Dawn Cappelli Rapida riduzione dei rischi: Uno Sprint di 30 giorni … · 2017-06-21 · Security...

THE CISO VIEWUN'INIZIATIVA DI SETTORE SPONSORIZZATA DA CYBERARK

Con il contributo di un paneldi 1000 CISO in tutto il mondo:

Chief Information Security Officer, ING Bank

Senior Vice President and Chief Information Security Officer, CIBC

Vice President and Chief Information Security Officer, Rockwell Automation

Vice President and Chief Information Security Officer, Lockheed Martin

Senior Vice President and Chief Information Security Officer, Starbucks

Chief Information Security Officer,ANZ Banking Group Limited

Chief Information Security Officer, CSX

Chief Information Security Officer, Monsanto Company

Vice President and Chief Information Security Officer, Carlson Wagonlit Travel

Vice President and Head of Information Security, SGX

Head of Information Security, News UK

Senior Vice President and Chief Information Security Officer, McKesson

Rapida riduzione dei rischi:Uno Sprint di 30 giorni perproteggere le credenzialiprivilegiate

Chun Meng Tee

Munawar Valiji

Mike Wilson

Kathy Orner

Gary Harbison

Mark Grant

Steve Glynn

Dave Estlick

Jim Connelly

Dawn Cappelli

David Bruyea

Rob Bening

THE CISO VIEW: RAPIDA RIDUZIONE DEI RISCHI

2

Per questo rapporto di ricerca The CISO View, ci siamo avvalsi dell'esperienza di professionisti della sicurezza e di tecnici esperti che combatt ono in prima linea per trovare rimedi contro le violazioni. Il report fornisce informazioni dett agliate su quanto appreso da svariate violazioni dati di alto profi lo. Questo rapporto descrive un programma comprovato di intenso Sprint da att uare nell'arco di circa30 giorni, per implementare di una serie di controlli chiave riguardanti le credenziali privilegiate.

INDICE

Presentazione del rapporto...................................................................................................................................................... 3

Conclusione principale: Gli att accanti sfrutt ano le vulnerabilità delle credenziali di amministratore di Windows ...... 4

Conclusione principale: Gli att accanti uti lizzano un percorso privilegiato per accedere a risorse criti che ......... 5

Procedure raccomandate ......................................................................................................................................................... 8

Programma Sprint di 30 giorni ............................................................................................................................................ 10

Prima dello Sprint ................................................................................................................................................................... 13

Dopo lo Sprint ......................................................................................................................................................................... 13

Conclusione ............................................................................................................................................................................. 14

Appendice 1: Domande frequenti per la dirigenza e il consiglio di amministrazione ............................................ 15

Appendice 2: Biografi e dei membri del panel di The CISO View e dei collaboratori esterni ................................ 17

Il parere del nostro sponsorLa serie di rapporti The CISO View è sponsorizzata da CyberArk e sviluppata da un'agenzia di ricerca indipendente, Robinson Insight. L'esperienza duramente

acquisita da altri professionisti della sicurezza è inestimabile per i CISO che cercano di prendere decisioni informate, basate su metodologie empiriche, mentre lavorano per migliorare i controlli sugli accessiprivilegiati. Siamo convinti che grazie alla condivisione delle loro informazioni, i membri del panel e icollaboratori esterni stanno aiutando la più ampia comunità ad affrontare questo problema.

Presentazione dei contributi dei collaboratori esterni:

Esperti tecnici e consulenti che hanno lavorato conimportanti organizzazioni in fase di post-violazione:

John GelinneManaging Director, Advisory Cyber Risk Services,Deloitte & Touche

Gerrit LansingChief Architect, CyberArk

Responsabili della sicurezza di importanti organizzazioni che hanno sperimentato violazioni di dati di notevole entità*

* A causa di vincoli legali, questi dirigenti hanno contribuito alla ricerca senza riconoscimento.

2



2

3

INTRODUZIONE

Come si evita la violazione dei dati ? Ciò che in defi niti va occorre conoscere sono le tecniche uti lizzate dagli att accanti e quali controlli di sicurezza sono in grado di fermarli. Per ott enere queste informazioni, i CISO si rivolgono spesso a un gruppo di esperti poco invidiabile: organizzazioni che hanno già subito violazioni.

Per questo rapporto di ricerca The CISO View, ci siamo avvalsi dell'esperienza di professionisti della sicurezza e di tecnici esperti che combatt ono in prima linea per trovare rimedi contro le violazioni. Questo rapporto fornisce informazioni dett agliate su quanto appreso da svariate violazioni dati di alto profi lo.

Negli ulti mi 24 mesi, diversi att acchi riusciti hanno uti lizzato credenziali privilegiate violate. Nei casi che abbiamo studiato, gli hacker sono stati in grado di ott enere credenziali di amministratore Windows a livello di dominio sfrutt ando le vulnerabilità comuni che si trovano nella maggior parte degli ambienti IT aziendali.

Queste tecniche di att acco sono diventate relati vamente facili da applicare, grazie alla proliferazione di toolkit per la creazione di malware e sono uti lizzate per ott enere un controllo completo della rete e una massiccia estrazione di dati .

Dati i rischi crescenti , la protezione delle credenziali privilegiate è diventata oggi una massima priorità per molte organizzazioni. Fortunatamente, la signifi cati va riduzione dei rischi non richiede molto tempo. Con interventi suffi cientemente urgenti , può essere ott enuta in alcune setti mane — poiché viene spesso eseguita sulla scia di reali violazioni.

Questo rapporto descrive un programma comprovato di intenso Sprint da att uare nell'arco di circa 30 giorni, per l'implementazione di una serie di controlli chiave riguardanti le credenziali privilegiate. Le raccomandazioni, sviluppate in collaborazione con il nostro sti mato panel composto da 1000 CISO da tutt o il mondo, consentono ai team di sicurezza di proteggere in modo proatti vo le proprie organizzazioni.

In che modo può essere utilizzato dai CISO e dai team di sicurezza il presente rapporto di ricerca?

•

•

•

•

•

•

•

Applicare l'esperienza acquisita da violazioni dei dati realmente accadute

Affinare le proprie conoscenze delle tecniche di attacco che sfruttano le credenziali privilegiate di Windows

Illustrare queste tecniche agli interessati

Valutare i rischi: quanto è vulnerabile lapropria organizzazione?

Analizzare i controlli esistenti: in che modo si dimostrano all'altezza rispetto alle procedure raccomandate?

Dare priorità all'implementazione di nuovi controlli: che cosa fare come prima cosa?

