Consulenza, soluzioni e servizi per l ICT Security Breach Management > Overview & Approfondimenti su Security Breach Detection & Intelligence Copyright 2013 Lutech Spa
Sommario Security Breach Management Scenario & Vision L'approccio Security Breach Detection & Intelligence Best practice I principi fondamentali Architettura di riferimento Verso una piattaforma
Security Breach Management Scenario & Vision
Scenario normativo > Nel mondo bancario Agg. del 2 luglio 2013 Sezione IV La gestione della sicurezza informatica La sicurezza delle informazioni e delle risorse ICT Il monitoraggio continuativo delle minacce e delle vulnerabilità di sicurezza La gestione degli incidenti di sicurezza informatica I gravi incidenti di sicurezza informatica sono comunicati tempestivamente alla Banca d Italia, con l invio di un rapporto sintetico recante una descrizione dell incidente e dei disservizi provocati agli utenti interni e alla clientela nonché i seguenti dati, accertati o presunti: Provv. tracciamento delle operazioni bancarie - 12 maggio 2011 Monitoraggio in real-time, gestione degli incidenti di eventi relativi alla security L implementazione di alert volti a rilevare intrusioni o accessi anomali ai dati bancari, tali da configurare eventuali trattamenti illeciti
Scenario normativo > Nuovi indirizzi europei Viviane Reding (Vice-President of the European Commission) Finally, individuals must be swiftly informed when their personal data is lost, stolen or hacked. Whether user data gets stolen from an online gaming service, or credit card details are hacked on a firms' website: these security breaches affect millions of users around the world. There were recently many serious data breach incidents which highlight why companies need to reinforce the security of the information they hold. Frequent data security breaches risk undermining consumers' trust in the digital economy. I will therefore introduce a general obligation for data controllers to notify data breaches. Companies that suffer a data leak must inform the data protection authorities and the individuals concerned, and they must do so without undue delay. As a general rule, without undue delay means for me within 24 hours.
Scenario normativo > Il codice penale D.Lgs 231/01: Normativa per la Disciplina della responsabilità amministrativa delle persone giuridiche e integrazione della legge 18 marzo 2008, n. 48 Normativa per il Computer crime La Legge 18 marzo 2008, n. 48, che ha ratificato la Convenzione del Consiglio d Europa sulla criminalità informatica, redatta a Budapest il 23 novembre 2001, ha integrato il D.Lgs. 231/01, elencando la serie dei reati informatici che possono dar luogo alla responsabilità amministrativa e penale. Di seguito si riportano i reati corrispondenti. Art. 615-quinqiues c.p. Diffusione ed installazione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico. Tale fattispecie di reato intende reprimere anche la sola abusiva detenzione o diffusione di credenziali d accesso o di programmi (virus, spyware) o dispositivi potenzialmente dannosi indipendentemente dalla messa in atto di altri crimini informatici. Art. 615-quater c.p. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici telematici. o
InfoSec Risk Scenario Lo stato della security Europa e worldwide è sintetizzabile in precisi punti di grave criticità: Attori avversi organizzati, motivati, con skill e finanziamenti, sia sul fronte degli Hactivist che dei Cyber criminal, pertanto sia politically-driven che guidati da oviettivi di profitto e spionaggio Off-the-shelf & custom web application & backend affette da vulnerabilità non indirizzate e con una frequenza di novità allarmante Ramp-up degli attacchi Contomisure inefficaci per Detection & Monitoring Programmi inefficienti di remediation & patch management Skill e coordinamento insufficienti nella security incident response Le prossime slide illustrano in dettaglio i fattori chiace dell'infosec Risk, il loro stato ed infine lo stato delle capability di Detection & Response
InfoSec Risk Scenario > Incidenti di sicurezza 2011 IBM X-Force 2012 Security Report
InfoSec Risk Scenario > Incidenti di sicurezza 2012 IBM X-Force 2013 Security Report
Stato della Detection & Response > Lo sviluppo temporale di intrusione e reazione Verizon Data Breach Investigation Report 2012
Vision > Information Security Paradigm Shift From Enforcement To Anticipation, Detection & Response Rispetto al passato, gli attuali scenari di rischio richiedono maggiore focalizzazione sulle fasi di Rilevamento e Risposta all incidente. L approccio all Information Security di tipo prevalentemente Preventivo è stato progressivamente reso meno efficace dalle dinamiche di attacco e dalla complessità degli ambienti IT. I nuovi modelli dell Information Technology (Consumerization, BYOD, Open Knowledge Society, Cyber (In-)Security, Cloud Computing, etc.) sono spesso incompatibili con le logiche di protezione basate esclusivamente sulla fase di Prevenzione
