor Device Product Category Behavior Category Device Group Category Outcome Category Significance 6/17/ :16:03 Deny Cisco PIX /Access /Firewall /Failure 6/17/ :53:16 Drop Check Point Firewall-1/VPN-1 /Access/Start /Firewall /Failure /Informational/ Warning /Informational/ Warning 39

40 Agenda Contesto di riferimento e definizione di un SOC Generazioni di SOC: 1G->5G Formato dei messaggi: Common Event Format 5G e Nuove Tendenze 40

41 5G SOC ???? Rilevazione di minacce subdole, Counter-Intelligence, Advanced Analytics, Big Data kaggle Pandora Music SolidFire Scribd. SmugMug ihandy Amazon Finance SuperCam salesforce.com Joyent Plex Systems AppFog Snapfish Urban Travel DCC Google Xactly Facebook Parse Product SAP ebay Dragon Diction GoGrid PingMe LinkedIn Reference CRM CCC Hosting.com HP Configurator UPS Mobile Bills of Material Tata Communications Bromium Atlassian buzzd Engineering Lifestyle Ariba Amazon Web Services SCM NetReach Inventory Quickbooks Splunk Quality Control NetDocuments Sport Zoho Scanner Pro LimeLight Burroughs EMC Alterian box.net ScaleXtreme HCM Datapipe Qvidian Foursquare Taleo Hitachi Cost Management Hyland Education Pinterest IBM MRM OpenText Unisys Manufacturing Projects Order Entry Workscape Sage NetSuite Mainframe Client/server The Internet Mobile, social, big data & the cloud Cash Management CyberShift Bull PaperHost DocuSign CloudSigma NEC ERP Yandex HCM Xerox Yahoo! Hootsuite Games Baidu Fijitsu Time and Expense Microsoft Serif nebula YouTube Costing Accounts Fixed Assets HP eprint Atlassian OpSource SLI Systems Workbrain Zynga Navigation Billing Receivable Avid ADP VirtualEdge Elemica ischedule Workday Mixi cloudability Payroll Yandex Activity PLM Corel SCM Photo & Video Khan Academy Twitter Training Management Adobe CyberShift Zillabyte Heroku Yammer Sales tracking & Renren Marketing Time & Rostering Yahoo Microsoft Kinaxis SuccessFactors Entertainment Viber Attendance SugarCRM News Atlassian Answers.com Commissions Database Service Saba PPM BrainPOP Social Networking Sonar6 RightScale Claim Processing Data Warehousing Kenexa Quadrem Sonar6 MobileFrame.com CYworld Saba Business Jive Software Intacct Softscape NetSuite myhomework Tumblr. Qzone Fring Toggl Cornerstone ondemand Exact Online Amazon dotcloud Cookie Doodle Xing Softscape FinancialForce.com New Relic Mozy MailChimp Utilities Zynga PingMe IntraLinks Volusion Ah! Fasion Girl Associatedcontent BeyondCore SmugMug MobilieIron Fed Ex Mobile Productivity Rackspace Flickr Twitter Paint.NET TripIt 98,000 tweets 23,148 apps downloaded 400,710 ad requests Ogni 60 secondi 2000 lyrics played on Tunewiki 1500 pings sent on PingMe 34,597 people using Zinio 208,333 minutes of Angry Birds played 41

42 5G SOC Le minacce di sicurezza sono portate da avversari umani 42 Il Training in security counter-intelligence, sorveglianza, psicologia criminale e pensiero analitico è uguale (se non maggiore) a quello per auditor, tecnologie e conoscenza delle policy Compromissioni complesse Caccia agli indicatori di compromissione, analisi avanzata L Automazione guida l analisi, il contenimento dell incidente e la risposta I profili di prevenzione saranno la norma I task di analisi dei SOC 4G vengono per lo più automatizzati I Big Data riempiranno oggetti/entità che a stento possiamo immaginare oggi e forniranno la base per analisi storica delle minacce Gli strumenti di Business Intelligence e Security Intelligence si fonderanno Gli analisti avranno bisogno di skill da Data Scientist

