CYBER DEFENCE E SIMULAZIONI LIVE-FIRE: un approccio organizzativo e tecnico

Transcript

1 CYBER DEFENCE E SIMULAZIONI LIVE-FIRE: un approccio organizzativo e tecnico Seminario Master in Sicurezza Informatica Dipartimento di Informatica dell'universitá di Roma "La Sapienza" 3 febbraio 2015 Gen. B. Umberto Maria CASTELLI Comandante del Comando C4 Difesa Ten.Col. Marco DE FALCO Ufficio Sicurezza Comando C4 Difesa

2 2 NON CLASSIFICATO CYBER DEFENCE E SIMULAZIONI LIVE-FIRE: un approccio organizzativo e tecnico Sommario Il Comando C4 Difesa Esercitazioni di CD in ambito nazionale e NATO L'esercitazione "Locked Shields 2014" Evoluzioni CD

3 IL COMANDO C4 DIFESA Massimo organo tecnico operativo in ambito Interforze L'acronimo "C4" sta per: Command Control Communication Computer systems

4 IL COMANDO C4 DIFESA UBICAZIONE Comando C4 Difesa

5 IL COMANDO C4 DIFESA COMPITI ISTITUZIONALI Garantire il corretto funzionamento dei sistemi ICT e dei servizi applicativi per le F.A. e l Area di Vertice Interforze (SMD, SGD, Direzioni Generali, Add. Militari, Magistratura Militare): SIV, SIV2, SISAD, SIPAD, INFOGEST, SIAC, ETC Assicurare servizi di connettività (RIFON, AERNI, DIFENET, INTERNET) e servizi «core» alle F.A. (DNS, Foresta di Dominio, Identity Management, etc) Gestire la sicurezza delle reti e dei sistemi interforze (configurazione servizi/apparati di sicurezza, monitoring, incident handling, vulnerability / risk assessment ) Fornire supporto all utenza dei sistemi di cui sopra ( help desk )

6 6 NON CLASSIFICATO IL COMANDO C4 DIFESA SISTEMI INFORMATIVI GESTIONALI SISDEV 33 Sistemi Analisi e Supporto alle decisioni SIPAD GOPERS WEB ACCESSI SIRACC CMD epass INFOCIV IMPERS SICAD ITAP SIAFA MEF SIV 1 SIV 2 INFOGEST MEF SACS SICOS SISPAS SISAD SDO GEPADD SIAC SILAD Prot.inf SMD SIGMIL WISE Portale tecnico C4 Personale Economici e finanziari Sanità Logistica Documentale Comuni GEIRD IAM TFS Tab.Ti.Dife Per un totale di utenti

7 IL COMANDO C4 DIFESA STRUTTURA ORDINATIVA Capo Rep. VI SMD MODELING & SIMULATION CoE COMANDANTE C4D SICRAL UFFICIO SUPPORTO GENERALE E PERSONALE SERVIZIO AMMINISTRATIVO Vice Comandante UFFICIO PROGETTI E REQUISITI UFFICIO RETI E SERVIZI D INFRASTRUTTURA UFFICIO SICUREZZA UFFICIO SISTEMI INFORMATIVI CENTRALIZZATI UFFICIO ASSISTENZA UTENTI

8 IL COMANDO C4 DIFESA COMPONENTI CAPACITIVE NETWORKING Network Operation Center NOC Information Operation Center IOC SMD-6 Comando C4 Difesa MANAGEMENT SERVICES CYBER SECURITY CONTROL ROOM/CALL CENTER Cyber Defence CERT SOC Modelling & Simulation CoE Centro di controllo e gestione SICRAL

9 Seminario Master in Sicurezza Informatica Dipartimento di Informatica dell'universitá di Roma "La Sapienza" 3 febbraio 2015 Ten.Col. Marco DE FALCO Ufficio Sicurezza Comando C4 Difesa

