Il Ruolo delle Security Operations nelle Strategie Di Cybersecurity

Transcript

1 Il Ruolo delle Security Operations nelle Strategie Di Cybersecurity Integrated Cybersecurity & Risk Management Milano, 5 Marzo 2015 Fabio Battelli, CISSP, CISA, CISM, ISO LA Senior Manager, Cyber Risk Services Deloitte Enterprise Risk Services

2 Index 1 Strategie di Cybersecurity in EU e nel Mondo 2 Integrazione dei Cyber Risk nella Gestione dei Rischi 3 Approccio allo sviluppo delle Capability SOC/CERT Deloitte. All Rights Reserved.

3 Strategie di Cybersecurity in EU e nel Mondo Deloitte. All Rights Reserved.

4 Strategie di Cybersecurity Il contesto Mondiale A livello mondiale solo 30 dei 196 Stati riconosciuti sovrani a livello internazionale hanno reso pubblica una propria cyber-strategy; a questi vanno aggiunti i documenti strategici della NATO e dell Unione Europea Principali pilastri Fonte: I principi strategici delle politiche di cybersecurity (2013) identificare e classificare le infrastrutture critiche da proteggere 2. stabilire trattati, leggi e regole di condotta nazionali e/o internazionali ad hoc 3. sviluppare i rapporti diplomatici e rafforzare le partnership internazionali 4. focus sulla protezione dei diritti fondamentali, sulla privacy e/o sulla libertà di espressione 5. focus sul cyber-crime 6. trattare il cyber-spazio come dominio di warfare 7. creare apposite strutture politiche e decisionali per far fronte alla minaccia 8. sviluppare deterrenza per la prevenzione dei conflitti nel cyberspazio 9. incrementare i livelli di sicurezza, affidabilità e resilienza delle reti e dei sistemi informatici 10. rafforzare la condivisione delle informazioni (anche tra pubblico e privato), l early warning e le capacità di incident response 11. aumentare la consapevolezza pubblica della minaccia e l importanza della cyber-security 12. creare e/o incrementare il numero delle figure professionali ad hoc 13. incoraggiare l innovazione, la ricerca e lo sviluppo 2015 Deloitte. All Rights Reserved.

5 Strategie di Cybersecurity Il contesto Europeo Nel contesto europeo ben 16 degli attuali 28 Stati membri hanno una strategia di cyber-security già formalizzata: più della metà non solo a livello europeo ma anche rispetto al numero delle nazioni a livello internazionale (30) Elementi comuni europei 1. stabilire trattati, leggi e regole di condotta nazionali e/o internazionali ad hoc 2. sviluppare i rapporti diplomatici e rafforzare le partnership internazionali 3. incrementare i livelli di sicurezza, affidabilità e resilienza delle reti e dei sistemi informatici 4. rafforzare la condivisione delle informazioni (anche tra pubblico e privato), l early warning e le capacità di incident response Deloitte. All Rights Reserved.

6 Strategie di Cybersecurity Il contesto Europeo Lo studio EU-Deloitte EWRS Nel 2012 la Commisione Europea richiede a Deloitte uno studio di fattibilità per la realizzazione di un Early Warning and Response System (EWRS) a livello Europeo European-wide EWRS L European Early Warning and Response System (EWRS) si pone come obiettivo ultimo quello di fornire supporto operativo e facilitare la cooperazione tra le principali strutture di difesa all interno dell EU, consentendo al contempo: Rilevazione e identificazione degli incidenti Studio EU-Deloitte EWRS Immediata notifica a tutti i principali stakeholder Rapida reazione coordinata Obiettivi dello Studio Analizzare la fattibilità realizzativa di un EWRS a livello europeo Definire il perimetro di applicazione e gli aspetti tecnologici, organizzativi, legali ed economici di tale soluzione Proporre un piano implementativo Deloitte. All Rights Reserved.

7 Strategie di Cybersecurity Il contesto Europeo - Iniziative di cooperazione per la Gestione degli Incidenti I CERT (Computer Emergency Response Team) in Europa stanno già cooperando attraverso specifiche iniziative, ma adottando modelli diversi Principali Inizative Principali piattaforme MASSIF: Next generation SIEM Framework EWS STS: collects data from Honeypot systems that are part of STS' infrastructure and it aims to detect new trends regarding informatic attacks, making it possible to react in a timely manner. Studio EU-Deloitte EWRS Honey@Home/NoAH: public and private monitoring system, running using available resources on honeypots. NTSG: voluntary cooperation platform, aimed at supporting the restoration of the national infrastructure for electronic communications in connection with extraordinary events in society AbuseHelper: open-source project to automatically process incidents notifications CarmentiS: infrastructural and organizational framework for sharing, correlating and cooperatively analyzing sensor data ARAKIS-GOV: early warning system reporting threats arising on the Internet; It focuses on detection and characterization of new automated threats with a focus primarily, but not only, on exploits used in the wild, not malware Deloitte. All Rights Reserved.

