Dall Information Security alla CyberSecurity e ritorno Marco Di Leo marco.dileo@hp.com Fabio Vernacotola fabio.vernacotola@hp.com Security Summit Milano, 18/03/2015
Analisi di alcuni casi reali HP Restricted.
Gli scenari Due tipi di minacce: Pesca d'altura Pesca a strascico 3
Sony Pictures Entertainment Novembre 2014: 100 Terabyte di dati sottratti in circa 12 mesi 5 film ancora non pubblicati Dati personali di oltre 30.000 dipendenti e familiari Informazioni finanziarie Documenti d'identità e contratti di cast e troupe Danni stimati per circa 100 milioni di dollari (15 milioni solo per la gestione dell'incidente nel Q1 2015) Dopo l'incidente di PlayStation Network (2011), Sony aveva lavorato per migliorare la propria sicurezza Senza un'effettiva valutazione dei rischi globali Senza mantenere lo stesso livello di vigilanza su tutti i vari reparti 4
Sony Pictures Entertainment Come è stato scoperto l'incidente Il lunedì mattina tutti gli schermi hanno mostrato questa immagine Qual è stata la gestione della crisi Tutta l'infrastruttura è stata spenta per oltre una settimana! Minacce ai mezzi di comunicazione per tentare di impedire il diffondersi delle notizie sull'incidente 5
Anthem Febbraio 2015: 80 milioni di record trafugati Attacco impostato (probabilmente) 9 mesi prima Sottratti nomi, indirizzi, telefoni, email, copie di documenti d'identità, social security number Clienti e familiari potenzialmente esposti a furti d'identità per il resto della vita L'attacco è stato mirato (presumibilmente di provenienza cinese) Un malware appositamente realizzato Ha utilizzato tecniche tipiche del phishing su domini legati ad Anthem (sound-alike, omografi) Ha mirato ad ottenere delle credenziali che avessero accesso ai dati Un'analisi comportamentale strutturata avrebbe potuto identificare precocemente i segnali dell'attacco in corso Anthem è stata accusata di non aver crittografato i dati "at-rest": avrebbe aiutato a prevenire l'incidente? 6
Anthem Come è stato scoperto l'incidente Un utente ha rilevato una (pesante) query sul database a lui sconosciuta ed eseguita con la propria user-id Qual è stata la gestione della crisi Quasi da manuale, dimostrando prontezza e preparazione Comunicazione immediata alle autorità e coinvolgimento di consulenti specializzati Autorevole full disclosure verso tutti gli utenti interessati Fornitura di un servizio gratuito di identity protection alle vittime dell'incidente 7
Carbanak Gennaio 2015: oltre 100 istituti finanziari coinvolti in 30 paesi Durata della campagna circa 24 mesi Sottratti complessivamente da 500 milioni a 1 miliardo di dollari Perdite per il singolo obiettivo da 2,5 a 10 milioni di dollari Diversi mesi (2-4) di durata per singola operazione Tipico attacco APT elaborato e su larga scala Payload inviato via email e attivato usando vulnerabilità note legate a file Word Installate Backdoor e trojan Man-in-the-Browser Attività di ricognizione interna per individuare sistemi vulnerabili "interessanti" Key- e screen-logging per ottenere informazioni sui meccanismi di gestione del denaro Trasferimento di fondi tramite transazioni finanziarie e controllo remoto dei bancomat 8
Carbanak Come è stato scoperto l'incidente Principalmente tramite meccanismi di controllo di tipo finanziario dopo lungo tempo In alcuni casi gli "strani" comportamenti dei bancomat hanno fatto partire attività di indagine Punti di debolezza Una carente gestione della sicurezza ha lasciato aperte vulnerabilità note (nessuno 0day è stato sfruttato durante gli attacchi) L'assenza di sistemi di indagine ha permesso all'attacco di giungere inosservato fino all'obiettivo La mancanza di un punto di coordinamento nella fase di gestione degli incidenti ha reso possibile all'operazione di proseguire indisturbata cambiando regolarmente bersaglio 9
Qual è la risposta? HP Restricted.
Essere pronti Tre dimensioni principali del Cyber Defence Program: Digital Investigation Breach Response Cyber Governance Tralasciare uno solo di questi aspetti rende inefficaci gli altri 11
Digital Investigation Consapevolezza di quanto l'infrastruttura sia resiliente ad un attacco Quali sono i possibili scenari di attacco? Consapevolezza delle possibili violazioni in atto Sono già entrati? Consapevolezza del contesto esterno all'organizzazione Quali sono gli aspetti non tecnici di rischio? Analisi dei comportamenti Come posso fondere tutte le fonti in un unico quadro? 12
Breach Response "We have an incident response plan, but I suspect it s merely formalised panic" - IT Security Manager on Twitter Avere un piano di risposta (collaudato e coordinato) permette di contenere i danni quando (non "se") si verifica l'incidente Gestione della crisi Risposta rapida all'incidente Supporto all'analisi forense Strategia di comunicazione efficace Requisiti normativi di disclosure Simulazione 13
Cyber Governance Allineare la Cyber Security agli obiettivi di business Adeguare gli investimenti di tecnologia, processi e servizi Massimizzare il ROI rispetto all'efficacia degli interventi Verificare il contesto normativo Quadro strategico nazionale di Cyber Security Normativa Garante Privacy EU Cybersecurity Strategy on Network and Information Security (NIS) Cyber Security Program Cyber Risk Analysis e Benchmark Cyber Security Maturity report Cyber Security Roadmap 14
Raggiungere gli obiettivi di sicurezza HP Restricted.