Ottenere il supporto della dirigenzae convincere gli amministratori IT

[Nell'analizzare 2.260 violazioni],pressoché i due terzi delle violazioni sono state rese possibili dall'usodi password deboli o sottratte.*

*Verizon 2016 Data Breach Investi gati ons Report

3


4

CONCLUSIONE PRINCIPALE: GLI ATTACCANTI SFRUTTANO LE VULNERABILITÀCON CREDENZIALI DI AMMINISTRATORE WINDOWS

Mentre le credenziali privilegiate sono da tempo soggett e a rischi, le vulnerabilità associate alle credenziali di amministratore uti lizzate per gesti re workstati on, server e controller di dominio nell'ambiente Windows, sono diventate parti colarmente acute. Gli hacker hanno imparato a sfrutt are il modo in cui i sistemi Windows salvano le credenziali privilegiate in memoria, in abbinamento al modo in cui le organizzazioni gesti scono comunemente le credenziali privilegiate nell'ambiente Windows.Nei casi che abbiamo osservato, dopo l'iniziale intrusione avvenuta att raverso il phishing, gli hacker sono stati in grado di uti lizzare le credenziali estratt e per spostarsi da un sistema all'altro sulla rete. Secondo il rapporto Mandiant M-Trends 2016, prendere di mira account altamente privilegiati ed estrarre le credenziali dalla memoria è diventata un'operazione “quasi banale” nella maggior parte degli ambienti Windows a causa della diff usa disponibilità di toolkit. Il Red Team di Mandiant, in media, è in grado di ott enere l'accesso alle credenziali di amministratore di dominio nel giro di tre giorni dopo aver ott enuto l'accesso iniziale a un ambiente.Queste tecniche non solo agiscono rapidamente; possono anche fornire agli hacker livelli di controllo senza precedenti . Uno dei più pericolosi è l'att acco “golden ti cket”, dove un intruso compromett e un controller di dominio e sott rae una chiave segreta uti lizzata per critt ografare e fi rmare i ti cket Kerberos. Con la chiave master, l'hacker può ott enere silenziosamente qualsiasi privilegio per accedere a tutt o ciò che desidera – prendendo possesso eff etti vamente della rete aziendale, tra cui tutt e le risorse cruciali e tutti i sistemi di sicurezza aderenti al dominio.Microsoft ha riconosciuto i rischi di furto di credenziali associato all'ambiente Windows e sta lavorando al raff orzamento di tale ambiente onde impedire le tecniche di sott razione delle credenziali. Tutt avia,occorreranno anni prima che siano rilasciati e implementati completamente tutti gli aggiornamenti nelle organizzazioni.

Quant'è vulnerabile la vostra organizzazione?Esempi di procedure comuni che rendono le organizzazioni suscettibili agli attacchi:

• Fornire agli utenti finali, quali sviluppatori di software o personale di vendita remoto, diritti di amministratore locale sulle proprie workstation

• Far sì che il personale dell'helpdesk utilizzi account di amministratore di dominio durante la risoluzione dei problemi di workstation e server

• Fornire agli amministratori IT l'accesso agli account di amministratore di dominio “in caso di necessità” • Impostare nuove workstation con immagini clonate determinando così che abbiano la stessa password di

amministratore locale • Rotazione delle password di amministratore solo ogni 30-60 giorni • Applicazione di un'AD Group Policy per la rotazione di un'unica password di amministratore utilizzata per

tutti i sistemi • Consentire agli account utilizzati dalle applicazioni di avere privilegi di amministratore di dominio

—MICROSOFT, “RIDUZIONE DEL FURTO DI CREDENZIALI PASS-

THE-HASH E DI ALTRO TIPO, VERSIONE 2,” 2014

Poiché molte implementazioniesistenti dei servizi di dominio Active Directory sono utilizzate da anni con il rischio di furto di credenziali, le organizzazioni devono presumere la violazione e considerare la reale possibilità di subire una violazione non rilevata delle credenziali di amministratore enterprise o di dominio.

4


5

-

CONCLUSIONE PRINCIPALE: GLI ATTACCANTI UTILIZZANO UN PERCORSO PRIVILEGIATO PER ACCEDERE A RISORSE CRITICHE

Per i casi che abbiamo studiato, il contatt o iniziale è stato ott enuto ingannando gli utenti con il phishing, ossia inviando loro un allegato malevolo che, una volta scaricato, installava malware sulla loro workstati on. Negli ambienti Windows, a prescindere dal metodo iniziale d'intrusione, esiste un percorso privilegiatoben stabilito che gli hacker uti lizzano per espandere l’ambito del proprio att acco, spostandosi da unasingola workstati on compromessa verso risorse criti che contenenti dati preziosi.

Le moti vazioni variano. Gli hacker potrebbero esplorare l'ambiente per vedere ciò che possono trovare,ad esempio dati fi nanziari su una workstati on sensibile o numeri di carte di credito in un database server. Oppure potrebbero essere più ambiziosi, mirando a raggiungere il controller di dominio che consenti rebbe loro di accedere a tutt e le risorse criti che.

Come gli att accanti si spostano da una workstati on all'altraSulla prima workstati on, l'hacker potrebbe uti lizzare malware di registrazione dei tasti premuti sulla tasti era per individuare la password di amministratore della workstati on. Se la stessa password è uti lizzata su altri sistemi, l'hacker può facilmente accedere ad altre workstati on.

Altre e più potenti tecniche di furto delle credenziali non richiedono nemmeno che l'hacker veda la password e gli consentono di spostarsi molto velocemente da un sistema all'altro. Con la tecnica “pass-the-hash”, l'hacker estrae gli hash di password archiviati nella memoria del computer di tutti gli utenti che recentemente hanno eseguito l'accesso a quel sistema – compresi gli amministratori. Usando gli hash di password, l'hacker può spostarsi lateralmente su altre workstati on, giungendo alla fi ne, ad esempio, a una workstati on sensibile (fi gura 1).

Figura 1: Verso una Workstati on con dati sensibili

Intrusione iniziale,spesso phishing

Sott rae la password di

amministratore

Uti lizza la password.

Non trova nulla. Va avanti .

Sott rae l'hash di unapassword di

amministratore conampio accesso

Uti lizza l'hash.Non trova nulla.

Va avanti .


Va avanti .

Uti lizza l'hash.Trova dati riservati .

Sott rae i dati riservati .

WORKSTATION CON DATI SENSIBILIWORKSTATION WORKSTATION WORKSTATION WORKSTATION MULTIPLE

5


6

Un esempio specifi co di pass-the-hash è il seguente: se un tecnico di helpdesk ha fornito di recente assistenza su una workstati on, l'hacker può sott rarre l'hash del tecnico di helpdesk da una workstati on, quindi uti lizzarla per accedere ad altre workstati on alle quali ha accesso il tecnico di helpdesk.

Pass-the-hash è la più nota tecnica di estrazione delle credenziali. Sfrutt a caratt eristi che dei protocolli di autenti cazione Kerberos e NTLM che consentono l'autenti cazione trasparente. Altre varianti comprendono il furto di ti cket Kerberos da un sistema compromesso per implementarli su un altro sistema (pass-the-ti cket) o l'uti lizzo di hash sott ratt e per creare nuovi ti cket Kerberos (overpass-the-hash).