8 Strategie di Cybersecurity Il contesto Europeo - Risultati dello studio EWRS Lo studio di fattibilità ha preso in considerazione tre possibili scenari implementativi di EWRS Scenario 1 Comunità chiusa per lo scambio di informazioni Scenario 3 Piattaforma integrate e ad accesso esclusivo da parte della Comunità Scenario 2 - A Comunità chiusa per lo scambio di informazioni ed il coordinamento dell incident response Studio EU-Deloitte EWRS 1 Information Exchange (AI) EWRS come piattaforma aperta di scambio informazioni focalizzata sulla collaborazione e comunicazione tra tutti gli Stati Membri 2 AI & Incident Response Piattaforma chiusa, accessibile solo ad un ristretto numero di stakeholder, con funzionalità di scambio informazioni e incident response 3 Active detection and response Piattaforma integrata e accessibile solo ad un insieme ristretto di stakeholders che offre funzionalità di scambio informazioni, incident response e servizi di monitoraggio e detection I tre scenari individuati non sono da considerarsi esclusivi; le differenze tra di essi devono piuttosto essere considerate come add-on che possono essere inclusi successivamente secondo un percorso evolutivo coerente con il livello di maturità che sarà raggiunto nei prossimi anni Deloitte. All Rights Reserved.

9 Strategie di Cybersecurity La situazione Italiana Il DPCM del 24 gennaio 2013 contiene gli Indirizzi per la Protezione Cibernetica e la Sicurezza Informatica Nazionale con l obiettivo di riorganizzare l architettura istituzionale nel settore della cyber-security, attraverso una graduale e progressiva razionalizzazione di ruoli, strumenti e procedure Potenziamento delle attività di prevenzione, allertamento e approntamento in caso di eventuali situazioni di crisi. Messa in atto delle opportune azioni di risposta e ripristino, provvedendo se del caso ad attivare anche il Tavolo interministeriale di crisi cibernetica. Nucleo Interministeriale Situazione e Pianificazione (NISP) Nucleo per la Sicurezza Cibernetica presso Ufficio del Consigliere Militare Presidente del Consiglio dei Ministri CISR Comitato Interministeriale per la Sicurezza della Repubblica Organismo Collegiale di Coordinamento (DIS) Livello politico / strategico Livello di supporto operativo Comitato Scientifico Definizione della strategia nazionale di cyber-security nonché l emanazione delle conseguenti direttive d indirizzo. Attività istruttoria dei lavori del Comitato interministeriale, supporto al CISR durante le fasi di controllo dell implementazione del piano nazionale per la sicurezza del ciberspazio Verifica e coordina la gestione e la risposta alla crisi cibernetica da parte delle amministrazioni coinvolte, avvalendosi, ove necessario, del CERT nazionale. CERT Difesa Tavolo Interministeriale di Crisi Cibernetica CERT Nazionale c/o MISE Livello tattico e di gestione crisi CERT (altri Ministeri) Assiste l organismo collegiale e il Nucleo per la sicurezza cibernetica ed è composto da esperti provenienti dalla pubblica amministrazione, dal mondo accademico e dal settore privato All interno del processo istituzionale disegnato, gli operatori privati assumono un ruolo primario: infatti, gli operatori che gestiscono infrastrutture critiche di rilievo nazionale, da un lato devono comunicare ogni significativa violazione della propria sicurezza, dall altro devono adottare le misure di sicurezza predisposte dall Organismo Collegiale di Coordinamento Deloitte. All Rights Reserved.