10 IL COMANDO C4 DIFESA UFFICI TECNICI Capo Rep. VI SMD MODELING & SIMULATION CoE COMANDANTE C4D SICRAL UFFICIO SUPPORTO GENERALE E PERSONALE SERVIZIO AMMINISTRATIVO Vice Comandante UFFICIO PROGETTI E REQUISITI UFFICIO RETI E SERVIZI D INFRASTRUTTURA UFFICIO SICUREZZA UFFICIO SISTEMI INFORMATIVI CENTRALIZZATI UFFICIO ASSISTENZA UTENTI

11 IL COMANDO C4 DIFESA STRUTTURA ORDINATIVA UFFICIO RETI E SERVIZI D INFRASTRUTTURA SEZIONE SERVIZI, INFRASTRUTTURA E INTEROPERABILITA SEZIONE SISTEMI CLASSIFICATI UFFICIO SICUREZZA SEZIONE DIRETTIVE E CYBER DEFENCE SEZIONE CERT SEZIONE CONTROLLI DI SICUREZZA SEZIONE PKI (CMD) ANTIVIRUS ANTISPAM / MAIL FILTERING WEB CONTENT FILTERING WEB APPLICATION FIREWALLS USER POLICIES ENFORCING (GPO) FIREWALLS VPN MANAGEMENT INTRUSION DETECTION SYSTEMS INTRUSION PREVENTION SYSTEMS SIEM (EVENT CORRELATION) TRAFFIC SHAPERS INCIDENT HANDLING UFFICI ATTINENTI LA CYBER SECURITY SECURITY EVALUATIONS PENTESTING RISK ASSESSMENT PKI (AUTHENTICATION)

12 IL COMANDO C4 DIFESA IL CERT DIFESA Computer Emergency Response Team (CERT): con funzioni di Technical Center per il coordinamento dei CERT del dominio Difesa. Raccogliere segnalazioni di incidenti e vulnerabilità sistemi informatici. Direttiva SMD-I-013 Ed Procedure di Riposta agli Incidenti Informatici IL COMANDANTE C4 DIFESA è responsabile della sicurezza informatica per SMD

13 Esercitazioni di Cyber Defence (CDX) nazionali e NATO Tipologia Caratteristiche Esempi PROCEDURALE Esercitazione «a tavolino» di livello concettuale CYBER EUROPE SEMI PROCEDURALE Esercitazione procedurale con alcuni injects di tipo reale CYBER COALITION "LIVE-FIRE" Massimo livello di realismo, riproduzione fedele delle situazioni ed uso di strumenti reali LOCKED SHIELDS

14 Finlandia Svezia Tallinn Estonia Lettonia Russia Roma

15 Esercitazioni di CD in ambito NATO: Il Cooperative Cyber Defence Centre of Excellence Il Centro di Eccellenza per la Difesa Cooperativa nei conflitti informatici (CCDCoE) è un entità attualmente finanziata e composta da 14 Sponsoring Nations (Estonia, Francia, Germania, Inghilterra, Italia, Lettonia, Lituania, Olanda, Repubblica Ceca, Repubblica Slovacca, Spagna, Ungheria, Polonia e Stati Uniti). ufficialmente accreditato come Centro di Eccellenza NATO (NATO CoE) sin dal 28 Ottobre 2008 diretto e investito delle attività da effettuare da uno Steering Committee multinazionale composto dalle sopra menzionate 14 Nazioni, aventi uguale diritto di voto

16 Esercitazioni di CD in ambito NATO: Il Cooperative Cyber Defence Centre of Excellence La missione del CCD COE è... aumentare la capacità, la cooperazione e lo scambio di informazioni tra la NATO, le nazioni facenti parte della NATO e i partner accreditati nella difesa dai conflitti informatici ( cyber conflicts ) per mezzo di formazione, educazione, ricerca e sviluppo, lessons learned e consulenza.