Come gli att accanti si spostano verso risorse di maggior valoreMediante le tecniche di furto delle credenziali descritt e in precedenza per spostarsi lateralmente, un hacker può inoltre scalare i propri privilegi al fi ne di ott enere l'accesso ad account e sistemi di maggiore valore. Ad esempio, un hacker può spostarsi dalla prima workstati on a un'altra usando credenziali sott ratt e. Se in questa seconda workstati on, l'utente uti lizza lo stesso account per l'accesso di amministratore a un server, l'hacker potrà ora ott enere l'accesso a tale server. L'hacker può conti nuare il processo di furto delle credenziali per spostarsi da un server all'altro. Individuando l'hash della password di amministratore di un server, l'hacker può ott enere ampio accesso a più server e giungere alla fi ne al database dei clienti (fi gura 2).

La primissima cosa che un malintenzionato fa una voltaentrato nella rete è cercare la possibilità di scalare i propriprivilegi. Se non si adotta l’uso di good practice, si rende moltofacile agli hacker accedere istantaneamente a tutta la propria rete.

—JIM CONNELLY, VICE PRESIDENT AND CISO,

LOCKHEED MARTIN

Figura 2: Verso un database con informazioni sui clienti

Intrusione iniziale,spesso

phishing

Sott rae lapassword di

amministratore


amministratore uti lizzata

per un server

Uti lizza la password.

Non trova nulla. Va avanti .

Sott rae l'hash di unapassword di

amministratore conampio accesso


Va avanti .


Va avanti .

Uti lizza l'hash.Trova dati riservati .

Sott rae i dati riservati .

SERVER DI DATABASE CON INFO CLIENTI

WORKSTATION WORKSTATIONSERVER SERVER SERVER MULTIPLI

6


7

Con le stesse tecniche, un hacker può inoltre spostarsi da un server a un controller di dominio. Una volta che ilcontroller di dominio è stato compromesso, l'hacker può potenzialmente sferrare un att acco “golden ti cket”, dove può agire da authenti cati on authority e ott enere l'accesso a tutt e le risorse della rete, compresi i sistemidi sicurezza e i sistemi non Windows che siano stati integrati in Acti ve Directory (fi gura 3).

Le procedure comuni che rendono vulnerabili le organizzazioni alle tecniche pass-the-hash e simili comprendono:

• Consenti re agli utenti di uti lizzare account con privilegi di amministratore sulle proprie workstati on

• Uti lizzare la stessa password di amministratore per tutti gli account di amministratore locali

• Non imporre in modo consistente la rotazione della password o criteri di univocità per gli account diamministratore IT

• Impostare account di amministratore di dominio da uti lizzare per accedere a controller di dominio, nonché aserver e workstati on

• Consenti re l'uti lizzo di account di amministratore per le atti vità giornaliere, quali il controllo della postaelett ronica e l'esplorazione di Internet

Figura 3: Verso il controller di dominio

Chiudere il percorso privilegiatoI team di sicurezza si concentrano spesso sull'implementazione di controlli all'inizio del percorso di att acco (per impedire il phishing) e alla fi ne (per proteggere le risorse criti che). Tutt avia, la soluzione chiave è implementare controlli per chiudere il percorso privilegiato.

Sebbene la forza lavoro sia formata meglio che mai, il tasso di riuscita del phishing è comunque molto elevato. La ricerca dimostra che i dipendenti aprono i messaggi di phishing il 30% delle volte e circa il 13% delle volte proseguono facendo clic sull'allegato o sul link malevolo*. Dall'altro lato del percorso di att acco, i controlli di sicurezza sulle risorse criti che sono indubbiamente importanti . Tutt avia, uti lizzando il percorso privilegiato, gli hacker possono uti lizzare risorse non criti che per bypassare o disatti vare i controlli sulle risorse criti che.

*Verizon 2016 Data Breach Investi gati ons Report

Otti ene l'accesso a TUTTE lerisorse criti che.

SERVER CRITICI

WORKSTATION CRITICHE

SISTEMA DI SICUREZZA

CONTROLLER DI DOMINIOSERVERSERVERWORKSTATIONWORKSTATION

Intrusione iniziale, spesso

phishing


amministratore

Sott rae la password di amministratore

uti lizzata per un server

Uti lizza la password. Non trova nulla.

Va avanti .

Sott rae l'hash di una password di amministratore

con ampio accessoGenera ti cket per

tutt e le risorse nel dominio

—GERRIT LANSING, CHIEF ARCHITECT, CYBERARK

Una delle esperienze acquisite èche se si hanno vulnerabilità di tipopass-the-hash sulle workstatione sui server, gli hacker possono utilizzare risorse non critiche per giungere in un punto in cui sono in grado di compromettere risorse critiche.

7


-

PRATICHE RACCOMANDATE

Per i casi in cui gli hacker hanno uti lizzato con successo il percorso privilegiato per giungere alle risorse criti che, abbiamo chiesto: “Quali prati che avrebbero aiutato a impedire la violazione?” Sono state identi fi cate le prati che seguenti . Queste strategie rappresentano la base per il programma di controlli (pag. 10–12).

Limitare l'esposizione delle credenziali privilegiateÈ importante limitare i possibili punti di contatt o tra le credenziali di amministratore e gli hacker. In parti colare,se il malware si installa su una workstati on, accertarsi che non possa ott enere l'autorità di amministratore locale, si diff onda su altri sistemi e/o scopra gli account di amministratore di server o dominio.

• Creare confi ni all'interno della propria strutt ura d'identi tà per imporre la segregazione dei compiti :

– Gli account da Amministratore di Dominio devono essere uti lizzati esclusivamente per la gesti onedei controller di dominio e non per quella di server o workstati on

– Gli account da Amministratore di Workstati on devono essere uti lizzati solo per la gesti one delle workstati on – Gli account da Amministratore di Server devono essere uti lizzati solo per la gesti one dei server, non delle workstati on

• Uti lizzare gli account di amministratore esclusivamente per i compiti amministrati vi e non per le atti vità quoti diane

• Fornire gli account di amministratore soltanto a coloro che li necessitano assolutamente ai fi ni dellapropria normale mansione

• Accertarsi che gli account uti lizzati da applicazioni e servizi abbiano il minimo privilegio possibile:

– La rimozione dei privilegi di amministratore dagli account di applicazione potrebbe richiedere ilrefactoring delle applicazioni; in generale, le applicazioni non necessitano mai di tale livello diprivilegio, sebbene a volte siano scritt e o confi gurate in questo modo per comodità dellosviluppatore

• Non consenti re l'accesso di amministratore a risorse sensibili da workstati on connesse a Internet:

– Uti lizzare un jump server o una workstati on di amministratore dedicata non connessa a Internet

• Non fornire diritti di amministratore di workstati on locale ai dipendenti , quali sviluppatori di soft ware:

– Rimuovere i loro account dal gruppo Amministratori locale e uti lizzare strumenti per fornire privilegielevati temporanei solo per l'esecuzione di atti vità occasionali che richiedano diritti di amministratore

Pratiche raccomandate in breve

• Limitare l'esposizione delle credenziali privilegiate

• Imporre password robuste e memorizzarle in un Vault crittografato

• Limitare il numero di account di amministratore

• Aumentare il monitoraggio per il furto di credenziali privilegiate

8


9

Imporre password robuste e memorizzarle in un Vault crittografato

Limitare il numero di account di amministratoreIdealmente, le organizzazioni devono avere il minor numero possibile di account privilegiati per limitare la superficie di attacco e per semplificare la gestione delle credenziali.