Vision > Information Security Paradigm Shift In Cyber, Losers Ignore, Survivors React and Winners Predict - Richard Stiennon (Gartner & Forbes.com) Casual Attacker power grows at the rate of Metasploit - HD Moore (Rapid7 and Metasploit, CTO) There is no longer a window to patch when a vulnerability or exploit is discovered, in public or private - Mike Reavey, Director of the Microsoft Security Response Center
Vision > Information Security Paradigm Shift Active Defense Strategy Attack real-time detection attraverso l'identificazione delle tattiche, tecniche e procedure (TTP) e degli obiettivi, piuttosto che attraverso l'identificazione di indicatori di compromissioni (IOCs) facilmente modificabili una volta scoperti ed in ogni caso parziali Attribuzione degli attacker al fine di comprendere la loro indentità, intento e obiettivi, con riferimento sia agli esecutori di un'intrusione che ad eventuali mandanti Risposta flessibile che include la tradizionale risposta passiva (prevention e alerting), ma anche tecniche di deception attivando diversivi, oltre che contenimento e consumo delle risorse degli attacker, con l'obiettivo di aumentare i costi delle operazioni di attacco e permettere a chi difende di raccogliere ulteriori informazioni sugli attacker e le loro TTP Raccolta e condivisione di informazioni di intelligence per facilitare le azioni correttive e deterrenti
Security Breach Management L'approccio
Security Breach Management > Process, People, Platform Process People Platform Data, Id & Compromised Assets
Security Breach Management > Process, People, Platform In the Defensible Enterprise Process People Platform Operational procedure: Standard, comunicato, esercitato, flessibile, trusted, buyin generale e soprattutto utile a focalizzare i punti critici della superficie di attacco Velocità: Velocità di rilevamento e di risposta Flessibilità: Esplorare nuove combinazioni di informazioni anche in peace time, modificare l'attack surface in real-time e aumentare le difficoltà degli attacker Expertise: Top training & Best talent retention Enterprise visibility: All the data all the time, anche in peace time Data, Id & Compromi sed Assets Context: Security Posture Mapping e Asset Information per comprendere il rischio e avere sempre precisa visibilità del contesto IT nel quale si eseguono le attività o rispetto al quale confrontare le informazioni
Security Breach Management > Process Governance Breach Prevention External Perimeter Breach Anticipation Breach Detection Incident Response Internal Perimeter Data, Id & Compromised Assets
Security Breach Management > Process: operational view Security incident triage process & Report review process Staffing del CSIRT CSIRT process Staffing del SOC Pre-engagement delle terze parti Planning Deploy di misure di Access Control Deploy di misure di Encryption Humint e Digint survey Security Assessment: Threat map, Attack footpriting, Security higyene level, Compliance level, Data leakage event, Raccomandazioni & Definizione asset priority Deploy di misure di Breach Detection Continuous Red Team Exercise Tuning process in ambiente dinamico SOC operations CSIRT operations
Security Breach Management > Process: l'approccio Lutech Security & Compliance Governance Security Enforcement Solutions External Perimeter Zero-day Early Warning Attack Prediction / Ethical Hacking Brand Abuse & Phishing Monitoring Security Breach Detection & Intelligence Security Incident Response Internal Perimeter Data, Id & Compromised Assets
Security Breach Management > People Enterprise Security Architect Security Engineer External Perimeter Ethical Hacker Security Intelligence Specialist Security Analyst Security Analyst Internal Perimeter Data, Id & Comprom ised Assets Security Breach Mgmt & Incident Response Platform
Security Breach Detection & Intelligence Drill down: I principi fondamentali
Security Breach Detection & Intelligence > Best Practice Gartner Best Practices for Mitigating Advanced Persistent Threats Keep Up to Date With the Threat Landscape Thwart Social Engineering Techniques Through Education Focus Your Strategy Toward Malicious Content Best Practices That Apply to All Layers:» Upgrade Your Perimeter and Network-Based Security» Uplift Your Endpoint Security Controls and Detection Stance» Improve Your Automated Monitoring, Correlation and Analysis» Improve Your Incident Response Capabilities
Security Breach Detection & Intelligence > Continuous Monitoring Principle NIST Continuous Monitoring In generale: Continuous monitoring is ongoing observance with intent to provide warning. A continuous monitoring capability is the ongoing observance and analysis of the operational states of systems to provide decision support regarding situational awareness and deviations from expectations. In Security: Information security continuous monitoring is defined as maintaining ongoing awareness of information security, vulnerabilities, and threats to support organizational risk management decisions.