17 Esercitazioni CDX Locked Shields ( Live-fire Cyber Defense exercise )

18 LOCKED SHIELDS 2014 CONCEPT Esercitazione tecnica di cyber defence (CDX) live fire di tipo Blue - Red : - I Blue Teams (x12) devono mettere in sicurezza e difendere una propria rete virtuale precostituita da circa 40 macchine, nelle quali sono presenti diverse vulnerabilità non dichiarate - Il Red Team (x1, Tallinn) conduce attacchi informatici reali contro tutti i Blue Teams secondo un approccio white-box Organizzatori: CCDCOE (Cooperative Cyber Defence Center of Excellence), Forze Armate estoni, Cyber Defence League estone, Forze Armate finlandesi.

19 LOCKED SHIELDS 2014 CONCEPT Oltre ai teams blue e red, sono presenti anche altri tipi di squadre: - Legal Teams (1 x ogni Blue Team), sono un «sottoinsieme» dei blue teams, e forniscono consulenza legale al blue team di appartenenza - White Team (x1, Tallinn), responsabile del controllo dei partecipanti, della corretta applicazione delle regole e dello scoring - Green Team (x1, Tallinn), responsabile del setup e della manutenzione tecnica dell infrastruttura esercitativa. Supporto tecnico fornito da Cisco, Clarified Networks, Clarified Security e Codenomicon.

20 LOCKED SHIELDS 2014 CONCEPT - Yellow Team (x1, Tallinn), responsabile della situational awareness dell esercitazione. Il suo compito è quello di analizzare informazioni provenienti da diverse fonti e fornire un feedback al White Team, al Red Team e ai Blue Team ("SA solutions").

21 Esercitazione Locked Shields Relazioni tra teams GREEN WHITE YELLOW REPORTS CONTROL RED ATTACKS BLUE_1 BLUE_2 CO-OP BLUE_n LEGAL LEGAL LEGAL

22 Esercitazione Locked Shields 2012 ( Live-fire Cyber Defense exercise ) RED TEAM

23 Esercitazione Locked Shields 2013 ( Live-fire Cyber Defense exercise ) BLUE TEAM 1

24 Esercitazione Locked Shields 2013 ( Live-fire Cyber Defense exercise ) BLUE TEAM 1

25 Esercitazione Locked Shields 2013 ( Live-fire Cyber Defense exercise ) WHITE TEAM

26 ESERCITAZIONI LOCKED SHIELDS FINALITA Gli scopi della CDX Locked Shields sono: 1) rendere il personale tecnico delle nazioni partecipanti preparato a sostenere e risolvere attacchi informatici intensi e su larga scala, costringendolo anche a fronteggiare imprevisti e a ricorrere a soluzioni innovative (workaround out-of-the-box ); 2) abituare le nazioni alla cooperazione internazionale spinta e ad un proficuo scambio di informazioni; 3) sviluppare capacitá di gestione della comunicazione verso i media durante le crisi informatiche; 4) sviluppare competenza professionale anche dal punto di vista legale.

27 LOCKED SHIELDS 2014 SCENARIO (1/2) Situazione fittizia aderente a casi reali (Estonia, NATO, etc.) Ogni Blue Team rappresenta un Rapid Reaction Team (RRT) della Berylia, una nazione da poco entrata nella NATO la cui industria nazionale è molto conosciuta per l' esperienza nello sviluppo di droni militari miniaturizzati. Il mandato dei RRT è quello di amministrare e difendere i sistemi ICT di R&S delle industrie dei droni, rimasti inspiegabilmente privati dei propri "Chief admins" e posti sotto attacco da movimenti antagonisti della tecnologia drone. Da questi siti saranno governati remotamente droni che saranno presentati in una "live demo" al Dubai World Drone Expo.

