Il Ruolo delle Security Operations nelle Strategie Di ... · Il Ruolo delle Security Operations...

Il Ruolo delle Security Operations nelleStrategie Di Cybersecurity

Integrated Cybersecurity & Risk ManagementMilano, 5 Marzo 2015

Fabio Battelli, CISSP, CISA, CISM, ISO 27001 LASenior Manager, Cyber Risk ServicesDeloitte Enterprise Risk Services

1 © 2015 Deloitte. All Rights Reserved.

Index

Strategie di Cybersecurity in EU e nel Mondo

Integrazione dei Cyber Risk nella Gestione dei Rischi

Approccio allo sviluppo delle Capability SOC/CERT

1

2

3


Strategie di Cybersecurity inEU e nel Mondo


Il contesto MondialeStrategie di Cybersecurity

A livello mondiale solo 30 dei 196 Stati riconosciuti sovrani a livello internazionale hanno reso pubblica una propriacyber-strategy; a questi vanno aggiunti i documenti strategici della NATO e dell’Unione Europea

1. identificare e classificare le infrastrutture critiche daproteggere

2. stabilire trattati, leggi e regole di condotta nazionali e/ointernazionali ad hoc

3. sviluppare i rapporti diplomatici e rafforzare le partnershipinternazionali

4. focus sulla protezione dei diritti fondamentali, sulla privacy e/osulla libertà di espressione

5. focus sul cyber-crime6. trattare il cyber-spazio come dominio di warfare7. creare apposite strutture politiche e decisionali per far

fronte alla minaccia8. sviluppare deterrenza per la prevenzione dei conflitti nel cyber-

spazio9. incrementare i livelli di sicurezza, affidabilità e resilienza

delle reti e dei sistemi informatici10.rafforzare la condivisione delle informazioni (anche tra

pubblico e privato), l’early warning e le capacità diincident response

11.aumentare la consapevolezza pubblica della minaccia el’importanza della cyber-security

12.creare e/o incrementare il numero delle figure professionali adhoc

13. incoraggiare l’innovazione, la ricerca e lo sviluppo

1. identificare e classificare le infrastrutture critiche daproteggere



4. focus sulla protezione dei diritti fondamentali, sulla privacy e/osulla libertà di espressione

5. focus sul cyber-crime6. trattare il cyber-spazio come dominio di warfare7. creare apposite strutture politiche e decisionali per far

fronte alla minaccia8. sviluppare deterrenza per la prevenzione dei conflitti nel cyber-

spazio9. incrementare i livelli di sicurezza, affidabilità e resilienza

delle reti e dei sistemi informatici10.rafforzare la condivisione delle informazioni (anche tra

pubblico e privato), l’early warning e le capacità diincident response

11.aumentare la consapevolezza pubblica della minaccia el’importanza della cyber-security

12.creare e/o incrementare il numero delle figure professionali adhoc

13. incoraggiare l’innovazione, la ricerca e lo sviluppo

Principali pilastri

Fonte: I principi strategici delle politiche di cybersecurity (2013) – www.sicurezzanazionale.gov.it


Il contesto EuropeoStrategie di Cybersecurity

Nel contesto europeo ben 16 degli attuali 28 Stati membri hanno una strategia di cyber-security già formalizzata:più della metà non solo a livello europeo ma anche rispetto al numero delle nazioni a livello internazionale (30)



3. incrementare i livelli di sicurezza, affidabilità e resilienzadelle reti e dei sistemi informatici

4. rafforzare la condivisione delle informazioni (anche trapubblico e privato), l’early warning e le capacità di incidentresponse



3. incrementare i livelli di sicurezza, affidabilità e resilienzadelle reti e dei sistemi informatici

4. rafforzare la condivisione delle informazioni (anche trapubblico e privato), l’early warning e le capacità di incidentresponse

Elementi comuni europei


Il contesto Europeo – Lo studio EU-Deloitte EWRSStrategie di Cybersecurity

Nel 2012 la Commisione Europea richiede a Deloitte uno studio di fattibilità per la realizzazione di un EarlyWarning and Response System (EWRS) a livello Europeo

