Implementazione del modello di sicurezza S 3 nel Gruppo Finmeccanica

Transcript

1 La Governance della Sicurezza delle Informazioni in Italia: stato dell arte e nuove prospettive Università di Genova Implementazione del modello di sicurezza S 3 nel Gruppo Finmeccanica Nicola Mugnato Direttore Generale Digint

2 Agenda Implementazione del modello di sicurezza S 3 nel Gruppo Finmeccanica 1. Evoluzione del Modello di Sicurezza Lo scenario nelle grandi aziende Il controllo difensivo Il nuovo Modello di sicurezza S 3 2. Implementazione del Modello S 3 La fotografia dello stato iiziale La riduzione dei macro-fenomeni La ricerca dei micro-fenomeni 3. Il sistema S 3 -Defend Linfrastruttura Il principio di funzionamento L accesso ai dati 4. Accesso alle informazioni 5. Il sistema di clustering delle informazioni

3 Lo scenario nelle grandi aziende Le grandi aziende si sono già dotate di sistemi di sicurezza: Policy e procedure Documento programmatico sulla sicurezza Manuale della sicurezza Disposizioni operative di sicurezza Policy e procedure Sistemi di prevenzione Firewall Intrusion Detection Antivirus, Antispam, Antispyware Proxy VPN e SVPN Encryption Access Control Single Sign-on Identity Management risk assesment Certificazioni di sicurezza (iso27001) S 2 + Difesa preventiva = modello classico di Sicurezza dei sistemi informativi

4 Potenzialità dei sistemi ICT Sistema ICT Funzionalità per cui è stato progettato il sistema ICT AUTORIZZATE Utilizzi imprevedibili non consentiti del sistema ICT CONTROLLATI NON ALLARMABILI Utilizzi imprevedibili non consentiti del sistema ICT CONTROLLATI ALLARMATI Utilizzi prevedibili non consentiti del sistema ICT BLOCCATI Sistema di Controllo Difensivo Sistema di Difesa Preventiva Utilizzi prevedibili rilevati dai controlli difensivi e implementati nei sistemi di difesa preventiva

5 L evoluzione del modello S 2 S 3 Policy e procedure Policy e procedure Difesa preventiva + Controllo difensivo Difesa preventiva Controllo difensivo Dalla sicurezza dei sistemi informativi alla difesa delle informazioni

6 Il controllo difensivo Difesa preventiva Policy e procedure S 3 Controllo difensivo Il controllo difensivo è volto a garantire il patrimonio aziendale e si realizza con interventi, controlli o monitoraggi diretti ad accertare condotte illecite dal lavoratore che integrino lesione del patrimonio aziendale o della sicurezza, ovvero un illecito contrattuale od extracontrattuale. Lavoratori Azienda Art 4. L. n. 300/1970 statuto dei lavoratori (controllo a distanza) D.Lgs. n. 196/2003 tutela della pricacy Art. 15 Cost. tutela della corrispondenza privata L. n. 547/1993 modifica art. 616 c.p. reati informatici Combinato disposto Artt e 2104 c.c. potere di controllo del datore di lavoro D.Lgs. 231/2001 Responsabilità amministrativa degli enti

7 Il controllo difensivo Difesa preventiva Policy e procedure S 3 Controllo difensivo Il controllo difensivo è volto a garantire il patrimonio aziendale e si realizza con interventi, controlli o monitoraggi diretti ad accertare condotte illecite dal lavoratore che integrino lesione del patrimonio aziendale o della sicurezza, ovvero un illecito contrattuale od extracontrattuale. Lavoratori Azienda Il legislatore, pur volendo garantire una adeguata tutela del lavoratore e dei suoi diritti, non lo ha voluto favorire nella commissione di un illecito o rendere impossibile la prevenzione di situazioni di pericolo per l integrità aziendale.

8 Modello di Sicurezza S 3 Difesa preventiva Policy e procedure S 3 Controllo difensivo Coordinamento Sicurezza NORME definiscono strumenti e metodi PREVENZIONE migliora e aggiorna Log Analysis Net Behavior Analysis Incident management Forensics Security Probe Security Audit Risk Audit verifica l efficacia CONTROLLO DIFENSIVO verifica la correttezza Ethical Hacking PROBE AUDIT Security and compliance

9 Agenda Implementazione del modello di sicurezza S 3 nel Gruppo Finmeccanica 1. Evoluzione del Modello di Sicurezza Lo scenario nelle grandi aziende Il controllo difensivo Il nuovo Modello di sicurezza S 3 2. Implementazione del Modello S 3 La fotografia dello stato iiziale La riduzione dei macro-fenomeni La ricerca dei micro-fenomeni 3. Il sistema S 3 -Defend Linfrastruttura Il principio di funzionamento L accesso ai dati 4. Accesso alle informazioni 5. Il sistema di clustering delle informazioni