28 LOCKED SHIELDS 2014 SCENARIO (2/2) Il Red Team rappresenta un gruppo di hacktivisti conosciuto come NoForRobots! (NFR) che sostiene la lotta contro la tecnologia dei droni. Il loro intento è quello di attaccare e degradare i sistemi informatici delle industrie dei droni, allo scopo di causare un grave danno di immagine (Dubai Expo) e/o di compromettere i segreti industriali a danno della Berylia. E' possibile che l' NFR sia sponsorizzato dalla Crimsonia, una nazione rivale della Berylia. Quindi, nella pratica, i membri del Red Team attaccheranno le reti dei Blue Teams, cercando di sfruttare le vulnerabilità presenti.

29 LOCKED SHIELDS 2014 AMBIENTE TECNICO Tutti gli ambienti di esercitazione sono implementati su infrastrutture di virtualizzazione VMware vsphere v5.5, installate presso il CCDCOE e accedute dai players tramite VPN su connettività Internet.

30 LOCKED SHIELDS 2014 AMBIENTE TECNICO I Blue Teams dovranno gestire una rete segmentata in un totale di 7 DMZ, nelle quali saranno presenti le seguenti macchine: - Routers Cisco - Firewalls e gateways VPN basati su pfsense Linux - Workstations Windows XP, Windows 7 e Ubuntu - Controllers di dominio Windows - Servers web, DNS, SMTP, POP3, IMAP, FTP, SMB (su piattaforma Windows e Linux) - Sistemi VoIP Cisco UCM - Tablets Android - Sistemi di videosorveglianza basati su IP cams

31 Attività di competenza (1/2) Ogni Blue Team, da parte sua, deve: 1) scoprire ed eliminare tutte le vulnerabilità presenti nelle proprie reti nel minor tempo possibile (prima che il Red Team riesca a sfruttarle); 2) gestire compromissioni di macchine non patchate in tempo o compromesse tramite vulnerabilità applicative web 3) rilevare e notificare attività malevole, anche di tipo stealth (high score!);

32 Attività di competenza (2/2) 4) comunicare alle altre Blue Teams gli eventi di attacco secondo una corretta gestione dell incidente; 5) inviare periodicamente al White Teams SITREPs e risposte agli injects nel rispetto dei tempi imposti; 6) comunicare ai media gli eventi in corso secondo una corretta gestione delle pubbliche relazioni; 7) fornire consulenza legale, tramite il proprio Legal Team, riguardo a specifiche richieste inoltrate dal White Team. Il Legal Team verrà anche interrogato dal White Team per valutare la sua comprensione degli aspetti tecnici!

33 Attività di competenza (3/3) I Blue Teams NON conoscono la configurazione delle macchine dislocate nella propria rete ma solo uno schema topologico. Circa una settimana prima dello svolgimento della CDX, vengono loro concessi due sessioni di 8 ore giornaliere per condurre i propri assessment e un DAY0 di test. Viene inoltre loro concessa la possibilità di installare due VM proprietarie (max 8 vcpu, 8 GB RAM,100 GB disk). Alla fine del DAY0 tutte le macchine (eccetto le VM proprietarie) vengono ripristinate alla loro configurazione originale (ogni patch è quindi inutile prima del DAY1).

34 Valutazione e punteggio Ogni Blue Team viene valutato in termini di punteggio in base alle attività effettivamente condotte in modo da motivarli e misurare i loro skills. La valutazione avviene in modo automatico tramite scoring bots e uno scoring server, supervisionata e integrata/corretta dal White Team. TUTTE LE ATTIVITA DI COMPETENZA PRECEDENTEMENTE ELENCATE SONO OGGETTO DI VALUTAZIONE!

