Combinare dinamicamente la Sicurezza e la Disponibilità delle informazioni per utilizzarne appieno il valore

Transcript

1 Combinare dinamicamente la Sicurezza e la Disponibilità delle informazioni per utilizzarne appieno il valore Andrea Rigoni Business Development Manager Symantec EMEA Southern Region

2 7 nuove vulnerabilità al giorno 99 Vulnerabilità gravi al mese 2640 vulnerabilità in un anno Breakdown of Volume by Severity High Severity Medium Severity Low Severity New vulnerabilities Jan02 Mar02 May02 Jul02 Sep02 Nov02 Jan03 Mar03 May03 Jul03 Sep03 Nov03 Month

3 Le contromisure adottate dalle Aziende colpite

4 Oltre il 66% del totale delle s è SPAM

5 L Italia entra in classifica...

6

7

8 Il Phishing

9 La percezione del rischio Aumenta il numero di Minacce Mole elevata di vulnerabilità da valutare e gestire Patch Management difficile da gestire Minore tempo di reazione Contromisure tradizionali sono inefficaci Il perimetro è difficile da definire Mancanza di competenza in azienda Troppi dati da troppi sistemi

10 Gli obiettivi della Sicurezza - Fundamental Information Risk Management

11 Dall analisi del Rischio alle Strategie di Protezione Il ministero delle Comunicazioni pubblicherà una linea guida rivolta alla PA e alle Infrastrutture Critiche intitolata La sicurezza delle reti: dall analisi alla gestione del rischio In questa linea Guida si sottolinea l importanza dell avviamento di un IRT e il modello che viene proposto ricalca i principi forniti in questa presentazione.

12 L Evoluzione Vulnerabilità Configurazioni e Architetture Applicazioni Processi e Persone 2636 Vulnerabilità di Sistema in un anno Minacce Esterne Globali e Locali Interne Blended Threats 0-Day Threats Impatto Information Integrity Disponibilità dei Servizi Riservatezza/Integrità dei Servizi Incidenti dall impatto non visibile

13 Alert su Vulnerabilità LSASS Buffer Overrun

14 1500 persone in 21 centri nel mondo Symantec Response Labs Symantec Monitored Countries Brightmail Logistic Op. Ctr. Symantec Security Operations Centers Over 25,000 DeepSight Data Partners, from over 180 Countries Calgary, Canada Dublin, Ireland Tokyo, Japan Taipei American Fork, UT San Francisco Redwood City, CA Santa Monica, CA San Antonio, TX Sydney, Australia Waltham, MA Alexandria, VA Newport News, VA London, England Berlin, Germany

15 Un esempio di Early Warning Minaccia W32.Sasser.Worm L analisi e la notifica preventiva ha protetto I Clienti di Symantec : Multiple Microsoft Vulnerabilities Alert and raised ThreatCon : TMS alerted on an example of possible exploitation : AS alerted on exploit code : TMS Alerted on first active exploitation of LSASS vulnerability and raised ThreatCon : Alert on original Sasser : Alert on Sasser and raised ThreatCon to Level : W32.Sasser.Worm Analysis 2.5 Days Early Warning 200,000 Port 445 IPs per hour 160, ,000 80,000 40,000 7:47 AM 7:39 AM 9:38 PM 0 Apr 26 Apr 27 Apr 28 Apr 29 Apr 30 May 1 May 2 May 3 May 4 Time: GMT

16 La situazione in tempo reale a questa mattina... 2 Generic IP SRC=127.x.x.x (localhost) Spoofing Attack 3 Generic SNMP Corrupted Packet Attack 1 Generic HTTP 'cmd.exe' Request Attack 4 Generic FTP Invalid UTF-8 Encoding Attack 5 Generic IRC Invalid Client Initialization Command Attack 1 SMTP SPAM Relay Attack

17 Response Integrata Definizione Virus Aggiornamenti Firewall Signature Intrusion Detection Un unico aggiornamento con LiveUpdate

18 Cosa ci domandano i clienti La correlazione permette di individuare gli incidenti? La correlazione degli eventi con i dati di Vulnerability Assessment aiuta a capire quant è il rischio d incidente o l impatto? Come possono aiutare i sistemi di Patch Management? E i Vulnerability Assessments Penetration Test?

19 Strategia, Applicazioni, Infrastrutture, Operations, Organizzazione

20 Che cosa è in grado di fornire Symantec Platforms: Windows Linux Solaris HP-UX AIX? Alert: Vulnerability & Policy Assessment (ESM) Early Warning & Security Intelligence (Deepsight) Assessments (application, systems, networks, processes) Security Awareness (SSAP) Rilevazione Rilevazione e Prevenzione delle Intrusioni (SNS) Analisi e Reporting eventi di Sicurezza (SESA) Gestione degli Incidenti (SIM 3) Supporto all analisi degli eventi e alla gestione degli Incidenti (Real Time Security Monitoring) Risposta Servizi di MSS Servizi di Supporto

21 Miglioramenti Continui e Tenure Miglioramenti L analisi periodica degli incidenti e la risoluzione degli incidenti ha un impatto sull impostazione di Sicurezza del cliente e sull efficacia delle contromisure Comportamenti Symantec utilizza una metrica che ha definito Client Tenure che misura l evoluzione dell efficacia dell impostazione di Sicurezza del cliente dovuta al servizio MSS. Percent of Companies Percent of Companies Detecting Severe Events by Client Tenure Client Tenure (Months)

22 Grazie per l attenzione andrea_rigoni@symantec.com