Network Security: un approccio complessivo e progettuale alla sicurezza della rete Forum PA Roma 10 Maggio 2004 Giuseppe Borgonovo Symantec Technical Manager 2003 Symantec Corporation, All Rights Reserved
Agenda Evoluzione delle minacce W32.Sasser.B.Worm Come Symantec può aiutarvi a proteggere i vs sistemi 2 10 maggio 04
Evoluzione delle minacce: codice malizioso Tempi del contagio Secondi Minuti Ore Giorni Settimane o mesi Classe III risposta umana: impossibile risposta automatica:improbabile controllo proattivo : possibile Classe II risposta umana: difficile/impossibile risposta automatica: possibile Classe I risposta umana: possibile File virus Virus da macro Worm da e-mail Minacce Flash Minacce Warhol Blended Threats Inizio anni 90 metà anni 90 Fine anni 90 2000 2003 Tempo 3 10 maggio 04
W32.Sasser.B.Worm: Blended Threat Sistemi coinvolti: Scoperto: 1 maggio 2004 Windows 2000 Windows Server 2003 Windows XP Utenti coinvolti: Home e home office users Corporate users Impatto: Pesante degrado delle performance di rete e dei sistemi 4 10 maggio 04
Best Practices Applicare le security patch damicrosoft. Usare un gateway o personal firewall per bloccare le connessioni da/a porte vulnerabili. Scaricare e distribuire le ultime virus definitions. 5 10 maggio 04
Quali soluzioni? Alerting per nuove minacce e vulnerabilità Vulnerability Assessment Sistemi Policy e vulnerabilità Configurazione dei Device Accessi utenti Ruoli e responsabilità Informazioni Eventi ed incidenti Alert Manage Proactive Control Protect Respond Difesa attiva da attacchi nuovi o meno Identificazione di possibili falle di sicurezza Interna Workflow Auto-configuration Disaster recovery Esterna Content Update Hotline 6 10 maggio 04
Come le soluzioni Symantec possono agevolare la protezione Le soluzioni integrate Symantec sono il miglior modo di proteggersi dablended threats Symantec Gateway Security Symantec Client Security Le soluzioni Symantec di vulnerability management e i servizi fanno sì che si riesca ad essere proattivi Symantec DeepSight Symantec Enterprise Security Manager ON ipatch 7 10 maggio 04
Symantec Solutions - Protect Protect Symantec Gateway Security Firewall Intrusion Detection Antivirus Symantec Client Security Intrusion Detection Client Firewall Antivirus Protegge per definizione 14.04 IDS signatures released 02.05 Virus definitions released 14.04 IDS signatures released 01.05 Patch posted 02.05 Virus definitions released Symantec ManHunt 13.04 Security Update 22 protegge i clienti da minacce che sfruttano la vulnerabilità di LSASS. 8 10 maggio 04
Symantec Solution - Alert Alert Symantec DeepSight Alert Services Fornisce informazioni su vulnerabilità e codice malizioso con informazioni operative per evitare di essere colpiti e strategie di rimedio. 13.04 Analisi iniziale vulnerabilità. 13.04 Aggiornamento con dettagli tecnici. 13.04 Aggiornamento strategie di mitigazione. 14.04 US-CERT advisory. 14.04 Aggiornamento dettagli tecnici e strategie di mitigazione. 21.04 Prodotti coinvolti e soluzioni. 26.04 Exploit code è stato rilasciato. 29.04 Informazioni addizionali sull exploit disponibile. 01.05 Il worm che strutta questa vulnerabilità è attivo in rete. Malicious code alerts 01.05 (analisi iniziale) 02.05 (aumentato il livello di rischio) 9 10 maggio 04
Symantec Solution - Alert Symantec DeepSight Threat Management System Fornisce analisi di dettaglio con informazioni complete sulle minacce in corso. 13.04 Multiple Microsoft Vulnerabilities Alert 29.04 Microsoft Windows LSASS Buffer Overrun Vulnerability Exploitation Alert 02.05 W32.Sasser.Worm Analysis 04.05 W32.Sasser.B.Worm Analysis Ongoing Daily/Weekly summary reports W32.Sasser.Worm analysis.pdf 10 10 maggio 04
Symantec Solutions - Manage Symantec Enterprise Security Manager 13.04 Disponibile un update di OS Patch Policy che rileva e registra i sistemi non aggiornati. Symantec Vulnerability Assessment Manage 13.04 Disponibile un update che rileva e registra la vulnerabilità LSASS. 11 10 maggio 04
Symantec Solutions ON ipatch Sistema automatico di patch management Trova tutte le patches mancanti Scarica pre-tested patches su sistemi locali Accede a knowledge base information circa le patches Invia le patches a tutte le macchine Ripristina remotamente i sistemi infettati senza intervento diretto di tecnici. Come ON ipatch lavora Riduce tempi & costi di rilasciare patch critiche Affidabile aggiornamento di tutti di utenti su LANs, WANs, dial-up, & Internet compresi utenti remote/mobile Fornisce report gestionali circa lo status delle patch. Manage 12 10 maggio 04