35 LOCKED SHIELDS 2014 PROFILI E RUOLI RICHIESTI Tecnici (configurazione, hardening, patching, detection e remediation): - Sistemisti Cisco IOS (routers) e Cisco UCM (VoIP) - Sistemisti Windows (XP, 7, Active Directory) - Sistemisti Linux (workstation e server) - Web masters / developers (server-side scripts) Operatori per coordinamento di Incident Response (information sharing e incident reporting) Consulenti legali Addetti stampa per comunicazioni ai media

36 LOCKED SHIELDS 2014 ORGANIZZAZIONE DEL BLUE TEAM ITALIANO Firewall specialists ISD/IPS "watchkeepers" Windows system analysts Linux system analysts Malware analysts (incident handlers) Network specialists Reporters Web developers (interventi sui siti web, analisi di vulnerabilità delle applicazioni web) Esperti legali Public Information Officers

37 Esercitazione Locked Shields 2014 ( Live-fire Cyber Defense exercise )

38 Esercitazione Locked Shields 2014 ( Live-fire Cyber Defense exercise )

39 LOCKED SHIELDS 2014 CLASSIFICA FINALE GENERALE Posizione Nazione Punteggio Team 1 POLONIA BT 6 2 LETTONIA+REP.CECA BT 10 3 ESTONIA BT 4 4 AUSTRIA+LITUANIA BT 5 5 ITALIA BT 3 6 FINLANDIA BT 11 7 NATO (NCIRC) BT 1 8 TURCHIA BT 7 9 GERMANIA+OLANDA BT 2 10 UNGHERIA 9189 BT 8 11 FRANCIA 8047 BT SPAGNA 6460 BT 9

40 LOCKED SHIELDS 2014 PUNTEGGIO PER TEAM / TIPOLOGIA

41 LOCKED SHIELDS 2014 CONSIDERAZIONI GENERALI ANALISI DEGLI EVENTI

42 LOCKED SHIELDS 2014 CONSIDERAZIONI GENERALI Esercitazione nettamente piú complessa delle CDX procedurali e semi-procedurali e ancora più complessa della LS2013 Scenario verosimile ma impegnativo L esercitazione coniugava aspetti tecnici cyber e aspetti procedurali cyber, così come aspetti non-cyber classici di esercitazioni convenzionali ( injects )

43 LOCKED SHIELDS 2014 LA NOSTRA STRATEGIA "Patchare" tutto il possibile quanto prima possibile Non permettere ai firewall di inoltrare il traffico inbound/outbound finquando le macchine non risultino "patchate" ad un livello accettabile (anche se questo significa perdere punteggio per gli SLA) Tenere attivamente sotto monitoraggio le macchine in rete con scripts proprietari per rilevare IoCs (indicatori di compromissione) Se un positivo viene rilevato, scalare l'evento immediatamente ad un analista con maggiore esperienza, che provvederà a relazionare i reporters

44 LOCKED SHIELDS 2014 PROBLEMATICHE RISCONTRATE Ambiente eccessivamente popolato da visitatori e osservatori esterni Carenza di expertise sulla parte VoIP e Android Non corretta valutazione importanza del buon funzionamento delle workstations utente Windows e Android, causando punteggio negativo ad opera delle "blondes"! Non corretta gestione degli injects non tecnici (ops, media, legal) e delle attività di reporting, causa di punteggi negativi in ragione di ritardi

45 LOCKED SHIELDS 2014 PROBLEMATICHE RISCONTRATE Scarsa cooperazione con gli altri BTs (esempio della Polonia) Scarsa qualità SITREPs (esempio Germania) Impossibilità a configurare la VM IDS proprietaria (Snorby) compatibilmente all' incapsulamento ERSPAN, costringendoci all'uso dell'ids di pfsense "preconfezionato, utile ma non sofisticato

46 LOCKED SHIELDS 2014 PUNTI DI FORZA Punteggio negativo più basso di tutti i Blue Team di tipo "Attack" (attacchi portati a segno), grazie a una buona strategia di difesa (regole sui firewall e patching) Ottima configurazione dei router BGP (definita dai giudici di gara "brillante") che ci ha permesso di difenderci con successo dal BGP hijacking