10 Strategie di Cybersecurity La situazione Italiana A Dicembre 2013 anche l Italia ha pubblicato la propria strategia di Cyber Security nazionale, attraverso un Quadro Stategico e un Piano Nazionale che contengono gli obiettivi strategici e operativi della Cyber Security italiana Indirizzi Operativi 1 Potenziamento capacità di Intelligence 2 Coordinamento Pubblico-Privato 3 Security Awarness 4 Cooperazione internazionale / esercitazioni 5 Operatività dei CERT 6 Interventi legislativi e Compliance internazionale In linea con quanto previsto dal DPCM del 24 gennaio 2013, il presente Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico individua i profili e le tendenze evolutive delle minacce e delle vulnerabilità dei sistemi e delle reti di interesse nazionale Il presente Piano Nazionale individua gli indirizzi operativi, gli obiettivi da conseguire e le linee d azione da porre in essere per dare concreta attuazione al Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico Compliance a standard di sicurezza Supporto allo sviluppo industriale Comunicazione strategia Risorse 11 Information Risk Management nazionale Deloitte. All Rights Reserved.

11 Integrazione dei Cyber Risk nella Gestione dei Rischi Deloitte. All Rights Reserved.

12 Integrazione dei Cyber Risk nella Gestione dei Rischi Le funzioni SOC e CERT per la gestione dei rischi Cyber Come evidenziato dalle strategie di Cybersecurity adottate a livello Paese, il ruolo del Security Operations Center (SOC) e del Computer Emergency Response Center (CERT) risulta sempre più strategico per la gestione dei rischi Cyber nelle Organizzazioni Security Operations e Gestione degli Incidenti Cyber SOC (Security Operations Center) Il SOC rappresenta il punto nevralgico per il controllo ed il governo della sicurezza. É il luogo, fisico e logico, in cui convergono tutte le informazioni di sicurezza provenienti dall infrastruttura e necessarie a gestire, controllare e monitorare proattivamente la sicurezza in modo centralizzato e globale CERT (Computer Emergency Response Team) In collaborazione con il SOC (o parte stessa del SOC) è l unità operativa che si occupa di gestire gli eventi critici di tipo Cyber (Incidenti). Coopera inoltre con l intera Community di sicurezza (altri CERT, Istituzioni, ecc.) al fine di prevenire ed individuare tempestivamente i rischi Deloitte. All Rights Reserved.

13 Integrazione dei Cyber Risk nella Gestione dei Rischi Ruolo del SOC/CERT per la gestione dinamica" dei Rischi In un ottica integrata le attività di Security Operations del SOC e di Gestione incidenti del CERT avranno un ruolo sempre più determinante nell individuazione "dinamica" dei rischi a cui l Organizzazione è sottoposta Funzione Risk Management Processi e Asset Survey Automatici Integrated Risk Management Risk Management Framework Risk Snapshot Continous Cyber Risk Reporting Monitoraggio continuo Processi e Asset Audit Findings Incident Integrated Risk Management Vulnerabilità Tecniche Valutazioni Risk Owner Cyber Intelligence La valutazione tradizionale del rischio (snaphshot) è arricchito da indicatori reali (dinamici) provenienti dalle funzioni SOC/CERT La valutazione del rischio residuo (dopo il trattamento) è ricalcolato misuando l efficacia reale delle contromisure applicate sulla base dei dati forniti dal SOC/CERT Funzione SOC/CERT Deloitte. All Rights Reserved.

14 Integrazione dei Cyber Risk nella Gestione dei Rischi Il ruolo centrale del CERT nella Gestione dei Rischi Cyber Il CERT eroga servizi alla propria Constituency ed interagisce esternamente con l intera Community al fine di ottenere e contribuire ad avere una visione complessiva delle minacce e degli incidenti che si stanno verificando a livello locale e globale (Shared Situational Awarness) Constituency La Constituency è rappresentato dall insieme di persone, funzioni ed asset a cui i servizi CERT sono rivolti Enti o Authority di Settore Adeguamento e risposta alle richieste e alle regole degli Enti e/o Authority in cui opera l organizzazione Interlocutori Istituzionali e Governativi Coordinano la risposta agli incidenti nazionali e, a diverso titolo, ricevono e forniscono informazioni/supporto da e verso gli altri CERT Organizzazione interna (CERT Nazionale, CNAIPIC, Nucleo Sicurezza Cyber, ecc.) Aziende Controllate o Uffici periferici ICT, ICT Security CERT Abilitatore e coordinatore delle comunicazioni interne ed esterne sugli eventi critici di tipo cyber Interlocutori Nazionali (Privati) Gli interlocutori italiani con cui stabilire un legame di fiducia e di reciproco scambio al fine di rendere efficace la gestione degli incidenti Interlocutori Internazionali Gli enti esteri sono un interlocutore con cui creare un legame volto a condividere le informazioni, i metodi e le esperienze sia in ambito Finance che altri CERT ISAC, ENISA, FIRST, Trusted Introducer, altri CERT Shared Situational Awareness Internet Service Provider, CERT altre aziende, associazioni, ecc Deloitte. All Rights Reserved.