• Analizzare la fattibilità realizzativa di un EWRS a livello europeo• Definire il perimetro di applicazione e gli aspetti tecnologici, organizzativi, legali ed

economici di tale soluzione• Proporre un piano implementativo

• Analizzare la fattibilità realizzativa di un EWRS a livello europeo• Definire il perimetro di applicazione e gli aspetti tecnologici, organizzativi, legali ed

economici di tale soluzione• Proporre un piano implementativo

Obiettivi dello Studio

European-wide EWRS

L’European Early Warning and ResponseSystem (EWRS) si pone come obiettivo ultimoquello di fornire supporto operativo e facilitarela cooperazione tra le principali strutture didifesa all’interno dell’EU, consentendo alcontempo:

• Rilevazione e identificazione degliincidenti

• Immediata notifica a tutti i principalistakeholder

• Rapida reazione coordinata

Studio EU-DeloitteEWRS


Il contesto Europeo - Iniziative di cooperazione per la Gestione degli IncidentiStrategie di Cybersecurity

I CERT (Computer Emergency Response Team) in Europa stanno già cooperando attraverso specificheiniziative, ma adottando modelli diversi

• MASSIF: Next generation SIEM Framework

• EWS – STS: collects data from Honeypotsystems that are part of STS' infrastructure andit aims to detect new trends regarding informaticattacks, making it possible to react in a timelymanner.

• Honey@Home/NoAH: public and privatemonitoring system, running using availableresources on honeypots.

• NTSG: voluntary cooperation platform, aimed atsupporting the restoration of the nationalinfrastructure for electronic communications inconnection with extraordinary events in society

• AbuseHelper: open-source project toautomatically process incidents notifications

• CarmentiS: infrastructural and organizationalframework for sharing, correlating andcooperatively analyzing sensor data

• ARAKIS-GOV: early warning system reportingthreats arising on the Internet; It focuses ondetection and characterization of newautomated threats with a focus primarily, but notonly, on exploits used in the wild, not malware

• MASSIF: Next generation SIEM Framework

• EWS – STS: collects data from Honeypotsystems that are part of STS' infrastructure andit aims to detect new trends regarding informaticattacks, making it possible to react in a timelymanner.

• Honey@Home/NoAH: public and privatemonitoring system, running using availableresources on honeypots.

• NTSG: voluntary cooperation platform, aimed atsupporting the restoration of the nationalinfrastructure for electronic communications inconnection with extraordinary events in society

• AbuseHelper: open-source project toautomatically process incidents notifications

• CarmentiS: infrastructural and organizationalframework for sharing, correlating andcooperatively analyzing sensor data

• ARAKIS-GOV: early warning system reportingthreats arising on the Internet; It focuses ondetection and characterization of newautomated threats with a focus primarily, but notonly, on exploits used in the wild, not malware

Principali piattaformePrincipali Inizative

Studio EU-DeloitteEWRS


Il contesto Europeo - Risultati dello studio EWRSStrategie di Cybersecurity

Lo studio di fattibilità ha preso in considerazione tre possibili scenari implementativi di EWRS

InformationExchange (AI)

AI & IncidentResponse

Active detectionand response

EWRS come piattaforma aperta di scambio informazionifocalizzata sulla collaborazione e comunicazione tra tutti gliStati Membri

Piattaforma chiusa, accessibile solo ad un ristretto numero distakeholder, con funzionalità di scambio informazioni eincident response

Piattaforma integrata e accessibile solo ad un insieme ristretto distakeholders che offre funzionalità di scambio informazioni,incident response e servizi di monitoraggio e detection

I tre scenari individuati non sono da considerarsi esclusivi; le differenze tra di essi devonopiuttosto essere considerate come add-on che possono essere inclusi successivamente secondoun percorso evolutivo coerente con il livello di maturità che sarà raggiunto nei prossimi anni