Aderire a queste pratiche aiuta le organizzazioni ad assicurare che gli hacker non riescano a sottrarre le credenziali di amministratore o a riutilizzarle su altri sistemi:

• Richiedere password uniche con rigidi criteri di lunghezza e complessità

• Eseguire la rotazione frequente delle password, usando idealmente password valide una sola volta (o per un solo giorno)

• Automatizzare la selezione e rotazione delle password

• Collocare le password in un Vault digitale a prova di manomissione che utilizza un'archiviazione criptata

• Richiedere l'autenticazione multi-fattore quando utenti e applicazioni accedono alle password nel Vault

• Evitare di impostare account privilegiati assegnati individualmente per gli amministratori in Active Directory. Ad esempio, il seguente processo comune è problematico poiché porta alla proliferazione degli account:

– Un tecnico di helpdesk IT chiamato “Alice” ha un account “Alice” per il lavoro quotidiano e un account “Admin-Alice” con diritti di amministratore per tutte le workstation

Aumentare il monitoraggio per il furto di credenziali privilegiateLe pratiche seguenti aiutano a rilevare gli attacchi che violano le credenziali privilegiate:

• Utilizzare l'account di amministratore integrato già esistente per ciascuna workstation e server:

– Un amministratore di server “Bob” ha un account “Bob” e un account “Admin-Bob” con diritti di amministratore per la propria workstation e i propri server

– Un amministratore di dominio “Charles” ha un account “Charles” e un account “Admin-Charles” con diritti di amministratore per la propria workstation, i propri server e il controller di dominio

– Tali account possono essere condivisi, mantenendo al contempo la responsabilità individuale: collocare nel Vault le credenziali e richiedere agli amministratori di reperirle dal Vault secondo necessità. Le loro attività privilegiate possono essere controllate e monitorate. (I suddetti account Admin-Alice, Admin-Bob e Admin-Charles devono essere eliminati).

– Sebbene molte attività di amministratore possano essere eseguite mediante gli account integrati, potrebbe comunque sussistere l'esigenza di impostare account di amministratore personali, che devono tuttavia essere mantenuti al minimo

– Soprattutto per i controller di dominio, utilizzare strumenti di rilevamento che ricercano specificamente comportamenti indicativi di attacchi al sistema di autenticazione Kerberos

• Implementare il monitoraggio in tempo reale delle sessioni privilegiate, ossia l'accesso di amministratore

• Utilizzare strumenti di rilevamento che ricercano comportamenti indicativi di tecniche di furto delle credenziali

• Utilizzare dati analitici sintonizzati per rilevare anomalie di utilizzo delle credenziali mentre queste avvengono, come ad esempio un tentativo di utilizzo di una credenziale al di fuori degli orari di lavoro autorizzati dell'utente

AMMINISTRATORE

9


10

PROGRAMMA DI SPRINT DI 30 GIORNI

Controlli raccomandati

Assegnazione delle priorità

Di seguito viene descritta un'iniziativa fast-track volta a contribuire alla chiusura dell’accesso privilegiato negli ambienti Windows. Mira ad assicurare che, quando un hacker compromette una workstation, troverà molto difficile spostarsi oltre e se lo fa sarà individuato.

L'intento è di lavorare a un ritmo accelerato per implementare controlli critici in un breve periodo di tempo, 30 giorni. Ciò è ottenuto dalle organizzazioni adottando una mentalità Sprint (vedere box laterale). L'effettiva quantità di tempo necessaria per lo Sprint varia in funzione della dimensione, complessità, maturità e cultura dell'organizzazione.

Quanto velocemente può essere implementata una nuova serie di controlli di sicurezza in un'azienda? Dipende dal senso di urgenza dell'organizzazione. All'indomani di una violazione, le organizzazioni si allineano internamente, le decisioni accelerano, i risultati immediati assumono la priorità rispetto alla burocrazia e un notevole avanzamento nella sicurezza diventa possibile in un breve arco di tempo.

Inevitabilmente, tutti i “superstiti delle violazioni” vorrebbero aver fatto quello scatto di avanzamento in tempo per evitare il danno, che è lo scopo dello Sprint proattivo di 30 giorni.

—STEVE GLYNN, CISO, ANZ BANKING GROUP LIMITED

La mentalità dello Sprint

Sebbene il programma si focalizzi su controlli specifici riguardanti gli account di amministratore di Windows per proteggere gli ambienti Windows, le organizzazioni devono, in parallelo, implementare altri controlli critici, quali il patching del sistema operativo, il patching delle applicazioni e il whitelisting delle applicazioni.

La tabella seguente delinea la serie di controlli raccomandati, indicando quali controlli implementare per primi e cosa fare dopo aver messo in atto la prima serie di controlli.

L'assegnazione delle priorità suggerita è basata sugli sforzi intrapresi per:

– Per un'iniziativa fast-track, l'idea è di non perdere troppo tempo sull'analisi anticipata poiché gli account sono relativamente facili da identificare all'interno di Active Directory (AD) e dei gruppi di amministratori locali.

– Account di amministratore di dominio e account di amministratore con accesso a un elevato numero di sistemi, in particolare server, nonché account di applicazione che utilizzano privilegi di amministratore di dominio.

– Ad esempio, idealmente gli account per utenti di workstation non devono avere privilegi di amministratore, tuttavia i “superstiti delle violazioni” affermano che si tratta di una delle pratiche più difficili da implementare e gestire semplicemente a causa del volume di workstation.

• Identificare gli account velocemente – Individuare gli account di amministratore in Windows

• Dare precedenza agli account più a rischio – Implementare anzitutto i controlli sugli account più potenti

• Essere realistici sulla gestione del volume di account – Lavorare velocemente per mettere in atto alcuni controlli e apportare miglioramenti nel tempo

Anche se i CISO non sono in grado di mettere in atto tutti i controlli in 30 giorni – l'intento è ovvio. Occorre assegnare le priorità. Il programma aiuta a scomporle – “Iniziare qui. Eseguire anzitutto queste cose”. È assolutamente necessario sia che si tratti di 30, 60 o 180 giorni.

10


1110

Controlli raccomandati ANZITUTTO: Gestire anzitutto questi account

Mirare a implementare i controlli per questi account entro un breve periodo di tempo, ad esempio 30 giorni.

SUCCESSIVAMENTE: Gestire successivamente questi account In funzione dell'organizzazione, questi controlli possono richiedere più tempo.

• Riconfigurare gli account per segregare i compiti Account di Amministratore di Dominio (utilizzati solo per accedere ai controller di dominio)

Account di Amministratore di Server (utilizzati solo per accedere ai server)Account di Amministratore di Workstation (utilizzati solo per accedere alle workstation)

• Collocare le password di amministratore in un Vault – Automatizzare la selezione e rotazione delle

password (ad esempio, password da utilizzare una sola volta)

– Monitorare l'utilizzo delle password

Account di Amministratore di Dominio

Account di Amministratore di ServerAccount di Amministratore Locale di Workstation

• Richiedere l'autenticazione multi-fattore per accedere alle password nel Vault

Tutti gli account per i quali le password sono state collocate nel VaultPoiché le password sono collocate nel Vault, le organizzazioni continueranno a implementare l’accesso MFA nel tempo.