Security Breach Detection & Intelligence > Continuous Monitoring Principle Anton Chuckavin (Gartner) Alert-driven vs Exploration-driven noto anche come Input-driven SecurityBreach Detection
Security Breach Detection & Intelligence > Continuous Monitoring Principle: Use Case Change Control Use case operations-centrico con obiettivo di monitoraggio dei change e di rilevamento di quelli non pianificati (potenziali violazioni) Attack Use case con obiettivo di identificazione di un potenziale attacco e compromissione dei sistemi Compliance Use case basato su checklist con il solo vero obiettivo di produrre una documentazione dello stato delle azioni in corso Securosis
Security Breach Detection & Intelligence > Kill Chain Principle Gartner Stopping Advanced Targeted Attacks Using an Attack Life Cycle Approach Mitigating the threat from ATAs requires a defense-in-depth strategy across multiple security controls. In order to understand what best practices make sense, we need to first understand the life cycle of an ATA how ATAs typically penetrate our systems and exfiltrate information noto anche come Output-driven Security Breach Detection
Security Breach Detection & Intelligence > Kill Chain Principle Lockheed Martin Corp. Cyber Kill Chain The essence of an intrusion is that the aggressor must develop a payload to breach a trusted boundary, establish a presence inside a trusted environment, and from that presence, take actions towards their objectives, be they moving laterally inside the environment or violating the confidentiality, integrity, or availability of a system in the environment. The intrusion kill chain is defined as reconnaissance, weaponization, delivery, exploitation, installation, command and control (C2) and actions on objectives.
Security Breach Detection & Intelligence > Kill Chain Principle La ricerca, l identificazione e la selezione dei target spesso sono le attività principali che possono essere effettuate sfruttando le informazioni derivanti dalla navigazione Internet al fine di ricavare sempre più informazioni per portare a termine l attacco. Reconnaisance Weaponization Delivery Spesso un attacco può essere portato a termine garantendo un accesso remoto illecito attraverso un trojan trasportato all interno di un tool automatizzato (weaponizer). Ciò avviene soprattutto all interno di file PDF e documenti Word che risultano essere i più adatti per la fase di trasporto del malware. Trasporto della minaccia verso il target definito. Spesso ciò avviene attraverso l invio di allegati mail, contenuti di Internet oppure dispositivi USB. Dopo la fase di consegna, avviene la fase di diffusione del malware che va a colpire le componenti software e del sistema operativo del target. Exploitation Installazione del malware o della backdoor all interno del sistema del target vittima cosi da mantenere un accesso persistente e sicuro all attaccante. Installation C2 Actions Command & Control permette di prendere il controllo sul sistema cosi da compromettere e/o avere il comando di tutte le azioni effettuabili sul sistema target dell attacco. Dopo tutte le fasi di preparazione, l attaccante può portare a compimento il suo obiettivo principale che, solitamente, consiste nell entrare in possesso d informazioni sensibili oppure quello d utilizzare la macchina target per effettuare ulteriori attacchi mirati verso altri target più rilevanti per l attaccante. Lockheed Marting Corp
Security Breach Detection & Intelligence > IOC & TTP Lockheed Martin Corp. Cyber Kill Chain The fundamental element of intelligence is the indicator. An indicator is any piece of information that objectively describes an intrusion. Analysts will reveal indicators through analysis or collaboration, mature these indicators by leveraging them in their tools, and then utilize them when matching activity is discovered. This activity, when investigated, will often lead to additional indicators that will be subject to the same set of actions and states Tracking the derivation of a given indicator from its predecessors can be time-consuming and problematic
Mitre Corporation 2013 Security Breach Detection & Intelligence > IOC & TTP
Security Breach Detection & Intelligence > IOC & TTP Mitre Tactics, Techniques and Procedures (TTP) TTPs are representations of the behavior or modus operandi of cyber adversaries. It is a term taken from the traditional military sphere and is used to characterize what an adversary does and how they do it in increasing levels of detail. TTPs consist of the specific adversary behavior (attack patterns, malware, exploits) exhibited, resources leveraged (tools, infrastructure), information on the victims targeted (who, what or where), relevant exploit targets being targeted, intended effects, relevant kill chain phases, handling guidance, source of the TTP information, etc.