10 Delivery plan Fase 1 Fase 1: S 3 -Assessment la fotografia dello stato iniziale Finalità misurare il livello complessivo dei sistemi di sicurezza e la loro efficacia nella protezione del patrimonio informativo aziendale Consente di definire il punto di partenza del processo di miglioramento del livello di sicurezza Attività operative Vengono analizzati il sistema informativo dell azienda, le policy, le procedure e come queste siano implementate nel sistema ICT e supportate dai sistemi di difesa preventiva Vengono effettuate delle misurazioni statistiche sul traffico di rete per calcolare il valore dei sette indici delle anomalie principali e dei nove indici secondari (indicatori di fenomeni potenzialmente pericolosi) Vengono valutati i margini di scostamento delle policy e delle procedure rispetto alle linee guida di Gruppo Viene realizzato il dimensionamento del sistema S3-Defend secondo le necessità della singola Azienda Durata Un mese Operatori Personale Digint, Responsabili della Sicurezza e ICT aziendali

11 Delivery plan Fase 2 Fase 2: eliminazione delle anomalie involontarie riduzione dei macro-fenomeni Scopo ridurre e, se possibile, eliminare i principali fenomeni di uso improprio delle risorse ICT, evidenziati dalle misurazioni della Fase 1, avviando attività correttive sia sul piano tecnico sia sul piano normativo e formativo consente di riportare gli indici delle anomalie a valori fisiologici tendenti allo zero, elevando la sensibilità alla sicurezza degli utenti, migliorando le difese preventive e introducendo l esperibilità dei controlli difensivi Attività operative Formazione gli analisti che, con l iniziale supporto del personale Digint, eseguiranno periodicamente campionamenti statistici di tutto il traffico per calcolare in forma aggregata gli indici delle anomalie per monitorare l efficacia complessiva delle azioni correttive Vengono avviate tutte le attività di correzione sui sistemi ICT: revisione delle configurazioni, completamento dei sistemi di difesa preventiva, aggiornamento o integrazione delle policy e le procedure riguardanti le modalità di utilizzo dei sistemi ICT Viene attuato un piano formativo per tutti gli utenti che prevede una serie di comunicazioni e alcune giornate formative durante le quali vengono illustrate in modo chiaro ed esaustivo sia le policy e le procedure per l uso dei sistemi ICT aziendali sia le modalità di controllo previste Durata da 6 a12 mesi in funzione della dimensione e del numero di sedi Operatori Analisti della security aziendale CSIRT aziendale Responsabili della Sicurezza e ICT aziendali

12 Delivery plan Fase 3 Fase 3: eliminazione delle anomalie involontarie e intenzionale ricerca dei micro-fenomeni Scopo individuare tempestivamente le violazioni alle policy o alle procedure nella gestione del patrimonio informativo o nell utilizzo dei sistemi aziendali, e di migliorare costantemente il livello dei sistemi di difesa preventiva grazie ai feedback ottenuti dall analisi statistica finalizzata ai controlli difensivi Attività operative Dopo aver ridotto le anomalie colpose (generate da negligenza, incuria, leggerezza, ignoranza) si sposta l attenzione sui micro-fenomeni che possono essere indicativi di attività illecite o dannose per l azienda Vengono analizzati in dettaglio tutti gli allarmi generati dal sistema di analisi per il controllo difensivo seguendo una procedura rigorosamente studiata sotto il profilo della conformità alla normativa vigente (privacy, statuto dei lavoratori, ) Vengono effettuate delle misurazioni statistiche sul traffico di rete per calcolare il valore dei sette indici delle anomalie principali e dei nove indici secondari (indicatori di fenomeni potenzialmente pericolosi) Viene attivato l external audit per verificare la correttezza nell applicazione della procedura di analisi degli allarmi delle anomalie. Durata Attività continuativa Operatori Analisti della security aziendale CSIRT aziendale Responsabili della Sicurezza e ICT aziendali External Audit

13 Agenda Implementazione del modello di sicurezza S 3 nel Gruppo Finmeccanica 1. Evoluzione del Modello di Sicurezza Lo scenario nelle grandi aziende Il controllo difensivo Il nuovo Modello di sicurezza S 3 2. Implementazione del Modello S 3 La fotografia dello stato iiziale La riduzione dei macro-fenomeni La ricerca dei micro-fenomeni 3. Il sistema S 3 -Defend Linfrastruttura Il principio di funzionamento L accesso ai dati 4. Gli indici delle anomalie 5. Il sistema di clustering delle informazioni

