Security Operation Center contro le attuali cyber minacce. Swisscom Dialog Arena 2019

Transcript

1 Security Operation Center contro le attuali cyber minacce Swisscom Dialog Arena 2019

2 Security Operation Center contro le attuali cyber minacce Negli anni 80 l'accesso si bloccava così 2

3 Webinar Cyber Swisscom Security Report 2019 C1 Public Incidenti da tutto il mondo 3

4 Ma anche in Ticino 4

5 Security Operation Center contro le attuali cyber minacce La minaccia è reale Ogni mese Swisscom 20 Incidenti di sicurezza, Gestiti dal Swisscom CSIRT 2'200 Clienti privati contattati a causa di attacchi hacker sugli account dei clienti 3'009'000 Tentativi di attacco contro l'infrastruttura di Swisscom bloccati 3'000 Attacchi di phishing riconosciuti e bloccati 5

6 Duilio Hochstrasser, 28th March, Security Booster Training, C2 Internal Radar minacce 2019 La situazione della minacce resta complessa e stabile Gli attaccanti approfittano del valore crescente degli assets Attacchi mirati La crescita comune del mondo fisico e virtuale propone nuovi vettori d'attacco Political Influence AI/Analytics IoT-Based DDos Digitalisation Digital Identity Subscriber Compromisation Destabilising / Centralisation Security job market Drones & Robots Device Theft Infrastructure Masconfiguration Insider Threat Automatisation & Scaling All IP Increased Complexity Targeted Attacks (APT) Quantum Computing Ransomware Infrastructure 5G Security Integrity IoT Devices SCADA Decentralised Development Workplace Diversity 3D-Printing 6 Today Trend

7 Radar minacce 2019 Security job market: Difficoltà importante per la recluta di talenti Targeted Attacks: mirati e complessi oggettivi specifici Ransomware: Cifratura di dati critici domanda di riscatto per recuperare I dati AI/Analytics Targeted Attacks (APT) Increased Complexity Increased Complexity: LA complessità della architetture aumenta continuamente Ransomware Security job market AI/Analytics: Sempre più dati che possono essere utilizzati per influenzare il comportamento di una persona. Decentralised Development Decentralised Development: Nuovi metodi di sviluppo DevOps 7 Today Trend

8 Duilio Hochstrasser, 28th March, Security Booster Training, C2 Internal Superfice d'attacco Digitalizzazione Panoramica delle minacce cyber Fattori chiave Metodologie degli attacchi Sofisticazione Struttura degli attori criminali Profesionalizzazione 8 Mercato della criminalità Cyber Industrializzazione

9 Security Operation Center contro le attuali cyber minacce >99% delle minacce osservate nel primo semestre 2019 richiedono l'intervento di un utente per riuscire 9 Proofpoint

10 Security Operation Center in una architettura ibrida Private Clouds Public Clouds Security Operation Center Managed Endpoints BYOD On-Prem 10

11 Thank You! 11

12 Propagazione di un Malware Infection Phase Persistence Phase C2 Phase MALSPAM Attached Documents Malicious Macros or Scripts Marco/Script downloads Emotet Establish Persistence Conntects to C2 for further instructions. Download follow up malware NetPass.exe Web Browser PassView Mail Clients PassView Outlook Scraper Module Trickbot Ryuk 12 Credential Enumerator Module SMB Network Propagation Phase Download additional Malware

13 Detection Use Case Rilevamento di comportamenti anormali generati dai documenti MS-Office Terminali (Workplace) monitorati ~ 70'000 Action 26% % 13 Allowed Blocked Swisscom Managed Workplaces Time Range: January 2019 August 2019

14 Ersteller, Datum, Dokumentenname, C2 Internal Security Operation Center 14

15 Dai dati alla reazione Allerte Analisi Reazione Prevenzione 15

16 Security Operation Center contro le attuali cyber minacce Security Operation Center in una architettura ibrida Private Clouds Public Clouds Security Operation Center Managed Endpoints BYOD On-Prem 16

17 Incident Playbooks Security Alert Analyse YES False-Positive? Close NO Containment 17 Ticket Block / Quarantine CSIRT

18 SOC, sfide attuali Aumento costante delle allerte Manco di personale formato Infrastrutture differenti 19

19 Automazione 20

20 SOAR Technology, panoramica Security Orchestration, Automation and Response Orchestration Playbooks, workflows Logically organised plan of actions Activate and coordinate security product stack from central location Automation Automated scripts Extensible integration network Machine execution of playbooks tasks Response Case management Analysis & reporting Communication & collaboration 21

21 Automatizzazione: Opportunità e rischi Opportunità Riduzione dei tempi Sollievo per gli analisti Miglior qualità dei rilevamenti Attività di "Response" più efficienti Rischi Workflows complessi Lavoro per la manutenzione Livello di automazione elevato 22

22 Applicare le lezioni apprese Rilevamento Prevenzione Risposta 23

23 Duilio Hochstrasser, 28th March, Security Booster Training, C2 Internal Effettuare i compiti di base Key Messages Automazione / Orchestrazione 24 Training / Formazione / Risorse Anticipazione "Keep an eye on the threat landscape"

24 Informazioni diverse Swisscom Cyber Security Report : Documenti interessanti concernete Cyber Security 26