• Generazione randomica ed automatica delle password per gli account di amministratore al fine di renderle uniche

Account di Amministratore Locale di Workstation

• Non consentire l'accesso amministrativo a risorse sensibili da workstation connesse a Internet

– Utilizzare un jump server o una workstation amministrativa dedicata non connessa a Internet

• Limitare l'uso di account di amministratore ai soli compiti amministrativi

– Non per le attività quotidiane

Account di Amministratore di Dominio

Account di Amministratore di Server

Account di Amministratore di Workstation

• Ridurre al minimo l'uso di account di amministratore assegnati individualmente (che porta alla proliferazione degli account)

– Far sì invece che gli amministratori utilizzino gli account integrati e accedano alle password tramite un vault (per ulteriori dettagli, vedere pagina 9)

Account di Amministratore di DominioAccount di Amministratore di ServerPer alcune organizzazioni potrebbe non essere possibile rimuovere nel breve termine gli account di amministratore assegnati individualmente. Un approccio iniziale è collocare le password nel Vault per gli account di amministratore assegnati individualmente, quindi, nel tempo, passare dall'utilizzo di questi account a quelli integrati.

Account di amministratore di workstation

Continua alla pagina successiva


1111


12

Controlli raccomandati ANZITUTTO: Gestire per primi questi account

Mirare a implementare i controlli per questi account entro un breve periodo di tempo, ad esempio 30 giorni.

SUCCESSIVAMENTE: In seguito gestire questi account

In funzione dell'organizzazione, questi controlli possono richiedere più tempo.

• Rimuovere i privilegi di amministratore workstation dagli utenti finali– Implementare l’elevazione temporanea dei privilegi quando richiesto

Account di amministratore locale di wor-kstation

Gli account degli utenti finali devono essere rimossi dal gruppo di amministratori locali. Se gli utenti devono eseguire attività sulla propria workstation che richiedono privilegi di amministratore fornire un'elevazione temporanea del privilegio solo per l'esecuzione di attività specifiche.

• Implementare strumenti di rilevamento per trovare in tempo reale segni di spostamento laterale o escalation dei privilegi

Account di Amministratore di Dominio Account di Amministratore di Server Account di Amministratore di Workstation

• Se qualsiasi applicazione utilizza privilegi di amministratore di dominio, come i domain right su server multipli, rimuovere tali privilegi

Account di Applicazione

Per alcune organizzazioni, potrebbe non essere possibile gestire tutte queste applicazioni entro il breve termine e il lavoro di riconfigurazione o riscrittura delle applicazioni continuerà nel tempo


Continua dalla pagina precedente

Note alla tabella:

• Account di Amministratore di Dominio: Account in AD utilizzati per gestire domini e domain controller– Ad es., amministratori di azienda e amministratori di dominio

• Account di Amministratore di Server: Account in AD utilizzati per gestire i server – Ad es., account utilizzati dal personale dei data center per la gestione di server multipli

• Account di Amministratore di Workstation: Account in AD utilizzati per gestire un elevato numero di workstation – Ad es., account utilizzati dal personale di Help Desk per fornire supporto tecnico

• Account di Amministratore Locale di Workstation: Account nel gruppo Amministratori Locali su ciascuna workstation – Ad es., account utilizzati per eseguire attività di amministratore su workstation individuali

• Account di applicazione: Account non utente utilizzati dalle applicazioni per eseguire run su sistemi o processi – Ad es., account utilizzati per eseguire backup o installazione software

12


13

PRIMA DELLO SPRINT

Entro l'inizio dello Sprint, occorrerà aver selezionato tecnologie per la collocazione delle password nel Vault, l'autenticazione multi-fattore e il rilevamento, e aver messo insieme un team. Un piccolo team può predisporre assai rapidamente i controlli sugli account privilegiati più importanti: in un caso, all'indomani di una violazione, un team di soli otto membri operante con un consulente di sicurezza ha posto nel Vault gli account di amministratore di 20 domini e 6.500 server in quattro settimane. In confronto all'implementazione di controlli in un ambiente ostile, post-violazione, è verosimile che, svolgendo il lavoro in modo proattivo, si possa procedere in maniera relativamente liscia.

—JOHN GELINNE, MANAGING DIRECTOR, ADVISORY CYBER RISK SERVICES,

DELOITTE & TOUCHE

Misurazione dell'avanzamentoEsempi di metriche utili:

• Utilizzare penetration test per misurare la quantità di tempo necessaria agli hacker per compromettere account di alto valore prima e dopo l'implementazione dei controlli

• Eseguire la scansione della rete con strumenti automatici che identificano gli account che necessitano di migliore protezione. Dopo l'implementazione dei controlli, eseguire nuovamente la scansione della rete per mostrare la riduzione degli account vulnerabili.

In generale, le organizzazioni emergono da uno Sprint con un elenco di cose da fare che comprendono i thread seguenti.Aggiungere controlli a più account: Per la copertura al di là degli account Windows, comprendere l'ambito di tutti gli account privilegiati. Gli account privilegiati esistono per una vasta gamma di tecnologie, quali database Oracle, computer Unix e Apple, dispositivi di archiviazione NAS e SAN, qualsiasi dispositivo con un indirizzo IP, hyper-visori e servizi operativi in ambienti virtualizzati e servizi cloud. Aumentare la profondità dei controlli: Puntare a potenziare i controlli per monitorare l'utilizzo degli account. Per gli account più sensibili, ad esempio, aggiungere registrazioni video di sessioni privilegiate o analisi di comportamento degli utenti.

Formalizzare il programma: Istituire processi per la gestione e il supporto dei nuovi controlli, tenendo conto di domande, ad esempio “Quali sono i processi per l'aggiunta di nuove risorse al sistema e il de-provisioning di quelle obsolete?” Accertarsi che i processi possano tenere il ritmo delle modifiche in azienda e convalidare regolarmente che gli obiettivi aziendali e di sicurezza siano stati raggiunti. I CISO e i relativi team di sicurezza possono utilizzare l'impulso dello Sprint per eseguire la transizione a un programma aziendale più completo, che può essere uno sforzo pluriennale. Il report The CISO View intitolato The Balancing Act: The CISO View on Improving Privileged Access Controls (L’esercizio di equilibrio: il report The CISO View sul miglioramento dei controlli di accesso privilegiato) offre il consiglio di colleghi esperti in tre aree chiave: • Le decisioni strategiche che i CISO e relativi team dovranno prendere• Le conversazioni che i CISO devono tenere in tutta l'organizzazione• I componenti essenziali di un programma di successo

Continuare con il refactoring delle applicazioni: Le applicazioni, soprattutto quelle legacy, sono spesso scritte in modo da richiedere privilegi di amministratore e hanno le password incorporate cosicche’ rendono difficoltosa la rotazione delle stesse. Assicurarsi in generale che a tutte le applicazioni siano concessi i privilegi minimi necessari e l'utilizzo protetto delle password. Per risolvere questi problemi, solitamente è necessario riconfigurare o riscrivere le applicazioni. Ciò comprende non solo le applicazioni sviluppate internamente ma anche quelle di terzi. In alcuni casi, le organizzazioni devono lavorare con i fornitori per apportare le modifiche.