14 Il sistema S 3 Defend: infrastruttura hardware e software S 3 Defend è un sistema composto da apparati hardware e moduli software progettato per fornire tutti gli strumenti necessari allo studio approfondito dei protocolli di rete. Diversamente da ogni altro sistema per il troubleshooting delle comunicazioni di rete, S 3 Defend è stato disegnato per poter operare sino al layer 7 secondo la definizione del Modello di riferimento OSI ISO 7498, ovvero a livello Applicazione, riuscendo ad analizzare non solo tutti i livelli di incapsulamento (trasporto e comunicazione) ma anche i contenuti. L infrastruttura hardware base prevede: Armadio Rack 19, altezza 210cm, peso 700 Kg Core di elaborazione composto da 72 CPU core Storage di 8 TeraByte (in mirror 0, 2TB file system, 2TB DB) Consumo circa 10KW Calore circa Btu/ora

15 Il sistema S 3 Defend: Il principio di funzionamento L'infrastruttura software si compone essenzialmente di tre diverse tipologie di strumenti, ciascuna dedicata all adempimento di una specifica operazione: Cattura, sono tutti i moduli software capaci di interfacciarsi con la rete da monitorare e di produrre una copia del traffico di interesse selezionato tramite regole di filtraggio predeterminate; Elaborazione, è la struttura preposta alla ricostruzione ed elaborazione delle sessioni di comunicazione dalle quali vengono estratte tutte le informazioni ricercate; Visualizzazione ed analisi, sono gli strumenti (Console) che consentono la fruizione delle informazioni raccolte e la riproduzione dei contenuti a livello applicativo Cattura Elaborazione Visualizzazione e analisi

16 Agenda Implementazione del modello di sicurezza S 3 nel Gruppo Finmeccanica 1. Evoluzione del Modello di Sicurezza Lo scenario nelle grandi aziende Il controllo difensivo Il nuovo Modello di sicurezza S 3 2. Implementazione del Modello S 3 La fotografia dello stato iiziale La riduzione dei macro-fenomeni La ricerca dei micro-fenomeni 3. Il sistema S 3 -Defend Linfrastruttura Il principio di funzionamento L accesso ai dati 4. Accesso alle informazioni 5. Il sistema di clustering delle informazioni

17 L accesso alle informazioni Il Garante per la Privacy prescrive: Statistiche e Indici delle anomalie Anonimizzazione dei dati in forma aggregata trattare i dati in forma anonima o tale da precludere l'immediata identificazione di utenti mediante loro opportune aggregazioni (ad es., con riguardo ai file di log riferiti al traffico web, su base collettiva o per gruppi sufficientemente ampi di lavoratori) eventuale conservazione nel tempo dei dati strettamente limitata al perseguimento di finalità organizzative, produttive e di sicurezza Normative e prevenzione Storage limitato E consente la conservazione e fruizione dei dati nel rispetto dei seguenti principi: principio di necessità, ridurre al minimo l utilizzazione di dati personali e di dati identificativi principio di correttezza, informare i lavoratori delle caratteristiche essenziali dei trattamenti principio di pertinenza e non eccedenza, finalità determinate, esplicite e legittime Informazione e formazione Solo finalizzai ai controlli difensivi

18 L accesso alle informazioni Sono previsti tre livelli di accesso alle informazioni: 1 Analista, può esaminare solo dati aggregati e statistiche generali senza mai ottenere informazioni che possano essere ricondotte all attività di un singolo. L accesso dell analista richiede un certificato digitale valido e una password che vengono utilizzati per firmare la registrazione di tutta la sua attività sul sistema. Il suo input sono le informazioni statistiche e le misurazioni aggregate di dati (indici). Sono stati individuati 7 indici principali e 9 indici secondari utili per determinare le diverse dimensioni dei fenomeni analizzati. L output sono i feedback tecnici verso l ICT e report periodici o immediati allarmi per lo CSIRT 2 CSIRT, Computer Security Incident Response Team, riceve report periodici sull andamento dei macro fenomeni o segnalazioni di singoli possibili incidenti, valuta la gravità dei problemi e definisce le eventuali opportune iniziative: visione di ulteriori dati disponibili nei sistemi di controllo difensivo (senza mai ottenere informazioni che possano essere ricondotte all attività di un singolo), disposizione di altri accertamenti empirici (Forensic), denuncia alle Autorità Competenti. L accesso dello CSIRT richiede contemporaneamente almeno 3 dei 4 certificati digitali validi e relative password posseduti dai membri del comitato. 3 L Autorità Giudiziaria, può accedere a qualsiasi informazione contenuta nei sistemi di controllo difensivo e può acquisire le risultanze delle attività di forensic. L accesso avviene attraverso un solo certificato con password che viene conservato dal Capo Azienda e fornito agli inquirenti quando richiesto. Anche l attività di questo super utente verrà comunque registrata e firmata con il certificato digitale.