1

2

3

Scenario 1 – Comunità“chiusa” per lo scambio di

informazioni

Scenario 2 - A Comunità “chiusa” per loscambio di informazioni ed il

coordinamento dell’incident response

Scenario 3 – Piattaformaintegrate e ad accesso

esclusivo da parte dellaComunità

1 2 3Studio EU-Deloitte

EWRS


La situazione ItalianaStrategie di Cybersecurity

Il DPCM del 24 gennaio 2013 contiene gli “Indirizzi per la Protezione Cibernetica e la Sicurezza InformaticaNazionale” con l’obiettivo di riorganizzare l’architettura istituzionale nel settore della cyber-security, attraverso unagraduale e progressiva razionalizzazione di ruoli, strumenti e procedure

Definizione della strategianazionale di cyber-securitynonché l’emanazione delleconseguenti direttive d’indirizzo.

Attività istruttoria dei lavori delComitato interministeriale,supporto al CISR durante lefasi di controllodell’implementazione del “pianonazionale per la sicurezza delciberspazio”

Assiste l’organismocollegiale e il Nucleo per lasicurezza cibernetica ed ècomposto da esperti provenientidalla pubblica amministrazione,dal mondo accademico e dalsettore privato

Potenziamento delle attività diprevenzione, allertamento eapprontamento in caso dieventuali situazioni di crisi.Messa in atto delle opportuneazioni di risposta e ripristino,provvedendo se del caso adattivare anche il Tavolointerministeriale di crisicibernetica.

Verifica e coordina lagestione e la risposta alla“crisi cibernetica” da partedelle amministrazioni coinvolte,avvalendosi, ove necessario,del CERT nazionale.

All’interno del processo istituzionale disegnato, gli operatori privati assumono un ruolo primario: infatti, gli operatori che gestisconoinfrastrutture critiche di rilievo nazionale, da un lato devono comunicare ogni significativa violazione della propria sicurezza,dall’altro devono adottare le misure di sicurezza predisposte dall’Organismo Collegiale di Coordinamento

Livello politico /strategico

Livello tattico e digestione crisi

Presidente delConsiglio dei

Ministri

CISR – ComitatoInterministeriale per la

Sicurezza della Repubblica

NucleoInterministeriale

Situazione ePianificazione (NISP)

Nucleo per la SicurezzaCibernetica presso Ufficio

del Consigliere Militare

Organismo Collegialedi Coordinamento (DIS) Comitato

Scientifico

Tavolo Interministeriale diCrisi Cibernetica

CERTDifesa CERT Nazionale c/o MISE CERT (altri

Ministeri)

Livello di supportooperativo


La situazione ItalianaStrategie di Cybersecurity

A Dicembre 2013 anche l’Italia ha pubblicato la propria strategia di Cyber Security nazionale, attraverso unQuadro Stategico e un Piano Nazionale che contengono gli obiettivi strategici e operativi della Cyber Securityitaliana

“In linea con quanto previsto dal DPCMdel 24 gennaio 2013, il presente QuadroStrategico Nazionale per la Sicurezzadello Spazio Cibernetico individua iprofili e le tendenze evolutive delleminacce e delle vulnerabilità dei sistemie delle reti di interesse nazionale…

1 Potenziamento capacità di Intelligence

Coordinamento Pubblico-Privato

Security Awarness

Cooperazione internazionale / esercitazioni

Operatività dei CERT

Interventi legislativi e Complianceinternazionale

Compliance a standard di sicurezza

Supporto allo sviluppo industriale

Comunicazione strategia

Risorse

Information Risk Management nazionale

“Il presente Piano Nazionale individua gliindirizzi operativi, gli obiettivi daconseguire e le linee d’azione da porre inessere per dare concreta attuazione alQuadro Strategico Nazionale per lasicurezza dello spazio cibernetico…”

2

3

4

5

6

7

8

9

10

11

Indirizzi Operativi


Integrazione dei Cyber Risk nellaGestione dei Rischi


Le funzioni SOC e CERT per la gestione dei rischi CyberIntegrazione dei Cyber Risk nella Gestione dei Rischi