DOPO LO SPRINT

Mettere in atto controlli di sicurezza nel bel mezzo di un cyber-attacco è come installare finestre anti-tempesta nella propria casa nel bel mezzo di un uragano. È molto più facile implementare i controlli per proteggere le credenziali privilegiate ad alto rischio ora, piuttosto che risolvere i problemi e i danni dovuti a una violazione in seguito.

13


14

CONCLUSIONE

Gli hacker hanno affinato l'uso del percorso privilegiato in Windows per raggiungere risorse critiche e sottrarre dati sensibili. Senza adeguati controlli per proteggere gli account di amministratore, le organizzazioni rimangono esposte. Il programma fornisce un'iniziativa fast-track per implementare una serie di controlli atti a bloccare il percorso privilegiato.

Per avere successo, il team di sicurezza dovrà ottenere il supporto di tutta l'organizzazione. Convincere gli amministratori IT è un fattore critico. Possono fare resistenza ai cambiamenti del flusso di lavoro oppure alla riduzione dei propri privilegi. Tuttavia, controlli di sicurezza migliori non solo proteggono l'organizzazione, ma anche gli Amministratori personalmente. Se si verifica un incidente dove un hacker assume il controllo di un account privilegiato, gli amministratori possono essere esonerati velocemente da azioni illecite. Il capitolo sulle “Quattro conversazioni di estrema importanza” nel rapporto The CISO View, The Balancing Act, offre ulteriori consigli sulla persuasione e la gestione delle obiezioni.

Un altro gruppo chiave da convincere è quello dei dirigenti, che devono aiutare a stabilire le priorità dell'organizzazione e a creare un senso di urgenza. Per una guida sulla comunicazione con i dirigenti e/o il Consiglio di Amministrazione, consultare le Domande frequenti nell'Appendice che segue.

—COLLABORATORE ESTERNO

Comportarsi come se si fosse subita una violazione. Se così fosse, si sarebbe obbligati a trovare una soluzione. La mentalità cambia da “È troppo difficile. Non possiamo farlo” a “Dobbiamo farlo!” Si tratta ora di un imperativo.

14

12

Per accedere ad altri rapporti The CISO View, visitare www.cyberark.com/cisoview


15

APPENDICE 1: DOMANDE FREQUENTI PER LA DIRIGENZA E IL CONSIGLIO DI AMMINISTRAZIONE

1. Perché occorre un sforzo intenso per proteggere le credenziali privilegiate?

Queste Domande frequenti sono desti nate ad aiutare i dirigenti e il Consiglio di Amministrazione a comprendere i rischi e il risk miti gati on plan.

Senza adeguata protezione, siamo a rischio di una violazione dei dati simile agli att acchi importanti che sono stati presentati nei noti ziari e che hanno colpito molte organizzazioni di grandi dimensioni. In questi casi, gli hacker hanno uti lizzato tecniche che sfrutt avano le vulnerabilità nell'ambiente Windows per sott rarre credenziali privilegiate e spostarsi nella rete senza essere rilevati , al fi ne di ott enere il controllo completo dei sistemi informati ci dell'organizzazione.

Il rischio di questi att acchi è in aumento. Gli hacker hanno accesso a toolkit ampiamente disponibili che consentono loro di creare facilmente strumenti personalizzati atti a sferrare att acchi. La stessa Microsoft raccomanda di mett ere in att o controlli migliori al fi ne di ridurre il rischio. In base alla ricerca che ha analizzato queste importanti violazioni dei dati , sappiamo quali miglioramenti dei nostri controlli di sicurezza siano necessari. Durante uno Sprint di 30 giorni, mett eremo in att o controlli che rendono molto più diffi cile agli hacker sferrare questi ti pi di att acco contro di noi.

2. Perché le credenziali privilegiate sono una priorità in confronto ad altriobietti vi di sicurezza? Le credenziali privilegiate forniscono agli avversari livelli di accesso estremamente elevati ai sistemi informati ci. In generale, si tratt a di password uti lizzate dai dipendenti , quali amministratori IT, per gesti re le risorse informati che in tutt a l'azienda.

Con le credenziali privilegiate, un hacker può accedere a proprietà intellett uali, segreti aziendali e informazioni sui clienti . L'hacker può inoltre disatti vare eventuali tecnologie di sicurezza, quali critt ografi a dei dati , fi rewall e sistemi di rilevamento, che l'organizzazione ha messo in att o.

3. Quali tecniche uti lizzano gli hacker per sott rarre credenziali privilegiate?Un primo passo ben noto nella maggior parte di questi att acchi è il phishing. Gli utenti sono ingannati e spinti a fare clic su un link o ad aprire un allegato in un messaggio di posta elett ronica, che scarica malware sulla propria workstati on. Studi dimostrano che, nonostante sforzi importanti , quale l'addestramento anti -phishing per gli utenti , i tassi di riuscita globale del phishing sono eff etti vamente aumentati .

Una volta che il malware è scaricato sulla workstati on, gli hacker ott engono l'accesso all'ambiente Windows e possono avvalersi del modo in cui i sistemi Windows memorizzano le credenziali. Windows memorizza “hash” delle password (ossia, codifi che a lunghezza fi ssa delle password) nella memoria del computer per tutti gli utenti che si sono collegati recentemente al sistema. Sott raendo l'hash della password di amministratore, un hacker può ott enere l'accesso a più sistemi. Eseguono una ricerca all'interno della memoria di ciascun sistema per trovare altri hash di password che, a loro volta, forniscono l'accesso a sistemi ancora più preziosi, quali database server oppure, il massimo obietti vo,

15


1716

-

il controller di dominio utilizzato per gestire l'accesso alle risorse informatiche. Una volta raggiunto il controller di dominio, gli hacker possono creare “ticket” per accedere a qualsiasi risorsa critica della rete, spegnere i sistemi di sicurezza e assumere il controllo totale dei sistemi informatici.

4. Come incrementare la protezione delle credenziali privilegiate? La nostra strategia è implementare controlli, quali:

• Selezione automatica e rotazione di password uniche e complesse per tutti gli account di amministratore

– Limita la capacità degli hacker di compromettere più sistemi se vengono a conoscenza di una password

• Segregazione degli account utilizzati per gestire controller di dominio, server e workstation

• Utilizzo dell'autenticazione a due fattori per gli utenti autorizzati per l'accesso alle credenziali nel Vault

Questa strategia è in linea con le raccomandazioni di Microsoft per la prevenzione del furto di credenziali in ambienti Windows enterprise.

