Dall Information Security alla



Documenti analoghi
Focus Italia: i numeri del fenomeno e le minacce attuali all epoca della digital disruption

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

Situation AWare Security Operations Center (SAWSOC) Topic SEC Convergence of physical and cyber security. Relatore: Alberto Bianchi

HP e il Progetto SPC. Daniele Sacerdoti Consulting&Integration Public Sector. 12 Maggio Technology for better business outcomes

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Come un criminale prepara un attacco e come una azienda può fare prevenzione

DEFENCE in DEPTH. Strategie di riduzione della superficie d attacco e dei rischi informatici

Vision strategica della BCM

La certificazione CISM

Associazione Italiana Information Systems Auditors

Il valore di un processo efficiente di Incident Response: un caso reale

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

Responsabilità e piano di azione per un nuovo approccio alla Cyber Security

Security Summit 2013 > Verifica della sicurezza delle applicazioni e minacce del mondo mobile. Francesco Faenzi, Security Practice Manager

Il modello di ottimizzazione SAM

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, Roma Tel: , Fax:

SIEM: Casi d'uso e livelli di maturità

V.I.S.A. VoiP Infrastructure Security Assessment

La Governance come strumento di valorizzazione dell'it verso il business

Banche e Sicurezza 2015

Cloud Computing - Soluzioni IBM per. Giovanni De Paola IBM Senior Consultant 17 Maggio 2010

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

Internet Security Systems Stefano Volpi

Canon Business Services

Symantec Insight e SONAR

Classificare e proteggere i dati

A cura di Giorgio Mezzasalma

La protezione dal rischio cyber per le PMI e le PAL

TIG Leadership Program: Securing the new Digital Enterprise: Sicurezza & Risk Management nell era digitale

Daniela Mercuri Associazione Informatici Professionisti

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it

CYBERSECURITY & RISK MANAGEMENT PROGRAM EDIZIONE 2017 CYBERTECH PRACTICAL WORKSHOP

Nell'era della Business Technology: il business e la tecnologia allineati per migliorare i risultati dell'azienda

FORMAZIONE E PUBBLICA SEGI REAL ESTATE SEGI REAL ESTATE

The information contained in this document belongs to ignition consulting s.r.l. and to the recipient of the document. The information is strictly

e-documents per l identity management

La managerialità tra rischi operativi e rischi finanziari. Milano, 25 marzo 2015

OPERAZIONI M&A NEL SETTORE DEL REAL ESTATE: QUALI SOLUZIONI?

Audit & Sicurezza Informatica. Linee di servizio

SICUREZZA INFORMATICA MINACCE

Cyber Security Architecture in Sogei

Per offrire soluzioni di Risk Management

Catalogo Corsi. Aggiornato il 16/09/2013

Associazione Italiana Information Systems Auditors

Information Systems Audit and Control Association

Copyright IKS srl

CYBER SECURITY COMMAND CENTER

Un'efficace gestione del rischio per ottenere vantaggi competitivi

18 marzo 2014 Cenni sulla sicurezza Daniela Barbera SAX srl

Sicurezza informatica in azienda: solo un problema di costi?

Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno

Cyber security: tecnologie, innovazione e infrastrutture. I rischi attuali per le aziende italiane

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES

PROFILO DI GRUPPO 2015

Il processo di sviluppo sicuro. Kimera Via Bistolfi, Milano

Aditinet, Enterprise Security, La strategia Paolo Marsella - CEO

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Catalogo corsi di formazione

LEADERSHIP,KNOWLEDGE,SOLUTIONS, WORLDWIDE SEGI REAL ESTATE

Per migliorare le performance aziendali

Progetto Crescita e Sviluppo

COMUNICAZIONE E CONDIVISIONE PROTETTE. Protezione per server, e collaborazione

1- Corso di IT Strategy

Osservatorio P 3 MO. Il PMO come strumento di diffusione ed enforcement della cultura di Project Management

Carlo Bartolomeo Novaro - Studio di Coaching. Executive Team & Business Coaching NPL Training

Spike Information Security Awareness Program. Daniele Vitali Senior Security Consultant

Iniziativa : "Sessione di Studio" a Roma

La sicurezza in banca: un assicurazione sul business aziendale

Politica per la Sicurezza

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

L esperienza ICBPI. Mario Monitillo. Direzione Sicurezza e Compliance ICT

Perfare MASSIMIZZARE IL VALORE DELL ATTUALE GAMMA DI PRODOTTI

IL CASO DELL AZIENDA. Perché SAP.