Come evidenziato dalle strategie di Cybersecurity adottate a livello Paese, il ruolo del Security Operations Center(SOC) e del Computer Emergency Response Center (CERT) risulta sempre più strategico per la gestione deirischi Cyber nelle Organizzazioni

Security Operations eGestione degli Incidenti Cyber

SOC(Security Operations Center)

CERT(Computer Emergency

Response Team)

Il SOC rappresenta il punto nevralgico per il controllo ed il governodella sicurezza. É il luogo, fisico e logico, in cui convergono tutte leinformazioni di sicurezza provenienti dall’infrastruttura e necessarie agestire, controllare e monitorare proattivamente la sicurezza in modocentralizzato e globale

In collaborazione con il SOC (o parte stessa del SOC) è l’unità operativache si occupa di gestire gli eventi critici di tipo Cyber (Incidenti).Coopera inoltre con l’intera Community di sicurezza (altri CERT,Istituzioni, ecc.) al fine di prevenire ed individuare tempestivamente irischi


Ruolo del SOC/CERT per la gestione “dinamica" dei RischiIntegrazione dei Cyber Risk nella Gestione dei Rischi

In un’ottica integrata le attività di Security Operations del SOC e di Gestione incidenti del CERT avranno unruolo sempre più determinante nell’individuazione "dinamica" dei rischi a cui l’Organizzazione è sottoposta

IntegratedRisk Management

Incident

ContinousCyber Risk Reporting

• La valutazionetradizionale del rischio(snaphshot) èarricchito da indicatorireali (dinamici)provenienti dallefunzioni SOC/CERT

• La valutazione delrischio residuo (dopo iltrattamento) èricalcolato misuandol’efficacia reale dellecontromisure applicatesulla base dei dati fornitidal SOC/CERT

Funzione RiskManagement

Processi eAsset

FunzioneSOC/CERT

Monitoraggiocontinuo

RiskManagementFramework

RiskSnapshot

Processi eAsset

SurveyAutomatici

AuditFindings

ValutazioniRisk Owner

IntegratedRisk

Management

CyberIntelligence

VulnerabilitàTecniche


Il ruolo centrale del CERT nella Gestione dei Rischi CyberIntegrazione dei Cyber Risk nella Gestione dei Rischi

Il CERT eroga servizi alla propria Constituency ed interagisce esternamente con l’intera Community al fine diottenere e contribuire ad avere una visione complessiva delle minacce e degli incidenti che si stanno verificando alivello locale e globale (Shared Situational Awarness)

Interlocutori Istituzionali e Governativi

CERTAbilitatore e coordinatore

delle comunicazioni interneed esterne sugli eventi critici

di tipo cyber

(CERT Nazionale, CNAIPIC,Nucleo Sicurezza Cyber, ecc.)

ICT, ICT Security

Aziende Controllate o Ufficiperiferici

Organizzazione interna

Constituency

Shared SituationalAwareness

La Constituency è rappresentato dall’insieme dipersone, funzioni ed asset a cui i servizi CERT

sono rivolti

Coordinano la risposta agli incidenti nazionali e,a diverso titolo, ricevono e forniscono

informazioni/supporto da e verso gli altri CERT

Interlocutori Nazionali (Privati)

Internet Service Provider, CERTaltre aziende, associazioni, ecc.

Gli interlocutori italiani con cui stabilire unlegame di fiducia e di reciproco scambio al finedi rendere efficace la gestione degli incidenti

Interlocutori Internazionali

ISAC, ENISA, FIRST, TrustedIntroducer, altri CERT

Gli enti esteri sono un interlocutore con cui creareun legame volto a condividere le informazioni, imetodi e le esperienze sia in ambito Finance che

altri CERT

Enti o Authority di Settore

Adeguamento e risposta alle richieste ealle regole degli Enti e/o Authority in

cui opera l’organizzazione


Approccio allo sviluppo delleCapability SOC/CERT


Alcune domande tipiche…Approccio allo sviluppo del SOC/CERT

L’applicazione degli standard e delle best practice di riferimento rappresentano solo il primo passo per ladefinizione e realizzazione di un SOC/CERT. L’esperienza conferma la necessità di modellare accuratamente taliFuzioni in relazioni agli obiettivi e alle caratteristiche specifiche dell’Organizzazione

• Quali sono gli obiettivi del SOC/CERT per l’Organizzazione ?