• Utilizzo di un vault di password che impone automaticamente le policy delle password e consente il monitoraggio delle attività di amministratore per rilevare il furto di credenziali

– Riduce la capacità degli hacker di utilizzare credenziali sottratte su diversi tipi di sistemi

– Il Vault digitale, a prova di manomissione, utilizza la crittografia di grado militare per la memorizzazione delle password

Molte organizzazioni interessate da cyber-attacchi negli ultimi 24 mesi si sono concentrate sull'implementazione di protezioni migliori delle credenziali privilegiate come parte del remediation plan. Allo stesso tempo, altre organizzazioni a livello mondiale hanno migliorato in modo proattivo i controlli di sicurezza delle credenziali privilegiate (prima che possa avvenire una violazione). Un gruppo di 1000 CISO da tutto il mondo, tra cui ING Bank, CIBC, Rockwell Automation, Lockheed Martin, Starbucks, ANZ Bank, CSX, Monsanto, Carlson Wagonlit Travel, News Corp, e McKesson, ha pubblicato le linee guida per lo sviluppo di un programma completo atto a migliorare i controlli di accesso privilegiati. Ulteriori informazioni sono contenute nel Report: “The Balancing Act: The CISO View on Improving Privileged Access Controls (L’esercizio di equilibrio: il report The CISO View sul miglioramento dei controlli di accesso privilegiato)”.

Impostando il tono giusto a partire dall'alto, è possibile contribuire ad assicurare l'implementazione rapida e di successo di una nuova serie di controlli di sicurezza in tutta l'azienda. Sebbene sia la sicurezza a pilotare il progetto, i sistemi interessati sono di proprietà dell'azienda. Sarà necessario il supporto inter-funzionale.

Adottare una “mentalità Sprint” è uno dei più importanti fattori per essere in grado di ottenere una rapida riduzione dei rischi. Stiamo cercando di raggiungere lo stesso senso di urgenza e avanzamento che spesso si ha all'indomani di violazioni reali—senza la pressione generale di dover risolvere una violazione. Alcune persone potrebbero ostacolare le modifiche che devono essere apportate, come ad esempio rinunciare ai diritti di accesso o attenersi a nuovi processi. Le istruzioni da parte della dirigenza sono fondamentali per andare avanti speditamente.

5. Come si confronta questa iniziativa con ciò che stanno facendo altre organizzazioni?

6. Cosa si richiede alla leadership aziendale affinché questa iniziativa abbia successo?

16


1716

-

APPENDICE 2: BIOGRAFIE DEI MEMBRI DEL PANEL DI THE CISO VIEW

Il panel di The CISO View – Massimi esperti in ambito sicurezza di 1000 aziende da tutto il mondo

Rob Bening

Chief Information Security Officer, ING Bank

Rob Bening è CISO di ING Bank. In precedenza è stato ChiefArchitect Technology e Group Chief Technology Officer, responsabile dello sviluppo di standard IT di gruppo e diversi programmi di standardizzazione globale. Il suo ultimo incarico è stato l’impostazione della funzione architettonica

nell’ambito di Operations e IT Banking, guidando i team di architettura e ingegneria nell’infrastruttura. Dal 1985, Rob ha ricoperto diverse posizioni nelle Risorse Umane, Auditing, Sicurezza, Infrastruttura e Architettura presso ING.

David Bruyea

Senior Vice President and Chief Information Security Officer, CIBC

David Bruyea è responsabile della gestione dell'intelligence security information, strategia, policy, standard, valutazione dei rischi, architettura e programmi. Dal punto di vista dell’architettura

d’impresa, il suo mandato comprende la fornitura di visione e leadership tecnologica nella definizione e implementazione di iniziative correlate all'IT. Con oltre 25 anni di esperienza, David ha rivestito inoltre varie posizioni tecniche, di consulenza e dirigenziali presso CIBC nella divisione Tecnologia e Operazioni.

Dawn Cappelli

Vice President and Chief Information Security Officer, Rockwell Automation

Dawn Cappelli è a capo del programma di sicurezza delle informazioni globale per garantire la protezione dei prodotti e dell'infrastruttura di Rockwell. Il suo team utilizza un approccio basato sui rischi per

eseguire le proprie strategie di sicurezza delle informazioni, lavorando a stretto contatto con le unità commerciali, IT e leader funzionali. In precedenza, Dawn è stata fondatrice e direttrice del CERT Insider Threat Center presso Carnegie Mellon e co-autrice della guida “The CERT Guide to Insider Threats” (Guida CERT alle minacce dall’interno). Ha inoltre sviluppato software presso Westinghouse. Dawn fa parte di RSA Conference Program Committee e Domestic Security Alliance Council (DSAC).

Jim ConnellyVice President and Chief Information Security Officer, Lockheed Martin

Jim Connelly è responsabile della strategia complessiva di sicurezza delle informazioni, policy, tecnica della sicurezza, operazioni e cyber rilevamento e risposta alle minacce per

l'ambiente informatico globale di Lockheed. Con oltre 25 anni di esperienza, supervisiona le operazioni di Intelligence Driven Defense di Lockheed ed è a capo di un team di professionisti di cyber sicurezza rinomato nel settore che gestisce l'infrastruttura end-to-end della società, difende contro gli APT e consente la collaborazione aperta e la condivisione delle informazioni con i partner di Lockheed.

Dave Estlick, CISSP, CSSLP, CISA, CISM, CIPPSenior Vice President and Chief Information Security Officer, Starbucks

Dave Estlick è a capo della protezione delle informazioni e cyber sicurezza globale, tra cui operazioni, ingegneria, architettura,

gestione delle identità e degli accessi, nonché dei rischi e conformità IT. In precedenza, Dave era a capo dell'infrastruttura tecnologica globale di Starbucks. È stato responsabile della strategia ed esecuzione nella standardizzazione tecnologica, convergenza infrastrutturale e istituzione del cloud privato di Starbucks. Prima di Starbucks, Dave ha rivestito posizioni di leadership di sicurezza presso PetSmart e Amazon, ha guidato i servizi infrastrutturali per ePods e Icebox, e ha svolto ruoli tecnici chiave presso Sun Microsystems e Boeing.

Steve Glynn

Chief Information Security Officer, ANZ Banking Group Limited

Steve Glynn è a capo delle funzioni di Information Security and Technology Assurance presso ANZ. È responsabile della fornitura di una strategia di sicurezza delle informazioni creata attorno

a persone, abilitazione, fiducia e comunità per garantire che ANZ sia protetta contro l'evoluzione delle cyber minacce in 34 mercati a livello mondiale. Steve ha quasi 20 anni di esperienza. Prima di ANZ, ha rivestito numerosi ruoli di leadership nella Sicurezza informatica, Rischi tecnologici e tecnologia presso ABN AMRO e la Royal Bank of Scotland in Australia e Singapore.

17


18

Il panel di The CISO View – Massimi esperti in ambito sicurezza di 1000 aziende da tutto il mondo (SEGUE)

Mark Grant, PhD, CIPP

Chief Information Security Officer, CSX Corporation

Mark Grant protegge la riservatezza, integrità e disponibilità delle risorse informatiche di CSX. Le sue responsabilità comprendono

cyber-sicurezza, controllo accessi, disaster-recovery aziendale e avanzamento del ruolo e visione dell'architettura d'impresa in tutto l'ambiente IT. È membro del Rail Information Security Committee e partecipa a numerosi gruppi di lavoro per la sicurezza. Da quando è entrato a far parte di CSX, Mark ha ricoperto posizioni chiave con la responsabilità di pianificazione, erogazione e affidabilità dei servizi IT.

