Combinare dinamicamente la Sicurezza e la Disponibilità delle informazioni per utilizzarne appieno il valore Andrea Rigoni Business Development Manager Symantec EMEA Southern Region
7 nuove vulnerabilità al giorno 99 Vulnerabilità gravi al mese 2640 vulnerabilità in un anno 350 300 Breakdown of Volume by Severity High Severity Medium Severity Low Severity New vulnerabilities 250 200 150 100 50 0 Jan02 Mar02 May02 Jul02 Sep02 Nov02 Jan03 Mar03 May03 Jul03 Sep03 Nov03 Month
Le contromisure adottate dalle Aziende colpite
Oltre il 66% del totale delle emails è SPAM
L Italia entra in classifica...
Il Phishing
La percezione del rischio Aumenta il numero di Minacce Mole elevata di vulnerabilità da valutare e gestire Patch Management difficile da gestire Minore tempo di reazione Contromisure tradizionali sono inefficaci Il perimetro è difficile da definire Mancanza di competenza in azienda Troppi dati da troppi sistemi
Gli obiettivi della Sicurezza - Fundamental Information Risk Management
Dall analisi del Rischio alle Strategie di Protezione Il ministero delle Comunicazioni pubblicherà una linea guida rivolta alla PA e alle Infrastrutture Critiche intitolata La sicurezza delle reti: dall analisi alla gestione del rischio In questa linea Guida si sottolinea l importanza dell avviamento di un IRT e il modello che viene proposto ricalca i principi forniti in questa presentazione.
L Evoluzione Vulnerabilità Configurazioni e Architetture Applicazioni Processi e Persone 2636 Vulnerabilità di Sistema in un anno Minacce Esterne Globali e Locali Interne Blended Threats 0-Day Threats Impatto Information Integrity Disponibilità dei Servizi Riservatezza/Integrità dei Servizi Incidenti dall impatto non visibile
Alert su Vulnerabilità LSASS Buffer Overrun
1500 persone in 21 centri nel mondo Symantec Response Labs Symantec Monitored Countries Brightmail Logistic Op. Ctr. Symantec Security Operations Centers Over 25,000 DeepSight Data Partners, from over 180 Countries Calgary, Canada Dublin, Ireland Tokyo, Japan Taipei American Fork, UT San Francisco Redwood City, CA Santa Monica, CA San Antonio, TX Sydney, Australia Waltham, MA Alexandria, VA Newport News, VA London, England Berlin, Germany
Un esempio di Early Warning Minaccia W32.Sasser.Worm L analisi e la notifica preventiva ha protetto I Clienti di Symantec 2004.04.13: Multiple Microsoft Vulnerabilities Alert and raised ThreatCon 2004.04.15: TMS alerted on an example of possible exploitation 2004.04.26: AS alerted on exploit code 2004.04.29: TMS Alerted on first active exploitation of LSASS vulnerability and raised ThreatCon 2004.05.01: Alert on original Sasser 2004.05.01: Alert on Sasser and raised ThreatCon to Level 3 2004.05.02: W32.Sasser.Worm Analysis 2.5 Days Early Warning 200,000 Port 445 IPs per hour 160,000 120,000 80,000 40,000 7:47 AM 7:39 AM 9:38 PM 0 Apr 26 Apr 27 Apr 28 Apr 29 Apr 30 May 1 May 2 May 3 May 4 Time: GMT
La situazione in tempo reale a questa mattina... 2 Generic IP SRC=127.x.x.x (localhost) Spoofing Attack 3 Generic SNMP Corrupted Packet Attack 1 Generic HTTP 'cmd.exe' Request Attack 4 Generic FTP Invalid UTF-8 Encoding Attack 5 Generic IRC Invalid Client Initialization Command Attack 1 SMTP SPAM Relay Attack
Response Integrata Definizione Virus Aggiornamenti Firewall Signature Intrusion Detection Un unico aggiornamento con LiveUpdate
Cosa ci domandano i clienti La correlazione permette di individuare gli incidenti? La correlazione degli eventi con i dati di Vulnerability Assessment aiuta a capire quant è il rischio d incidente o l impatto? Come possono aiutare i sistemi di Patch Management? E i Vulnerability Assessments Penetration Test?
Strategia, Applicazioni, Infrastrutture, Operations, Organizzazione
Che cosa è in grado di fornire Symantec Platforms: Windows Linux Solaris HP-UX AIX? Alert: Vulnerability & Policy Assessment (ESM) Early Warning & Security Intelligence (Deepsight) Assessments (application, systems, networks, processes) Security Awareness (SSAP) Rilevazione Rilevazione e Prevenzione delle Intrusioni (SNS) Analisi e Reporting eventi di Sicurezza (SESA) Gestione degli Incidenti (SIM 3) Supporto all analisi degli eventi e alla gestione degli Incidenti (Real Time Security Monitoring) Risposta Servizi di MSS Servizi di Supporto
Miglioramenti Continui e Tenure Miglioramenti L analisi periodica degli incidenti e la risoluzione degli incidenti ha un impatto sull impostazione di Sicurezza del cliente e sull efficacia delle contromisure Comportamenti Symantec utilizza una metrica che ha definito Client Tenure che misura l evoluzione dell efficacia dell impostazione di Sicurezza del cliente dovuta al servizio MSS. Percent of Companies 120 100 80 60 40 20 0 Percent of Companies Detecting Severe Events by Client Tenure 1-3 4-6 7-9 10-12 13-15 16-18 19+ Client Tenure (Months)
Grazie per l attenzione andrea_rigoni@symantec.com