Symantec Solutions - Respond Symantec Security Response Team Wireless alerts (per i sottoscrittori e i clienti Platinum) Rapid release antivirus definitions Certificate antivirusdefinitions Relazioni dettagliate su virus/worm Removal tool Aggiornamento signature IDS Respond 13 10 maggio 04
Symantec Solution - Manage Manage Managed Security Services Riduce il rischio di security breaches: Analizzando costantemente le nuove minacce. Valutando l impatto sui clienti. I clienti vengono avvertiti attraverso Notifiche proattive via e-mail. Secure Internet Interface portal site Stretto monitoraggio dell evoluzione dei worm. Internet Security Nerve Center 14 10 maggio 04
Miglioramenti Continui e Comportamenti Miglioramenti L analisi periodica degli incidenti e la risoluzione degli incidenti ha un impatto sull impostazione di Sicurezza del cliente e sull efficacia delle contromisure Comportamenti Symantec utilizza una metrica che ha definito Client Tenure che misura l evoluzione dell efficacia dell impostazione di Sicurezza del cliente dovuta al servizio MSS. Percent of Companies 120 100 80 60 40 20 0 Percent of Companies Detecting Severe Events by Client Tenure 1-3 4-6 7-9 10-12 13-15 16-18 19+ Client Tenure (Months) 15 10 maggio 04
Ciclo di protezione dalle minacce - Essere informati e aggiornati in real time Symantec DeepSight Early Warning Symantec Security Response Alerts Advisories Analysis Vulnerability Assessment Patch Management Threat Mitigation Incident Handling Disaster Recovery AV FW IDS VA Event Normalisation Event Correlation Incident Management SESA Datastore 16 10 maggio 04
Considerazioni Il vostro attuale sistema di sicurezza analizza ogni allarme ed evento? Le vostre attuali misure di protezione riconoscono le minacce reali? Disponete di un processo di risposta adeguato, capace di affrontare con efficacia gli incidenti di sicurezza? Quanto del tempo produttivo del vostro personale IT è impiegato a ricercare i problemi e non a risolverli? Il vostro personale IT dispone delle informazioni necessarie per svolgere efficacemente il proprio lavoro? 17 10 maggio 04
Il modello suggerito Early Early Warning MSS MSS Monitoring Internal Monitoring Customer IRT IRT IT IT Manag. Security Manag. Customer Security Infrastructure 18 10 maggio 04
Approccio Proattivo Gli attacchi sono sempre più veloci Il tempo di reazione è ridotto a ore/minuti Molti incidenti possono essere evitati Gestione Patch Contromisure Specifiche Workaround temporanei Audit delle Policy Situazioni Critiche: interruzione del servizio, interruzione delle connessioni 19 10 maggio 04
La strategia di Symantec Soluzioni integrate che proteggano dalle nuove minacce complesse Soluzioni facili da utilizzare e gestibili in maniera efficiente Un network di security intelligence che offra soluzioni di alert e capacità di risposta immediate. Capacità di ridurre le vulnerabilità interne attraverso policy di enforcement, notifica delle intrusioni e programmi di formazione dei dipendenti e di sensibilizzazione alle tematiche della sicurezza Soluzioni a costi ottimizzati per la gestione del rischio Tecnologie & Servizi 20 10 maggio 04 Professionisti Partner di Fiducia Affidabilità Globale
Pollicino nella Rete: educare i minori a una navigazione sicura in Internet Cos è? E una campagna di sensibilizzazione promossa da Symantec. Mira a educare minori, genitori e insegnanti, ad una corretta percezione delle opportunità e dei rischi di Internet e suggerire gli strumenti informatici e comportamentali adeguati per una navigazione consapevole e sicura. Primo Step: la ricerca Symantec e ICAA (International Cryme Analist Association) hanno realizzato una ricerca dedicata allo studio psicologico della percezione del rischio che i minori hanno durante la navigazione in Rete (campione: bambini italiani di età compresa fra gli 8 e i 13 anni). La ricerca è stata patrocinata da: Ministero delle Comunicazioni, Servizio Polizia Postale e delle Comunicazioni, Consiglio Regionale del Lazio e UNICEF. La ricerca ha ricevuto il riconoscimento del Ministro per le Pari Opportunità, On. Stefania Prestigiacomo, come miglior progetto per la prevenzione degli abusi sui minori su Internet. Ulteriori step Il progetto si svilupperà attraverso iniziative congiunte di vario genere (azioni di formazione e sensibilizzazione, strumenti educativi, tecnologie specifiche,...) 21 10 maggio 04
Grazie per l attenzione! Giuseppe Borgonovo giuseppe_borgonovo@symantec.com 2003 Symantec Corporation, All Rights Reserved