IT GOVERNANCE, Risk & Security

Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione

Siamo quello che ti serve

La soluzione software per CdA e Top Management

Prendi il controllo della Sicurezza! La più ampiaedinnovativagammadi soluzioni per la sicurezza logica ed organizzativa proposte da un unica Azienda

Big Data e IT Strategy

IT Service Management

Roma 26 Maggio 2015, Security Infoblox

Allineare la strategia di ICT sourcing con la strategia aziendale

La gestione della Sicurezza nel Gruppo CRIF. La struttura organizzativa

CATEGORIZZAZIONE PREVENTIVA di tutte le tipologie di richieste e dei dati necessari alla loro gestione Change Mgmt

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)

COMPANY PROFILE

SEI PRONTO A PROGETTARE

Grazie a Ipanema, Coopservice assicura le prestazioni delle applicazioni SAP & HR, aumentando la produttivita del 12%

Quel che ogni azienda deve sapere sul finanziamento*

Ciclo di vita dimensionale

Gartner Group definisce il Cloud

CYBER SECURITY IN CAMPO

Sicurezza, Rischio e Business Continuity Quali sinergie?

La Soluzione per CdA e Top Management. La soluzione è Secure Board by Boole Server

Corporate Coaching. I percorsi di Coaching di LeapLab

IP Intelligence. IP Fingerprinting per l antifrode Emanuele Bracci

Transcript:

Dall Information Security alla CyberSecurity e ritorno Marco Di Leo marco.dileo@hp.com Fabio Vernacotola fabio.vernacotola@hp.com Security Summit Milano, 18/03/2015

Analisi di alcuni casi reali HP Restricted.

Gli scenari Due tipi di minacce: Pesca d'altura Pesca a strascico 3

Sony Pictures Entertainment Novembre 2014: 100 Terabyte di dati sottratti in circa 12 mesi 5 film ancora non pubblicati Dati personali di oltre 30.000 dipendenti e familiari Informazioni finanziarie Documenti d'identità e contratti di cast e troupe Danni stimati per circa 100 milioni di dollari (15 milioni solo per la gestione dell'incidente nel Q1 2015) Dopo l'incidente di PlayStation Network (2011), Sony aveva lavorato per migliorare la propria sicurezza Senza un'effettiva valutazione dei rischi globali Senza mantenere lo stesso livello di vigilanza su tutti i vari reparti 4

Sony Pictures Entertainment Come è stato scoperto l'incidente Il lunedì mattina tutti gli schermi hanno mostrato questa immagine Qual è stata la gestione della crisi Tutta l'infrastruttura è stata spenta per oltre una settimana! Minacce ai mezzi di comunicazione per tentare di impedire il diffondersi delle notizie sull'incidente 5

Anthem Febbraio 2015: 80 milioni di record trafugati Attacco impostato (probabilmente) 9 mesi prima Sottratti nomi, indirizzi, telefoni, email, copie di documenti d'identità, social security number Clienti e familiari potenzialmente esposti a furti d'identità per il resto della vita L'attacco è stato mirato (presumibilmente di provenienza cinese) Un malware appositamente realizzato Ha utilizzato tecniche tipiche del phishing su domini legati ad Anthem (sound-alike, omografi) Ha mirato ad ottenere delle credenziali che avessero accesso ai dati Un'analisi comportamentale strutturata avrebbe potuto identificare precocemente i segnali dell'attacco in corso Anthem è stata accusata di non aver crittografato i dati "at-rest": avrebbe aiutato a prevenire l'incidente? 6