15 Approccio allo sviluppo delle Capability SOC/CERT Deloitte. All Rights Reserved.

16 Approccio allo sviluppo del SOC/CERT Alcune domande tipiche L applicazione degli standard e delle best practice di riferimento rappresentano solo il primo passo per la definizione e realizzazione di un SOC/CERT. L esperienza conferma la necessità di modellare accuratamente tali Fuzioni in relazioni agli obiettivi e alle caratteristiche specifiche dell Organizzazione Obiettivi e Strategia Quali sono gli obiettivi del SOC/CERT per l Organizzazione? E richiesto l accreditamento della struttura? Quale è la Constituency a cui si rivolge? Quali mandati specifici deve recepire? (Compliance, politiche interne, internazionalizzazione, ecc.) Servizi erogati Quale servizi (catalogo) il deve erogare alla propria Constituency? Solo reazione o anche prevenzione? Quali ruoli e responsabilità tra il SOC/CERT e le altre funzioni (IT Security, Risk Management, ecc.), soprattutto nel monitoraggio e nella gestione degli incidenti? Strumenti e Tecnologia Quali soluzioni tecnologiche sono richieste per l erogazione dei servizi? (Ticketing, Dashboarding, Knowledge Base, ecc.)? Quale livello di integrazione con le altre soluzioni in uso presso altre funzioni? (ICT, Risk Management, ecc.)? Organizzazione / Modello Operativo Quale modello operativo è richiesto? Distribuito, centralizzato, virtuale, ecc.? Quanto personale deve essere impiegato nel SOC/CERT? Quali profili? Dedicato o part-time? Quanto personale deve essere impiegato nel SOC/CERT? Deloitte. All Rights Reserved.

17 Approccio allo sviluppo del SOC/CERT che richiedono l adozione di una metodologia di riferimento L utilizzo di una metodologia collaudata e la disponibilità di asset standard consentono di semplificare la nascita e lo sviluppo delle capacità indispensabili all erogazione dei servizi SOC/CERT ESEMPLIFICATIVO Deloitte. All Rights Reserved.

18 Approccio allo sviluppo del SOC/CERT anche in funzione del livello di protezione che si intende raggiungere L adozione delle tecnologie abilitati per l erogazione dei servizi SOC/CERT dovrebbe avvenire progressivamente secondo una target model specifico che agevoli anche l integrazione dei processi di gestione del rischio (Integrated Risk Management) ESEMPLIFICATIVO Situational Awareness Predictive & Behavioral Analysis Cyber Intelligence Active Defence Extended Protection & Adaptive Security Context-Aware Security Boundary Security Protection Level Data Leakege Prevention Data Encryption GRC Platform Asset Inventory & Classification Patch & Vulnerability Management SIEM Vulnerability Assessment Antivirus, Antimalware Policy Compliance Intrusion Prevention I&AM and PAM System NAC Cyber Intelligence Physical & Logical Security Integration Course of Action Automation Fraud Prevention PKI Real Time Computer Forensics Next Generation Firewall APT Real Time Prevention System Maturity Deloitte. All Rights Reserved.

19 Deloitte, the largest professional services network in Italy, first started its activity in this country in 1923 and boasts century old roots, combining a tradition of quality with avant garde methods and technological expertise. Deloitte's professional services, which include audit, tax, consulting and financial advisory, are rendered by various separate and independent firms, specialised in the single professional areas, which are all part of the Deloitte network. Today, the Italian network employs over 2,900 professionals who help their clients excel thanks to the confidence in the high level of service, in our multidisciplinary offering and our widespread geographical coverage. Deloitte provides audit, tax, consulting, and financial advisory services to public and private clients spanning multiple industries. With a globally connected network of member firms in more than 150 countries, Deloitte brings world-class capabilities and deep local expertise to help clients succeed wherever they operate. Deloitte's about 200,000 professionals are committed to becoming the standard of excellence. Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee, and its network of member firms, each of which is a legally separate and independent entity. Please see deloitte.com\about for a detailed description of the legal structure of Deloitte Touche Tohmatsu Limited and its member firms.