Security Breach Detection & Intelligence > IOC & TTP For instance, to give a simple example, a tactic may be to use malware to steal credit card credentials. A related technique may be to send targeted emails to potential victims, which have documents attached containing malicious code which executes upon opening, captures credit card information from keystrokes, and uses http to communicate with a command and control server to transfer information. A related procedure may be to perform open source research to identify potentially gullible individuals, craft a convincing socially engineered email and document, create malware/exploit that will bypass current antivirus detection, establish a command and control server by registering a domain called mychasebank.org, and send mail to victims from a Gmail account called accountsmychasebank@gmail.com. Mitre Corporation 2013
Security Breach Detection & Intelligence Drill down: Reference Architecture
Security Breach Detection & Intelligence > Reference Architecture Security Breach & Incident Response Management Security Breach Metrics Dashboard Security Information and Event Management Big Data Security Breach Detection & Analysis Dashboard Data Breach Anticipation Visual Correlate Data Breach Prevention Advanced Search Domini Data Breach Detection Data Mining Data Breach Intelligence Maths Link Analysis Data Breach Response SOC Platform CSIRT Platform Cruscotto dei Rischi di Breach
Security Breach Detection & Intelligence Drill down: Piattaforma
Security Breach Detection & Intelligence > La piattaforma Sistemi di analisi e monitoraggio Monitoraggio di fonti informative e di asset server, applicativi, database, storage, endpoint, di rete Analisi dei fenomeni di data & identity breach Database audit trails Data Access Audit Trails Data Leakage Monitoring & Prevention Una vista logica della piattaforma: Endpoint real-time forensics data Network captures, logs, flows R&D realizzata dal Security Competence Center Attività di analisi svolte dal Lutech Security Competence Center Piattaforme di monitoraggio semiautomatizzato con Big Data & Advanced Maths Monitoring delle sorgenti informative necessarie ai fini del Servizio Geolocalization database Decoy Network Sensors Cyber Threat Information Service Provider Navigation & proxy logs Transaction link analysis informations
Security Breach Detection & Intelligence > La piattaforma Reporting Dashboard Search Data Mining Maths Advanced Search Engine V i z Known incidents Security Events Malware Analysis Big Data Metadata Enrichment New criteria Correlation Direct Events Correlated Events from Legacy Systems Situational Awareness Intrusion Detection Intelligence interna Asset Compromise & Privilege Escalation Perimeter Anomalous Events Intelligence esterna
Dove siamo Direzione e Sede Operativa Via W.A. Mozart 47, 20093 Cologno Monzese (MI) Tel. +39-02-25427011 Fax +39-02-25427090 Sede di Roma Via A. Mantegna 4, Parco Leonardo 00054 Fiumicino (RM) Tel. +39-06-227501 Fax +39-06-22771542 Altre sedi a Torino, Modena, Firenze, Bari Email info@lutech.it Web http://www.lutech.it