Gary Harbison Chief Information Security Officer, Monsanto CompanyGary Harbison è a capo dell'Ufficio della sicurezza informatica focalizzato sulla gestione dei rischi e delle cyber-minacce di Monsanto a livello globale e sulla fornitura di soluzioni di sicurezza

pragmatiche per l’azienda. I suoi ruoli precedenti hanno riguardato il campo della sicurezza informatica, tra cui ruoli tecnici, di architettura, strategia e leadership presso più società Global Fortune 500 e il Dipartimento della difesa. Gary è professore aggiunto nel programma Cybersecurity Master presso l'università di Washington.

Kathy Orner

Vice President and Chief Information Security Officer, Carlson Wagonlit Travel

Kathy Orner ha responsabilità globali per la governance della sicurezza informatica, rischi e conformità; operazioni di sicurezza e ingegneria; sicurezza fisica; auditing e conformità IT.

In precedenza, è stata VP dei Servizi d'impresa e CISO per Carlson. La sua notevole esperienza di leadership IT comprende ruoli di CISO presso United Health Group e Blue Cross Blue Shield of Minnesota. Attualmente è al servizio di Payment Card Industry (PCI) Organization Board of Advisors.

Chun Meng Tee Vice President and Head of Information Security, Borsa di Singapore

In veste di responsabile di InfoSec per SGX, Chun Meng Tee ha la responsabilità funzionale e operativa per il programma di sicurezza delle informazioni della Borsa. Prima di SGX, Chun Meng è stato

consulente per istituti finanziari e agenzie governative con procedure di sicurezza informatica di Ernst and Young. Ha inoltre svolto ruoli di Information Security nel settore pubblico per il Ministero della Difesa e le forze dell'ordine di Singapore, dove ha svolto la funzione di responsabile della sicurezza informatica.

Munawar Valiji Head of Information Security, News UK

Munawar Valiji è il responsabile CISO di News Corp Regional per la strategia di sicurezza per News UK, Dow Jones, Wall Street Journal e Harpercollins Publishers nel Regno Unito e area EMEA, tra cui

progettazione, creazione e gestione di piattaforme di sicurezza altamente protette e di facile manutenzione. In precedenza, è stato responsabile della sicurezza informatica per Financial Times. La notevole esperienza di Munawar nella sicurezza informatica comprende ruoli di consulenza, tecnici e gestione di alto livello presso Morse Computers, Deloitte, Citi Bank, JPMorgan Chase, National Australia Bank e Sun Microsystems.

Mike Wilson Senior Vice President and Chief Information Security Officer, McKesson

Mike Wilson è a capo della sicurezza e gestione dei rischi IT. La sua esperienza IT e di gestione dei rischi spazia tra diverse aree geografiche e settori, tra cui quello dei servizi finanziari, sanitario,

dei prodotti consumer e distribuzione. Prima di McKesson, Mike ha lavorato per un'organizzazione di servizi professionale mondiale. Mike supporta la leadership di pensiero e organizzazioni industriali, quali NH-ISAC, Cloud Security Alliance e CSO Bay Area Council.

18


18

19

BIOGRAFIE DEI COLLABORATORI ESTERNI

Esperti tecnici e consulenti che hanno lavorato con importanti organizzazioni sulle post-violazioni

John Gelinne

Managing Director, Advisory Cyber Risk Services, Deloitte & Touche

John Gelinne fa parte della Resilient practice di Deloitte che aiuta le organizzazioni a prepararsi, rispondere e riprendersi da incidenti

di cyber sicurezza. Le sue responsabilità comprendono il cyber war gaming e la creazione di resilienza tecnica, consentendo alle organizzazioni di adattarsi e rispondere rapidamente ai cambiamenti dinamici, disturbi o minacce. John ha lasciato la marina statunitense dopo 30 anni di attività; ha rivestito ruoli importanti nella difesa della rete della marina contro cyber-minacce avanzate. Possiede una laurea avanzata nella gestione dei sistemi informatici e della sicurezza nazionale e una specializzazione in ingegneria.

Gerrit Lansing, CISSPChief Architect, CyberArk

Gerrit Lansing ha recentemente assunto il ruolo di Chief Architect di CyberArk. In precedenza è stato responsabile dei servizi di consulenza di CyberArk, tra cui guida strategica, architettura e team di servizi di progetti di grandi dimensioni. Gerrit è stato

consulente per le maggiori società mondiali, tra cui diverse aziende Fortune 100. Porta la sua esperienza nella progettazione di controlli di sicurezza e collabora con le organizzazioni all'indomani di grandi violazioni di dati. Prima di collaborare con CyberArk, Gerrit è stato un analista di sicurezza informatica presso una compagnia assicurativa di grande rilevanza, dove le sue responsabilità comprendevano sicurezza dei sistemi, metodi investigativi, risposta agli incidenti e indagini.

Dirigenti di sicurezza di importanti organizzazioni che hanno avuto esperienza di grandi violazioni di dati

A causa di vincoli legali, questi dirigenti hanno contribuito al report di ricerca senza riconoscimento.

19


INFORMAZIONI SULL'INIZIATIVA DI SETTORE THE CISO VIEW

La condivisione delle informazioni sulle procedure di sicurezza ottimizzate non è mai stata così importante con le organizzazioni che affrontano cyber-minacce sempre più sofisticate. In CyberArk, siamo convinti che se i team di sicurezza possono contare sull'importante saggezza della comunità dei CISO, ciò aiuterà a rafforzare le strategie di sicurezza e a proteggere meglio le organizzazioni. Pertanto, CyberArk ha commissionato a uno studio di ricerca indipendente, Robinson Insight, la realizzazione di un'iniziativa di settore per esplorare la visione dei CISO sugli argomenti correlati al miglioramento dei controlli di accesso privilegiati. L'iniziativa mette insieme i più importanti CISO che condividono le proprie informazioni su questioni fondamentali che oggigiorno i responsabili sicurezza e IT si trovano ad affrontare. Sviluppando rappporti, studi e tavole rotonde CISO, l'iniziativa genera una guida e dialoghi peer-to-peer estremamente preziosi. Per ulteriori informazioni su questa iniziativa, accedere a www.cyberark.com/cisoview.

CyberArk (NASDAQ: CYBR) è un'azienda globale che fornisce soluzioni di sicurezza per account privilegiati. Per ulteriori informazioni su CyberArk, visitare www.cyberark.com.

Robinson Insight è un'agenzia di analisi di settore focalizzata sulle iniziative CISO. Per ulteriori informazioni www.robinsoninsight.com.

Dawn Cappelli Rapida riduzione dei rischi: Uno Sprint di 30 giorni … · 2017-06-21 · Security...

Documents

Transcript of Dawn Cappelli Rapida riduzione dei rischi: Uno Sprint di 30 giorni … · 2017-06-21 · Security...