Raggiungere gli obiettivi di sicurezza Security Improvement Program Modelli di Maturità Spunti di riflessione su Information Security e Cyber Security 16
SIP: Security Improvement Program Sistemico Security Improvement Program Equilibrato Sostenibile 17
SIP: Definire il Programma Risk Modello di Maturità Current State Target State 18 Governo
Quale modello di maturità 2004 1999 2015 2012 2013 2014 SSE - Carnegie Mellon PRISMA IT Security ML OWASP OPENSAMM Security Awareness MM Resilience Manangement Model MIL C2M2 - Department of Energy 1.1 Homeland Security NICE (Cybersecurity Initiative) Framework for Improving Critical Infrastructure Cybersecurity Information Security Forum MM 19
Esempio di Maturity Model Ignorance Informal Planned Defined Managed Optimized 20
Valutazione del «Current State» Ignorance Informal Planned Defined Managed Optimized 21
Valutazione del «Target State» Ignorance Informal Planned Defined Managed Optimized 22
e la Cybersecurity? HP Restricted.
Elementi nella Cybersecurity Ignorance Informal Planned Defined Managed Optimized Risk vs Complian ce Difesa collabora tiva Digital Forensic CERT SOC Servizi di sicurezza esterni Gestione Incidenti Sicurezza SIEM Security Metrics Analitycs 24
Posizionamento per la Cybersecurity Ignorance Informal Planned Defined Managed Optimized 25
Information Security o Cybersecurity? E solo una questione di maturità? Cosa cambia nell applicazione del modello e nell interpretazione del concetto di maturità? 26
Information Security o Cybersecurity? Cyber Security Misurato Information & Cyber Piena comprensione degli eventi interni all organizzazione, con capacità di detection avanzate. KPI Adattivo Comprensione dello stato globale di minaccia, KRI, disponibilità di servizi di sicurezza informativi e di response, anche esternalizzati. Collaborativo In grado di gestire la propria «difesa» in collaborazione con altre organizzazioni Information Security 27
Information Security o Cybersecurity? E solo una questione di maturità? Cosa cambia nell applicazione del modello e nell interpretazione del concetto di maturità? 28
Grazie Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. HP CONFIDENTIAL.
Le persone, l'esperienza e la leadership fanno la differenza Ecosystem partners Account utente resi sicuri da HP 47m Eventi di sicurezza gestiti ogni mese 23mld HP Global Research Clienti di HP sulla Sicurezza 10000+ Professionisti di HP sulla Sicurezza 5000+ HP ESS Enterprise Security Services 30 Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. HP CONFIDENTIAL.
Why HP Enterprise Security for Security Consulting? People Experience Leadership Industry-recognized, qualified and accredited expertise; and consultancy experience in your sector Average 9 years experience CISSP, CISM, IISP, CISA, ISO 27001, PCI-DSS, forensic qualifications, government security clearance Constantly updated, effective methodologies and use of best-of-breed technology. HP s world leadership in threat and vulnerability research and analysis, finding more vulnerabilities than the rest of the market combined. Using actionable intelligence to deliver tailored, proactive risk management systems, using leading technologies. Expert teams available 24 x 7 to deliver advice and assistance anywhere in the world, tailored to your needs. Globally available forensic laboratories and testing facilities. Consistent, cost-effective responses that enable issues to be dealt with rapidly while causing minimum disruption to your business. Gartner Magic Quadrant leader for Security Information and Event Management Gartner Magic Quadrant leader for Static and Dynamic Application Security Testing Gartner Magic Quadrant leader for Intrusion Prevention Systems 31 Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. HP CONFIDENTIAL.
A complete security consulting portfolio Security strategy and risk management Security strategy & transformation Risk & compliance management Enterprise security architecture Cyber assurance services Security intelligence and incident response Security information & event management Security incident response Digital forensics, e-discovery Data recovery, secure disposal Penetration testing Social engineering Vulnerability scanning & management Threat and vulnerability management Perimeter, network security Web and email security Endpoint and server security Web application security & availability Infrastructure and network security Data loss prevention PKI/certificate management Data governance Encryption Rights management Data protection and privacy Identity governance & administration Privileged identity management Secure identity and access Secure application development & delivery Application vulnerability scanning & testing Application security Expertise in all sectors and verticals 32 Consumer Financial Travel and Energy & Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without Communications Industries Manufacturing Retail notice. HP CONFIDENTIAL. Services Transportation Utilities Media and Entertainment Public Sector Health and Life Sciences
Next steps HP.com/security Breached? Call HP Security Incident Response teams Benchmark against your competitors hpsecurityassesment.com Vulnerability and penetration testing 33 Copyright 2014 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. HP CONFIDENTIAL.