Network&Information Security Incidents Management

Transcript

1 Network&Information Security Incidents Management Conferenza nazionale Cyber Security Energia Roma CASD 24 settembre 2015

2 Il contesto di business di TERNA (TSO italiano)

3 Le origini del cyber-risk ()ulnerabilità Disastri naturali Danni ambientali, incendio, allagamento, etc. che interessano aree tecniche ICT (CED, server room, server farm) Danni/perdite asset IT Perdite di devices/media, di informazioni, di integrità di informazioni, distruzioni records Fuori servizio Interruzioni internet e network, di servizi comuni di supporto, di energia, di climatizzazione, di risorse Minacce [1] (Threats) [1] ENISA Threat Mind Map Danni non intenzionali Guasti interni Attacchi fisici deliberati Non compliance legali A S S E T ICT Info-sharingerrato, leakage, uso/amministrazione errate, alterazioni non volute di dati, progetto/realizzazione inadeguate Failure di apparato/sistema, malfunzionamenti, guasti o danneggiamenti di servizi di provider Sabotaggio, vandalismo, furto, accesso fisico non autorizzato Sanzioni o perdite economiche per violazioni di leggi o di accordi contrattuali Attività malevoli, Abuse Furto identità, DOS/DDOS, malware, social engineering manipulations, impairment, damaging, misuse audit tools, unauthorized access, badware, targeted attack Intercettazioni Conseguenze di man in the middle, session hijacking, war driving, intercepting, eavesdropping, interferring, replay of messages

4 TSO: Almeno due domini tecnologici Cyber-threat Origini: Esterne ettori: Networks Threat Origini: Molteplici ettori: Molteplici Threat Origini: Molteplici ettori: Moltepici CYBERSPACE IT : information technologies OT: operational technologies (ICS/IACS) CT: communication technologies ST: security technologies

5 Scenari temuti e studiati ovunque EEI s U.S/International Utility Cybersecurity Dialog April

6 Strategic Guidelines High Level Policy Uso sicuro delle risorse informative ROMA, settembre 2015 La difesa parte dal quadro di regole Specific Rules collections Information Security FRAMEWORK Sicurezza nel ciclo di vita dei progetti ICT Controllo degli accessi logici Network and Communications Security Sicurezza Fisica ed Ambientale Sicurezza nel ciclo di vita dei dipendenti e nei rapporti con Terzi IT Asset Security (servers, workstations, other ICT platforms) Incident Management

7 Scenario ormai frequente Evento avverso di Information Security INCIDENTE riconosciuto e gestito TENTATIO di ATTACCO Evento/i di sicurezza che non causano danni e che non richiedono ulteriori azioni di contenimento o reazioni, da registrare sia a fini statistici che di valutazione minaccia. L evento è gestito automaticamente da contromisure tecnologiche messe in atto per diminuire i rischi di intrusione sui sistemi un evento che causa un danno e/o richiede un azione di contenimento e/o una reazione da parte delle strutture preposte. A questo tipo di incidenti si applica l intero processo di gestione incidenti suddivisibile nelle fasi di rilevazione, analisi, contenimento, eliminazione, ripristino e follow-up Prodromi di attacco Atti ostili attività esplorative non intrusive che possono però preludere ad un successivo attacco vero e proprio azioni che cercano di pregiudicare un aspetto qualunque dei servizi, ma che sono contenute da contromisure esistenti

8 Classificare l evento è un passaggio chiave Criticità/Severità Alta Misura qualitativa della gravità dell incidente in termini di: gravità del danno prodotto o potenziale e/o entità del disservizio causato e/o quantità dei sistemi coinvolti Media Bassa Indicazione relativa al blocco dei servizi o dei sistemi coinvolti, in termini: bloccanti: servizi impattati compromessi e non attivi; non bloccanti: i servizi impattati comunque erogabili, anche se con degrado di prestazioni e/o limitazioni di utilizzo. Mapping su ASSET di priorità Criticità/Severità 8

9 DPC Non possiamo stare soli Forze dell ordine e della sicurezza FF AOT Terze Parti IT Rischio Mercato Elettrico Safetye Gestione Criticità Rischio sistema elettrico CNC Centri Altre IC EU Altre IC nazionali Reti TLC (NOC) Sicurezza Fisica Rischio frodi Sistemi IT Enterprise Information& network Security Qual. fornitori Osservatorio rischi CNAIPIC Sistemi IT Mercato Sistemi OT CERT Nazionale

10 Tanti i momenti di collaborazione/cooperazione Azione sinergica sui confini della rete Analisi e prevenzione minacce in ingresso Analisi malware Threat discovery Threat intelligence Incident Handling Blocchi attività di rete in uscita Monitoraggio traffico 10

11 Un rapporto che matura Malware/Botnet 4 Phishing 2 Leak di credenziali da server ITA 2 Compromissione WordPress 1 Compromissioni server di aziende 3 ulnerabilità CISCO 1 CIMBL segnalazioni da CERT (marzo-agosto15) agosto15) Antivirus (blocco HASH) 8 Blocco domini e/o IP su Proxy/FW 12 Controllo area privata di Terna su sito CERT 4 Filtraggio su sistema Antispam 5 Richieste aggiornamento SW 3 Aggiornamento firme IPS 2 34 azioni di mitigazione Msg Abuse or Suspicious activity from host with IP 8 (ultimi 30 g.) Altri scambi non catalogati 11

12 Per la digital resilience di sistema DIS PCdM DIS CNAIPIC Org CISR NSC NISP CERT CISR AISE AISI naz Protocolli d intesa Info-sharing sicuro IC Triage omogeneo Requisiti minimi org.vi di SOC/CERT Investimenti in formazione collegiale IC IC IC IC IC IC Altri requisiti di settore (es.ca es.ca, std procurement, common criteria) IC Rafforzamento collaboration/cooperation/combined effort pubblico-privato elettrico IC gas