Security Services in-house vs managed security

Transcript

1 Security Services in-house vs managed security L esperienza di Informatica Trentina Pierluigi Sartori CISSP CISM CRISC CGEIT MBCI pierluigi.sartori@infotn.it

2 Agenda La Società Il contesto di riferimento L organizzazione di partenza I Managed Security Services Il Security Global Control Center

3 La Società Informatica Trentina è stata costituita nel 1983 su iniziativa della Provincia Autonoma di Trento e di altri Enti Pubblici del Trentino La Compagine azionaria (al 31 dicembre 2012): Provincia autonoma di Trento 47,4218% Tecnofin Trentina Spa 39,7101% Regione Autonoma Trentino-Alto Adige 1,7199% Comune di Trento con l 1,2433% Camera di Commercio Industria Artigianato e Agricoltura 1,2433% Comune di Rovereto 0,7063% 15 Comunità di Valle complessivamente 5,0046% 1 Comprensorio 0,3931% altri 186 Comuni complessivamente 2,5577% Alcuni dati al 31 dicembre 2011: Fatturato: circa 60 milioni di Euro Risorse umane: 312 Adesioni alla governance (al 31 dicembre 2012): 208 Enti Locali 3

4 La missione Sempre più un ruolo di strumento di politica economica per lo sviluppo e la crescita del sistema economico locale nel contesto dell Information & Communication Technology: strumento di sistema, per l ammodernamento della Pubblica Amministrazione trentina e per promuovere lo sviluppo del contesto socio-economico del territorio, in aderenza alle direttive provinciali strumento di collaborazione con le imprese ICT, consentendo ai molteplici operatori del comparto di partecipare con continuità alla realizzazione dei progetti di ammodernamento e digitalizzazione della PA trentina strumento di innovazione, per promuovere l innovazione nella PA trentina, sostenendo il ruolo di utente innovatore dell Ente pubblico, attraverso progetti di innovazione da realizzare in sinergia e cooperazione con le imprese ICT del territorio, ed in collaborazione con gli Enti di Ricerca ed Alta Formazione presenti sul territorio

5 Il problema della crescita. InfoTN PAT PAT PAT

6 Il problema della crescita. InfoTN Telpat PAT PAT PAT

7 Il problema della crescita. Internet InfoTN Telpat PAT PAT PAT

8 Agenda La Società Il contesto di riferimento L organizzazione di partenza I Managed Security Services Il Security Global Control Center

9 Internet.

10 oggi Reti di Datacenter Mobile Lan Interna Internet Casalingo Reti DMZ Nomadico

11 Le nuove guerre Lo spazio cibernetico è un nuovo fondamentale campo di battaglia e di competizione geopolitica nel XXI secolo (Comitato Parlamentare per la sicurezza della Repubblica Relazione sulle possibili implicazioni e minacce per la sicurezza nazionale derivanti dall utilizzo dello spazio cibernetico) The new Pentagon strategy lays out cyber as a new warfare domain and stresses the need to fortify network defenses, protect critical infrastructure and work with allies and corporate partners (James Lewis, cybersecurity expert at the Center for Strategic and International Studies) I've often said that there's a strong likelihood that the next Pearl Harbor that we confront could very well be a cyberattack that cripples our power systems, our grid, our security systems, our financial systems, our governmental systems (Pentagon chief Leon Panetta, ex CIA director)

12 Le risposte dei governi CINA: la sola potenza emergente che abbia già sviluppato capacità operative nei cinque domini relativi alla superiorità cibernetica: elaborazione di una dottrina operativa, capacità addestrative, capacità di simulazione, creazione di unità addestrate alla guerra cibernetica, sperimentazione di attacchi hacker su larga scala Stati Uniti: Ha creato lo United States Cyber Command (USCYBERCOM) che, sotto la guida di un generale, centralizza il comando operativo delle operazioni nel cyberspace, organizza le cyber risorse esistenti e coordina la difesa delle reti dell esercito americano Italia: obiettivo 24 Sicurezza dei sistemi informativi e delle reti del piano di E-Government Prevede la stabilizzazione e il potenziamento dell Unità di prevenzione degli incidenti informatici in ambito SPC istituita presso il CNIPA in ottemperanza all articolo 21, comma 51.a del Decreto del Presidente del Consiglio dei Ministri del 01/04/2008 (esiste solo sulla carta)