47 LOCKED SHIELDS 2014 CONSIDERAZIONI FINALI

48 LOCKED SHIELDS 2014 CONSIDERAZIONI FINALI NECESSITA' DI: PIU' TEMPO! Abbiamo iniziato a prepararci con troppo ritardo, nonostatnte il fatto di aver avuto lo stesso problema il precedente anno Essere più selettivi sul personale (players). E' bene scegliere solo persone realmente ben preparate, e possibilmente già in possesso di esperienza di partecipazione alle precedenti edizioni della Locked Shields Disporre di POS e checklists ben definite, e di tools collaudati e pronti all'uso che hanno dimostrato di funzionare bene (scripts)

49 LOCKED SHIELDS 2014 CONSIDERAZIONI FINALI Essere PUNTUALI nelle risposte agli injects Ricevere feedback accurati dal White Team (esempi di come le cose dovrebbero essere fatte) per imparare a produrre buoni reports e buone risposte agli injects Considerare ogni aspetto / dispositivo dell'esercitazione senza eccezione per evitare sorprese

50 LOCKED SHIELDS 2014 CONSIDERAZIONI FINALI Esercitazione sbilanciata a favore del Red Team Necessità di: - grande impegno comune - personale - skills di alto livello - coordinamento - comunicazione - preparazione (tempo) Ottima opportunità di apprendimento

51 EVOLUZIONI CD VIRTUAL CYBER DEFENCE BATTLE LAB Comando C4 Difesa Virtual Cyber Defence Battle Lab Piattaforma di simulazione (ambiente di virtualizzazione) e locali di fruizione presso il Comando C4 Difesa Coniugazione di risorse elaborative virtuali (VMs) e reali (network appliances) Utilizzabile per: ricerca, testing, addestramento, esercitazioni Possibilitá di sinergia con molteplici partecipanti (Forze Armate, Istituzioni, Ministeri, Accademia, NATO, industria, etc.)

52 EVOLUZIONI CD VIRTUAL CYBER DEFENCE BATTLE LAB Cisco UCS blade servers Potenza (~ 200 VMs) Modularitá (8 blades) Semplicitá di gestione (web GUI)

53 EVOLUZIONI CD VIRTUAL CYBER DEFENCE BATTLE LAB CASSETTI OTTICI (connettività in fibra) NETWORK SWITCH FABRIC INTERCONNECTS (x2) FIREWALL PALO ALTO SAN QNAP nbox NETWORK RECORDER (ntop) SERVERS CISCO UCS (4 BLADES + 4 ALIMENTATORI, 0.5 TB RAM)

54 EVOLUZIONI CD VIRTUAL CYBER DEFENCE BATTLE LAB INTERNET ATD (Advanced Threat Defence) device DIFENET (PRODUCTION NETWORK) LAB NETWORK Cyber lab virtualization infrastructure

55 EVOLUZIONI CD VIRTUAL CYBER DEFENCE BATTLE LAB Locali di fruizione

56 Virtual Cyber Defence Battle Lab MAX. 20 PLAYERS MAX. 5 ADMINISTRATORS OR 25 SCIENTISTS

57 Virtual Cyber Defence Battle Lab BLUE TEAM 3

58 Virtual Cyber Defence Battle Lab BLUE TEAM 3

59 EVOLUZIONI CD VIRTUAL CYBER DEFENCE BATTLE LAB COMANDO C4D PIATTAFORMA DI SIMULAZIONE LOCALI DI FRUIZIONE BLADES LAB / CDX ROOM MGMT SAN FI SWITCH PLAYERS / SCIENTISTS tunnels VPN FW SMD-2 CII DIFENET ALTRI PARTNERS ENISA MNE-7 AERONET CERT AM EINET MARINTRANET CERT MM INTERNET STRUTTURE NATO NCIRC CCDCOE CERT EI STELMILIT SCUTI INDUSTRIE E SETTORE PRIVATO PUBBLICHE AMMINISTRAZIONI PARTNERS NATO QXN MISE PCM DIGIT-PA MAE MEF MIUR MININT

60 CYBER DEFENCE E SIMULAZIONI LIVE-FIRE: un approccio organizzativo e tecnico Domande?