19 Gli indici delle anomalie Definizione di Indice delle anomalie Gli indici delle anomalie sono valori percentuali che evidenziano una dimensione specifica di un fenomeno. Per determinare un indice viene selezionato un particolare tipo di traffico di rete (es: la navigazione web) e messo in rapporto con un suo sottoinsieme specifico (la navigazione web su siti non lavorativi) Anonimizzazione delle informazioni Qualsiasi informazione che possa precludere l immediata identificazione degli utenti viene anonimizzata mostrando solo una aggregazione più ampia che la contiene (es: non viene mai mostrato un indirizzo IP di un PC client ma solo un range di almeno 16 IP che lo contiene; non viene mai mostrato un nome di account di posta elettronica ma solo il dominio a cui appartiene).

20 Indici delle anomalie Indice Descrizione Min Max Invio di documentazione attraverso caselle di posta free [numero di free con allegato di tipo documento su totali in uscita con allegato di tipo documento] Utilizzo di chat [numero IP con che contattano il server Microsoft Messenger su numero IP che generano traffico http] Utilizzo di sistemi Voip non aziendali (Skype) [numero IP con client skype su numero IP totali] Navigazione su siti non lavorativi [numero sessioni http non lavorative su sessioni http totali] Scarico da internet di audio e video [quantità di traffico audio e video scaricato su traffico totale scaricato] Accesso a forum di discussione non aziendali [numero sessioni http verso siti di forum su sessioni http totali] Utilizzo di siti internet free per il file sharing [quantità di traffico scaricato da siti di filesharing su traffico totale] 5% 15% 0% 10% 0% 5% 5% 30% 5% 35% 0% 10% 0% 10%

21 Agenda Implementazione del modello di sicurezza S 3 nel Gruppo Finmeccanica 1. Evoluzione del Modello di Sicurezza Lo scenario nelle grandi aziende Il controllo difensivo Il nuovo Modello di sicurezza S 3 2. Implementazione del Modello S 3 La fotografia dello stato iiziale La riduzione dei macro-fenomeni La ricerca dei micro-fenomeni 3. Il sistema S 3 -Defend Linfrastruttura Il principio di funzionamento L accesso ai dati 4. Accesso alle informazioni 5. Il sistema di clustering delle informazioni

22 Il sistema di CLUSTERING Il sistema di Clustering, sviluppato grazie alla collaborazione iniziata nel 2008 con il DIBE, permette di organizzare in gruppi omogenei, secondo il criterio di metrica definito, un grosso insieme di documenti di cui non si conosce nulla a priori. Il risultato è la costituzione di una gerarchia di gruppi di documenti secondo livelli di dettaglio crescenti. Il sistema di clustering permette di: visualizzare i documenti raggruppati un grafico a nodi evidenziare le frequent words, cioè le parole più ricorrenti all interno del cluster in analisi rilevare le shared words, cioè le parole presenti all interno di tutti i documenti contenuti nel cluster in analisi

23 ANALISI: il caso ENRON L analisi è stata effettuata sul database di mail della Enron Corporation, una delle più grandi multinazionali statunitensi operanti nel campo dell energia. Il gruppo Enron era attivo in oltre 40 Paesi con 21 mila dipendenti e al 31 dicembre 2000 gestiva un patrimonio 47,3 miliardi di dollari. Nel 2002 la Enron improvvisamente fallì. La decadenza della società iniziò a partire da un'inchiesta della Sec (Securities and Exchange Commission). L ente governativo statunitense scoprì infatti che la Enron gonfiò gli utili per tre anni e "tralasciò" nel bilancio alcune transazioni che permisero di sottostimare il debito. Il dataset delle mail dei top manager di Enron fu reso pubblico nel 2003 dai giudici impegnati nella causa.

24 CLUSTER PRIMO LIVELLO: contenuti lavorativi

25 CLUSTER SECONDO LIVELLO: contenuti lavorativi

26 CLUSTER SECONDO LIVELLO: contenuti non lavorativi

27 CLUSTER TERZO LIVELLO: contenuti non lavorativi

28 CLUSTER TERZO LIVELLO: contenuti particolari

29 Grazie per l attenzione Nicola Mugnato Direttore Generale Digint nicola.mugnato@digint.it