13 Le risposte dei privati Dell Computer espande la sua offerta IT-as-a-Service acquisendo SecureWorks, uno dei più importanti provider nel settore dei servizi di security HP (Hewlett Packard) acquisisce Vistorm, provider di servizi di security con una forte presenza in UK e Irlanda. IBM acquisisce McAfee, storico marchio nel settore dell Information Security.

14 Information Security.. è ormai un elemento essenziale per proteggere i processi vitali per il business e i sistemi che li garantiscono non è qualcosa che si compra: bisogna farla non si può limitare al solo controllo del perimetro OGNI ELEMENTO della rete e dei sistemi ospitati deve essere messo in sicurezza

15 Cosa dovrebbe comprendere Firewall, router, applicativi, password Intrusion detection Proactive scanning, penetration testing Monitoraggio della configurazione dei sistemi Health Checking VoiP, Wireless, Sistemi proprietari Monitoraggio 24x7 Analisi e correlazione Sviluppo Sicuro Policy, Procedure, Personale

16 La security vista dalle aziende Monitor VOIP/WL Analisi Policy/Personale VA/PT IDS Firewall

17 Quando è efficace Corretta combinazione di appliances, software, alert e vulnerability scan che lavorano in maniera coordinata in quella che può essere definita come Enterprise Security Architecture Progettata per supportare gli obiettivi di sicurezza dell azienda Estesa alle policy aziendali, alle procedure e al personale Monitorata 24x7

18 Security Framework Il Security Framework è composto da un insieme coordinato di strumenti dedicati Analogo all Enterprise management framework Il monitoraggio 24x7 dei dati relativi all Information Security è centralizzato in un Security Operations Center L analisi dei dati viene effettuata utilizzando degli strumenti di correlazione Possono essere utilizzati prodotti commerciali quanto open source E opportuno basarsi sull infrastruttura di sicurezza esistente per sviluppare velocemente il nuovo framework

19 La gestione della sicurezza

20 Agenda La Società Il contesto di riferimento L organizzazione di partenza I Managed Security Services Il Security Global Control Center

21 Funzione Sicurezza L organizzazione di partenza Incident Response Team Area Reti Inc Area Sistemi

22 Pro e contro Pro: Maggior senso di sicurezza Alta conoscenza dell infrastruttura Controllo di tutti i processi Controllo sulle scelte tecnologiche Contro: Difficoltà a mantenere un Security Program Eccessiva dispersione di competenze Sovraccarico operativo per il personale Finestra di servizio ampia troppo costosa

23 Agenda La Società Il contesto di riferimento L organizzazione di partenza I Managed Security Services I Security Global Control Center

24 Managed o in House Gartner definisce il Software as a Service (SaaS) come software distribuito, gestito e posseduto remotamente da uno o più provider (Key Issues for Software as a Service "). Analogamente possiamo definire la Security as a Service come controlli di sicurezza che sono effettuati, distribuiti e gestiti remotamente da uno o più fornitori. L utilizzo di SaaS permette una forte riduzione dei costi e un rapido deployment I Security as a Service, analogamente, garantiscono gli stessi vantaggi

25 Managed o in House L idea di consegnare le proprie informazioni a terze parti è causa di forti resistenze e conflitti interni che, molto spesso, impediscono una valutazione coerente dei vantaggi, sia a livello economico che di incremento del livello di sicurezza Come per il SaaS, anche nel caso dei security as a sevice è fondamentale la scelta del provider Molti provider offrono i servizi di managed security solo con l obiettivo di avere un offerta completa ma non riescono a garantire elevati livelli di competenza, disponibilità e sicurezza

