Advanced Security Operations

Transcript

1 Advanced Security Operations Quale percorso verso un modello di gestione avanzata di SOC e di risposta agli incidenti di sicurezza Davide Veneziano - RSA Technology Consultant Francesco Gelo - RSA Technology Consultant 1

2 L evoluzione dello scenario delle minacce Perseguire il giusto percorso verso un modello di SOC La proposizione RSA Demo Agenda 2

3 L evoluzione dello scenario delle minacce Attacchi in crescita ad organizzazioni di qualsiasi settore e dimensione In aumento campagne sempre più mirate, precise e durature Le cause che portano ad una perdita di dati sempre di più riconducibili a attacchi dall esterno Fonti: Ponemon 2013 Cost of Data Breach Study, Verizon 2014 DATA BREACH REPORT, Symantec Internet Security Threat Report

4 Come possiamo fronteggiare tale scenario? Approccio Tradizionale IT Operations Focus e Budget per bloccare minacce note Approccio Reattivo Nuovo Approccio Incident Response & Intelligence Focus su Detection Ruolo Proattivo SOC/CIRC come centro di controllo volto ad individuare, investigare e rimediare incidenti di cyber-security 4

5 Perseguire il giusto percorso verso un modello di SOC Misurare il proprio percorso di crescita all interno di un Capability Maturity Model Considerare e valutare congiuntamente Persone, Processi e Tecnologie con lo scopo di: Migliorare la governance Accrescere la posizione e il ruolo che la sicurezza occupa all interno dell organizzazione Fornire misure precise sull efficacia dell operato al management Processi Persone Tecnologie 5

6 La risposta agli incidenti all interno del mondo della sicurezza IT Incident Response come una funzione chiave Incident Response come un area emergente Incident Response Ad-Hoc 6

7 Quali elementi di crescita nel nostro modello di maturità Persone Specializzazione Aree di competenza Focalizzazione sull intelligence Ruoli e responsabilità ben definiti Processi Basati su best practice Ripetibilità delle procedure Forte integrazione con il business Misurazione dell efficacia dell operato Condivisione dell Intelligence (CERT) Tecnologie Visibilità Velocità, efficienza, efficacia Integrazione con il contesto IT e di business Automazione 7

8 L implementazione di un SOC..dalla teoria alla pratica Host Visibility SIEM Centralize Alerts Breach Process Analista L1 Breach Coordinator Incident Process Legale SOC Manager 1 DLP Analista L2 Shift Handoff CISO Finance SOC Manager 2 Threat Analysis Analista Intelligence Report KPIs IT IT Handoff Risorse Umane Measure Efficacy efraud Network Visibility La corretta implementazione di un modello di SOC può essere ostacolata da diversi fattori: Ruoli e responsabilità non sempre ben definiti Obiettivi contrastanti Budget differenti Metriche non chiare Processi non automatizzati Tecnologie non adeguate 8

9 Il nostro modello di SOC Ruoli e Responsabilità Threat Intel Analyst L1 Analyst L2 Analyst Analisti SOC Manager Orchestrare & Gestire CISO/CSO Coordinamento del SOC CIO Business Mgr. Privacy Officer Compliance Legale Risorse Umane Team Cross Funzionali Processi Gestione degli incidenti Valutazione delle compromissioni Realizzazione del programma del SOC Valutazione del rischio Fornire ad ogni ruolo le informazioni necessarie per supportare efficacemente il processo di gestione degli incidenti informatici 9

10 RSA per l implementazione di un modello di SOC avanzato Tre moduli tecnologici integrati Visibilità a 360 gradi Strumenti di analisi sui Big Data Integrazione dinamica del contesto IT e di Business 10

11 RSA Security Operations Management: oltre la gestione degli incidenti Gestione di tutti gli aspetti del SOC Processi ripetibili e strutturati Informazioni specifiche per ogni ruolo Procedure e workflow preconfigurati Metriche chiare e precise 11

12 RSA Security Analytics: visibilità a 360 gradi Visibilità combinata su log e traffico di rete Arricchimento dei dati al momento della raccolta Threat Intelligence Analisi real-time e forense 12

13 RSA ECAT: valutare l entità di una compromissione Assessment e monitoraggio di client e server Scansione della memoria e confronto con i file su disco Analisi non basata su firme Assegnazione di un livello di sospetto Whitelisting per ridurre i 13

14 Demo 14

15 Lavorare in un SOC con tecnologie RSA: uno scenario realistico Identificata un attività sospetta in base a: Reputazione server di destinazione Modalità di comunicazione Contenuto della comunicazione Obiettivo: Identificare e ricostruire lo scenario di attacco velocemente ed in modo efficace Valutare l esposizione al rischio in base a: Perimetro dell attacco Impatto sugli asset e sul business 15

16 Cosa abbiamo scoperto finora Sistema compromesso in contatto con un server esterno Codice malevolo presente sul sistema responsabile dell attività Altri due sistemi sono stati compromessi con le stesse modalità Dei dati sensibili sono stati trafugati dall organizzazione L attaccante mantiene accesso su numerosi altri sistemi 16

17 Finalmente lo scenario completo malware Attività malevola Attaccante malware Perdita di dati malware Accesso su numerosi sistemi 17

18 Siamo pronti ad accettare la sfida? Tecnologie Modello strutturato per fronteggiare le minacce Minacce sempre più sofisticate Processi Persone Visibilità Threat Intelligence Big data e Analytics Cybercrime sempre più organizzato Miglioramento continuo Decisioni rapide e mirate 18

19