Anthem Come è stato scoperto l'incidente Un utente ha rilevato una (pesante) query sul database a lui sconosciuta ed eseguita con la propria user-id Qual è stata la gestione della crisi Quasi da manuale, dimostrando prontezza e preparazione Comunicazione immediata alle autorità e coinvolgimento di consulenti specializzati Autorevole full disclosure verso tutti gli utenti interessati Fornitura di un servizio gratuito di identity protection alle vittime dell'incidente 7

Carbanak Gennaio 2015: oltre 100 istituti finanziari coinvolti in 30 paesi Durata della campagna circa 24 mesi Sottratti complessivamente da 500 milioni a 1 miliardo di dollari Perdite per il singolo obiettivo da 2,5 a 10 milioni di dollari Diversi mesi (2-4) di durata per singola operazione Tipico attacco APT elaborato e su larga scala Payload inviato via email e attivato usando vulnerabilità note legate a file Word Installate Backdoor e trojan Man-in-the-Browser Attività di ricognizione interna per individuare sistemi vulnerabili "interessanti" Key- e screen-logging per ottenere informazioni sui meccanismi di gestione del denaro Trasferimento di fondi tramite transazioni finanziarie e controllo remoto dei bancomat 8

Carbanak Come è stato scoperto l'incidente Principalmente tramite meccanismi di controllo di tipo finanziario dopo lungo tempo In alcuni casi gli "strani" comportamenti dei bancomat hanno fatto partire attività di indagine Punti di debolezza Una carente gestione della sicurezza ha lasciato aperte vulnerabilità note (nessuno 0day è stato sfruttato durante gli attacchi) L'assenza di sistemi di indagine ha permesso all'attacco di giungere inosservato fino all'obiettivo La mancanza di un punto di coordinamento nella fase di gestione degli incidenti ha reso possibile all'operazione di proseguire indisturbata cambiando regolarmente bersaglio 9

Qual è la risposta? HP Restricted.

Essere pronti Tre dimensioni principali del Cyber Defence Program: Digital Investigation Breach Response Cyber Governance Tralasciare uno solo di questi aspetti rende inefficaci gli altri 11

Digital Investigation Consapevolezza di quanto l'infrastruttura sia resiliente ad un attacco Quali sono i possibili scenari di attacco? Consapevolezza delle possibili violazioni in atto Sono già entrati? Consapevolezza del contesto esterno all'organizzazione Quali sono gli aspetti non tecnici di rischio? Analisi dei comportamenti Come posso fondere tutte le fonti in un unico quadro? 12

Breach Response "We have an incident response plan, but I suspect it s merely formalised panic" - IT Security Manager on Twitter Avere un piano di risposta (collaudato e coordinato) permette di contenere i danni quando (non "se") si verifica l'incidente Gestione della crisi Risposta rapida all'incidente Supporto all'analisi forense Strategia di comunicazione efficace Requisiti normativi di disclosure Simulazione 13

Cyber Governance Allineare la Cyber Security agli obiettivi di business Adeguare gli investimenti di tecnologia, processi e servizi Massimizzare il ROI rispetto all'efficacia degli interventi Verificare il contesto normativo Quadro strategico nazionale di Cyber Security Normativa Garante Privacy EU Cybersecurity Strategy on Network and Information Security (NIS) Cyber Security Program Cyber Risk Analysis e Benchmark Cyber Security Maturity report Cyber Security Roadmap 14

Raggiungere gli obiettivi di sicurezza HP Restricted.

Raggiungere gli obiettivi di sicurezza Security Improvement Program Modelli di Maturità Spunti di riflessione su Information Security e Cyber Security 16

SIP: Security Improvement Program Sistemico Security Improvement Program Equilibrato Sostenibile 17

SIP: Definire il Programma Risk Modello di Maturità Current State Target State 18 Governo

Quale modello di maturità 2004 1999 2015 2012 2013 2014 SSE - Carnegie Mellon PRISMA IT Security ML OWASP OPENSAMM Security Awareness MM Resilience Manangement Model MIL C2M2 - Department of Energy 1.1 Homeland Security NICE (Cybersecurity Initiative) Framework for Improving Critical Infrastructure Cybersecurity Information Security Forum MM 19

Esempio di Maturity Model Ignorance Informal Planned Defined Managed Optimized 20

Valutazione del «Current State» Ignorance Informal Planned Defined Managed Optimized 21

Valutazione del «Target State» Ignorance Informal Planned Defined Managed Optimized 22

e la Cybersecurity? HP Restricted.