26 Marketscope for MSS in Europe Rapporto pubblicato da Gartner nel 2009 (G ), con l obiettivo di analizzare l andamento di questo particolare segmento di mercato in Europa, del quale si evidenziano i seguenti elementi: le realtà complesse non riescono più a gestire in house, in maniera adeguata, i servizi di sicurezza e si rivolgono a quei soggetti che invece lo sanno fare molto bene (e solo a quelli che lo sanno fare molto bene) Il mercato dei Managed Security Services (MSS) in Europa ha ormai raggiunto un buon livello di maturità ed è in continua crescita, sia in termini di volume che in termini di varietà di servizi offerti.

27 Marketscope for MSS in Europe Nel 2009, i MSS erogati, hanno fruttato ricavi per 1.7 miliardi di dollari e permettono di stimare una crescita annuale, nel quinquennio , pari al 12% in termini di fatturato e al 14% in termini di numero di clienti. Risulta in pratica il settore del mercato della sicurezza con il tasso di crescita più alto. Un indagine effettuata su 48 MSSP è risultato che al momento in questo settore di mercato ci sono circa 3500 esperti di sicurezza impiegati che gestiscono circa device dedicati alla sicurezza (firewall, network IPS, and and Web gateway devices) per circa 4000 clienti.

28 Marketscope for MSS in Europe I servizi più gettonati sono i seguenti: Firewall services IDS and IPS services (network and server) Secure Web and gateway Vulnerability scans Threat intelligence information Log management services Non si tratta di servizi per tutte le tasche. Il contratto medio in Europa, circa il 45%, oscilla tra 100K e 500K Euro (negli USA tra 100K e 150K e nell area Asiatica il 57% è sotto i 150K)

29 Market overview: MSS Rapporto pubblicato da Forrester nel 2010, con l obiettivo di analizzare il mercato dei Managed Security Services. Nel documento si evidenziano i seguenti elementi: Dopo anni di reticenza ad esternalizzare la security, negli ultimi anni, malgrado la crisi economica (o forse proprio grazie ad essa n.d.r.) si assiste ad una inversione di rotta Il 25% degli intervistati ha esternalizzato il servizio antispam e il 12% sta valutando di farlo nei prossimi 12 mesi Il 13% ha esternalizzato il servizio di vulnerability management ed il 19% ha dichiarato di volerlo fare nei prossimi 12 mesi Il mercato dei MSS (stimato in 4,5 miliardi di dollari a livello globale) ha avuto una crescita costante che, per i prossimi anni, viene prudenzialmente valutata intorno all 8%

30 Market overview: MSS perché?

31 Market overview: Evoluzione dei MSS Le nuove esigenze dei clienti: nuove metriche che permettano alle organizzazioni non tanto di tagliare i costi della sicurezza quanto di spenderli in progetti ordinati secondo una corretta priorità il target sensibile si è significativamente spostato dai componenti hardware verso la debolezza delle applicazioni servizi volti ad effettuare security e risk assessment seguendo framework internazionali riconosciuti investigatori che analizzino le informazioni prodotte dall infrastruttura di sicurezza e le mettano in stretta relazione con gli asset secondo la loro criticità

32 Quanto Managed Il livello di esternalizzazione che si intende applicare per ogni servizio di sicurezza DEVE essere una scelta aziendale tra due diversi modelli: Fully Managed : tutte le attività di gestione delle piattaforme di sicurezza vengono cedute al MSSP che, di fatto, ne assume il totale controllo. Co-Managed : l organizzazione mantiene il controllo delle sue piattaforme di sicurezza e il MSSP fornisce solo servizi di controllo, di intelligenze e/o di raccolta log.