43 5G SOC Ridurre il rischio guadagnando visibilità su infrastruttura, transazioni e persone Superficie d attacco adattiva & threat intelligence proattiva Accedere e modellizzare enormi quantità di dati Le iniziative Big Data portano nuove capability I dati di IT Operations, sicurezza fisica e di sicurezza si fondono I dati storici guideranno tipologie di risk assessment quantitativo Interazioni con entità paritetiche: le organizzazioni condividono informazioni prontamente Modellare i processi di business e l avversario, non solamente sistemi e reti Interagire con l avversario tramite i suoi stessi canali di comunicazione 43

44 5G SOC Processi di analisi??? 45

45 Stakeholder 5G SOC Ipotesi di modello CISO CIO Application Owner KPI Dashboard Report etc Compliance Access Control SecAdmin SOC NetSec AV SIRT Connettori Legal PR HR Applications Mobile Cloud Social Media Sorgenti dati... NetEng 46

46 HAVEn HAVEn 50 Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

47 HAVEn ecosistema Partner di Business Intelligence Integratori Converged Infrastructure HAVEn Rivenditori Technology Services Cloud Enterprise Services Data Partners 51 Transactional Social media Video Audio Texts Mobile data Documents IT/OT Search engine Images Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

48 HAVEn - Big Data Security Analytics 86% HAVEn delle aziende non può offire l informazione giusta al momento giusto per supportare costantemente i risultati attesi dal business ³Source: Coleman Parkes Survey Nov 2012 Hadoop/ HDFS Autonomy IDOL Vertica Enterprise Security n Apps Scale Source Speed Secure Powering HP Software + your apps Transactional Social media Video Audio Texts Mobile data Documents IT/OT Search engine Images 52

49 Hindsight, Insight, Foresight Le soluzioni di analytics hanno gli stessi requisiti principali Abilitarmi a: Catturare Salvare Gestire Analizzare Ottimizzare sul 100% dei Dati Strutturati Semi-strutturati Non strutturati 53

50 Big Data: perchè preoccuparsene? Raggiungere una superiore Situational Awareness (fare baseline sulla propria infrastruttura per vedere qual è la norma) Abilitare la difesa adattiva in profondità (verificare se le proprie difese si stanno sbriciolando prima di essere violate) Mitigazione in tempo reale (reagire in tempo quasi reale per cacciare l intruso) Capacità di recupero dell infrastruttura (Infrastructure Resiliency - una volta dentro, sapere dove si trova l avversario tagliando i percorsi di attacco per consentire la continuità del business) 54 Investigazione forense (trovare l ago nel pagliaio e mettere insieme oggetti apparentemente scollegati tra loro)

51 Piattaforma di Security Intelligence Analytics Vertica Information Context / Sentiment IDOL Threat Landscape Threat Central Business Context Risk Insight Correlation Arcsight ESM 55 Big Data Logs data data

52 HP RIR: Rapid Incident Response

53 La sfida del modello legacy Il modello di risposta agli incidenti e investigazione in infrastrutture condivise Richiede la partecipazione di molteplici organizzazioni, potenzialmente molteplici Corporation La raccolta di informazioni logistiche crea un ostacolo significativo alla velocità dell analisi e delle risultanze Dipendente dalla disponibilità e la velocità di risposta di team disparati e con differenti obiettivi operativi Le opzioni investigative spesso possono portare disservizi L analisi forense possibile solo su evidenze raccolte best effort in termini di tempistiche e spesso richiede spostamenti di specialisti skillati Prontezza influenzata da coordinamento, costi e approvazioni Operations SOC Digital Investigation Services Network

54 HP Rapid Incident Response (RIR) RIR allows HP to bring world class security intelligence and experience to any client regardless of previously deployed security controls, through comprehensive visibility, unprecedented forensic integration, and dedicated, experienced digital investigations practitioners. Real-time situational awareness Comprehensive forensics e malware analysis gestita da staff dedicato Integrazione SIEM + Remote Forensics per automatizzare la risposta preliminare e la mitigazione delle minacce Risorse IT e Rete AD, DNS, DHCP, Applications, Firewall, NIPS/HIPS, Syslog. Qualsiasi fonte rilevante raccolta dati e correlazione Industry leading SIEM Monitoraggio, correlazione, Threat Intelligence Tuning basato sulle investigazioni alerting integrato e capacità di risposta riducono il Tempo di Risoluzione Capacità di investigazione comprensive basate su standard forensi AccessData CIRT - Remote forensics, Network forensics, monitoring, investigazioni, risposta, bonifica Investigationi ed analisi 24x7 DIS Team di sicurezza dedicato con skill ed esperienza di investigazioni in ambito Enterprise e prassi forensi. Risposta, Validazione, Investigazione, Analisi, Mitigazione, Bonifica, Feedback e tuning Processi; tutto da console unica. 59