Elementi nella Cybersecurity Ignorance Informal Planned Defined Managed Optimized Risk vs Complian ce Difesa collabora tiva Digital Forensic CERT SOC Servizi di sicurezza esterni Gestione Incidenti Sicurezza SIEM Security Metrics Analitycs 24

Posizionamento per la Cybersecurity Ignorance Informal Planned Defined Managed Optimized 25

Information Security o Cybersecurity? E solo una questione di maturità? Cosa cambia nell applicazione del modello e nell interpretazione del concetto di maturità? 26

Information Security o Cybersecurity? Cyber Security Misurato Information & Cyber Piena comprensione degli eventi interni all organizzazione, con capacità di detection avanzate. KPI Adattivo Comprensione dello stato globale di minaccia, KRI, disponibilità di servizi di sicurezza informativi e di response, anche esternalizzati. Collaborativo In grado di gestire la propria «difesa» in collaborazione con altre organizzazioni Information Security 27

Information Security o Cybersecurity? E solo una questione di maturità? Cosa cambia nell applicazione del modello e nell interpretazione del concetto di maturità? 28

Grazie Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. HP CONFIDENTIAL.

Le persone, l'esperienza e la leadership fanno la differenza Ecosystem partners Account utente resi sicuri da HP 47m Eventi di sicurezza gestiti ogni mese 23mld HP Global Research Clienti di HP sulla Sicurezza 10000+ Professionisti di HP sulla Sicurezza 5000+ HP ESS Enterprise Security Services 30 Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. HP CONFIDENTIAL.

Why HP Enterprise Security for Security Consulting? People Experience Leadership Industry-recognized, qualified and accredited expertise; and consultancy experience in your sector Average 9 years experience CISSP, CISM, IISP, CISA, ISO 27001, PCI-DSS, forensic qualifications, government security clearance Constantly updated, effective methodologies and use of best-of-breed technology. HP s world leadership in threat and vulnerability research and analysis, finding more vulnerabilities than the rest of the market combined. Using actionable intelligence to deliver tailored, proactive risk management systems, using leading technologies. Expert teams available 24 x 7 to deliver advice and assistance anywhere in the world, tailored to your needs. Globally available forensic laboratories and testing facilities. Consistent, cost-effective responses that enable issues to be dealt with rapidly while causing minimum disruption to your business. Gartner Magic Quadrant leader for Security Information and Event Management Gartner Magic Quadrant leader for Static and Dynamic Application Security Testing Gartner Magic Quadrant leader for Intrusion Prevention Systems 31 Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. HP CONFIDENTIAL.

A complete security consulting portfolio Security strategy and risk management Security strategy & transformation Risk & compliance management Enterprise security architecture Cyber assurance services Security intelligence and incident response Security information & event management Security incident response Digital forensics, e-discovery Data recovery, secure disposal Penetration testing Social engineering Vulnerability scanning & management Threat and vulnerability management Perimeter, network security Web and email security Endpoint and server security Web application security & availability Infrastructure and network security Data loss prevention PKI/certificate management Data governance Encryption Rights management Data protection and privacy Identity governance & administration Privileged identity management Secure identity and access Secure application development & delivery Application vulnerability scanning & testing Application security Expertise in all sectors and verticals 32 Consumer Financial Travel and Energy & Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without Communications Industries Manufacturing Retail notice. HP CONFIDENTIAL. Services Transportation Utilities Media and Entertainment Public Sector Health and Life Sciences

Next steps HP.com/security Breached? Call HP Security Incident Response teams Benchmark against your competitors hpsecurityassesment.com Vulnerability and penetration testing 33 Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. HP CONFIDENTIAL.

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back