33 MSS: Analisi SWOT? Punti di forza (Strengths) FOCUS Il personale dell IT può svolgere altri compiti SKILLS Il MSSP ha la responsabilità delle competenze sulla security EFFICIENZA MSSP è più efficiente nell erogazione del servizio COSTI FISSI Il costo della security è stabilito a priori L M Opportunità (Opportunities) I clienti possono concentrarsi sulle attività core; le piattaforme di ICT Security sono gestite da personale dedicato Possibilità di restare aggiornati sulle evoluzioni senza rallentare il core business I clienti possono pubblicizzare il proprio brand come molto sicuro L M H H Debolezze (Weakness) GENERICITA Non è possibile customizzare le piattaforme di security POLICIES Le policy di security ed IT devono comunque essere mantenute dal cliente APATIA I MSS possono generare un falso senso di sicurezza negli utenti L Minacce (Threats) Percezione di una minore sicurezza per aver esternalizzato la gestione delle proprie piattaforme di sicurezza L M M H H

34 Agenda La Società Il contesto di riferimento L organizzazione di partenza I Managed Security Services Il Security Global Control Center

35 A C C E S S M A N A G E M E N T Il Security Global Center SECURITY GLOBAL CONTROL CENTER (SGCC) Monitoraggio e Gestione Reti NOC Network Operation Center INFORMATION SECURITY ISOC Information Security Operation Center Monitoraggio e Gestione Sicurezza Monitoraggio Servizi CR Control Room PSOC Physical Security Operation Center M O N I T O R I N G Monitoraggio Facility PHYSICAL SECURITY

36 La Soluzione co-managed La regia e la componente autorizzativa restano alle strutture di competenza dell azienda Adozione da parte del provider delle procedure previste nei sistemi aziendali (SGSI/ITIL) L unità di crisi prevede il coinvolgimento diretto di alcune funzioni aziendali Per le problematiche di sicurezza escalation verso la funzione aziendale preposta

37 Il modello adottato Modello REATTIVO Modello PROATTIVO Incident/change Monitoring in real time Richiesta di assistenza dall utente Decadimento prestazioni dall utente Fault operativo Incidente sicurezza Determinazione del problema Determinazione del problema Apertura del ticket Apertura del ticket Analisi delle cause Analisi delle cause Azioni di I livello (Applicazione di soluzioni certificate) Azioni di I livello (Applicazione di soluzioni certificate) Azioni di II livello Supporto specialistico Outsourcer Sistemi Supporto Interno Outsourcer Security Supporto Vendor tecnologia

38 SGCC: Alcuni dati Tempo necessario per l attivazione del servizio: 3 mesi Piena operatività (6x20 + Reperibilità 7x24): 15 mesi Risorse interne riallocate: 5 Incident gestiti al 30/09/2012: Change gestiti al 30/09/2012: Richieste di assistenza al 30/09/2012: Richieste di Access Management al 30/09/2012: Vecchia finestra di presidio: /Lun-Ven Nuova finestra di presidio: /Lun-Sab

39 Valutazioni L impatto economico della gestione dei servizi (non solo di security) è rimasto sostanzialmente invariato I tempi di esecuzione delle attività connesse ai servizi gestiti dall SGCC sono visibilmente migliorati e garantiti da SLA La finestra di servizio prolungata con presenza fisica 6X20 assicura maggior reattività in caso di incidenti Le competenze del personale dell SGCC sono focalizzate sui sistemi in gestione nell ottica di garantire la continuità del servizio Il rispetto delle policy di Informatica Trentina è Mission costitutiva per l outsourcer

40 Vrae? Afrikaans Вопросы? Russian Questions? English Fragen? German Preguntas? Spanish Ερωτήσεις; Greek أسئلة Arabic 質 問? Japanese 問 題 呢? Chinese Domande? Italian tupoqghachmey? Klingon שאלות? Jewish प रश न? Hindi Quaestio? Latino Questions? French