55 La soluzione in azione L approccio consente di applicare skill ed esperienza HP ad una varietà di scenari di ingaggio. Unito a tecnologie altamente capaci consente di disporre di un set completo di capacità ed azioni richieste per identificare efficacemente le problematiche di sicurezza e portare a rapida risoluzione gli incidenti. Queste capacità includono la raccolta di eventi di sicurezza, la normalizzazione, la correlazione, e il monitoraggio, cosi come la raccolta e l analisi di dati forensi, informazioni di rete, e sospetti malware. Nuovo modello Servizio di Consulenza di Security in High Availability Investigazioni scaturite direttamente da ArcSight cosi come da sorgenti tradizionali Investigatori DIS rispondono ad eventi SIEM direttamente tramite console dedicata DIS capace di real time Host, Network, e Malware forensics attraverso CIRT console SOC/ SIEM DIS Investigator SIEM Batch Remediation CIRT Host Forensics Network Forensics Malware Analysis Monitoring of complete enterprise 24x7 POC Primary validation, ticketed response IOC/Threat Intelligence feeds Integrated with ArcSight Intelligent Agent capabilities Real-time visibility into impacted hosts Fully capable host forensics Persistent and ad-hoc client management Memory and process analysis Endpoint Monitoring Traffic Analysis Threat tracking Real time memory analysis Process analysis, sandboxing Comprehensive malware reversing Creation of IOCs for monitoring Straight from analysis to action Server / Endpoint scope Scan, detect, remediate 60

56 Le persone, l'esperienza e la leadership fanno la differenza Ecosystem partners Account utente resi sicuri da HP 47m Eventi di sicurezza gestiti ogni mese 23mld HP Global Research Clienti di HP sulla Sicurezza Professionisti di HP sulla Sicurezza HP ESS Enterprise Security Services 63

57 Why HP for Security Consulting? People Industry-recognized, qualified and accredited expertise; and consultancy experience in your sector Average 9 years experience CISSP, CISM, IISP, CISA, ISO 27001, PCI-DSS, forensic qualifications, government security clearance Experience Constantly updated, effective methodologies and use of best-of-breed technology. HP s world leadership in threat and vulnerability research and analysis, finding more vulnerabilities than the rest of the market combined. Using actionable intelligence to deliver tailored, proactive risk management systems, using leading technologies. Expert teams available 24 x 7 to deliver advice and assistance anywhere in the world, tailored to your needs. Globally available forensic laboratories and testing facilities. Consistent, cost-effective responses that enable issues to be dealt with rapidly while causing minimum disruption to your business. Leadership Gartner Magic Quadrant leader for Security Information and Event Management Gartner Magic Quadrant leader for Static and Dynamic Application Security Testing Gartner Magic Quadrant leader for Intrusion Prevention Systems 64

58 A complete security consulting portfolio Security strategy and risk management Security strategy & transformation Risk & compliance management Enterprise security architecture Cyber assurance services Security intelligence and incident response Security information & event management Security incident response Digital forensics, e-discovery Data recovery, secure disposal Penetration testing Social engineering Vulnerability scanning & management Threat and vulnerability management Perimeter, network security Web and security Endpoint and server security Web application security & availability Infrastructure and network security Data loss prevention PKI/certificate management Data governance Encryption Rights management Data protection and privacy Identity governance & administration Privileged identity management Secure identity and access Secure application development & delivery Application vulnerability scanning & testing Application security Expertise in all sectors and verticals 65 Consumer Financial Travel and Energy & Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without Communications Industries Manufacturing Retail Services Transportation notice. HP Restricted. Utilities Media and Entertainment Public Sector Health and Life Sciences

59 Next steps HP.com/security Breached? Call HP Security Incident Response teams Benchmark against your competitors hpsecurityassesment.com Vulnerability and penetration testing 66

60 Thank you!