• E’ richiesto l’accreditamento della struttura ?

• Quale è la Constituency a cui si rivolge ?

• Quali mandati specifici deve recepire ? (Compliance, politiche interne, internazionalizzazione, ecc.)

Obiettivi eStrategia

• Quale servizi (catalogo) il deve erogare alla propria Constituency ? Solo reazione o ancheprevenzione ?

• Quali ruoli e responsabilità tra il SOC/CERT e le altre funzioni (IT Security, Risk Management,ecc.), soprattutto nel monitoraggio e nella gestione degli incidenti ?

Servizierogati

• Quale modello operativo è richiesto ? Distribuito, centralizzato, virtuale, ecc. ?

• Quanto personale deve essere impiegato nel SOC/CERT ? Quali profili ? Dedicato o part-time ?

• Quanto personale deve essere impiegato nel SOC/CERT?

Organizzazione /Modello Operativo

• Quali soluzioni tecnologiche sono richieste per l’erogazione dei servizi ? (Ticketing,Dashboarding, Knowledge Base, ecc.) ?

• Quale livello di integrazione con le altre soluzioni in uso presso altre funzioni ? (ICT, RiskManagement, ecc.) ?

Strumenti eTecnologia


…che richiedono l’adozione di una metodologia di riferimento…Approccio allo sviluppo del SOC/CERT

L’utilizzo di una metodologia collaudata e la disponibilità di asset standard consentono di semplificare la nascita elo sviluppo delle capacità indispensabili all’erogazione dei servizi SOC/CERT

1 2 3

456

ESEMPLIFICATIVO


…anche in funzione del livello di protezione che si intende raggiungereApproccio allo sviluppo del SOC/CERT

L’adozione delle tecnologie abilitati per l’erogazione dei servizi SOC/CERT dovrebbe avvenire progressivamentesecondo una target model specifico che agevoli anche l’integrazione dei processi di gestione del rischio(Integrated Risk Management)

SIEM Vulnerability Assessment

Policy Compliance

Cyber Intelligence Active Defence

Physical & Logical SecurityIntegration

Data Encryption Real TimeComputerForensicsGRC Platform

Course of Action Automation

Asset Inventory &Classification

Patch & VulnerabilityManagement

IntrusionPreventionSystem

NAC

Predictive & BehavioralAnalysis

Data LeakegePrevention

Antivirus,Antimalware

I&AM and PAMCyber Intelligence

Next GenerationFirewall

PKI

Fraud Prevention

APT Real TimePreventionSystem

Maturity

SituationalAwareness

ExtendedProtection &Adaptive Security

Context-AwareSecurity

Boundary Security

Prot

ectio

n Le

vel

ESEMPLIFICATIVO

Deloitte, the largest professional services network in Italy, first started its activity in this country in 1923 and boasts century old roots, combining a tradition of quality withavant garde methods and technological expertise. Deloitte's professional services, which include audit, tax, consulting and financial advisory, are rendered by variousseparate and independent firms, specialised in the single professional areas, which are all part of the Deloitte network. Today, the Italian network employs over 2,900professionals who help their clients excel thanks to the confidence in the high level of service, in our multidisciplinary offering and our widespread geographical coverage.

Deloitte provides audit, tax, consulting, and financial advisory services to public and private clients spanning multiple industries. With a globally connected network ofmember firms in more than 150 countries, Deloitte brings world-class capabilities and deep local expertise to help clients succeed wherever they operate. Deloitte's about200,000 professionals are committed to becoming the standard of excellence.

Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee, and its network of member firms, each of which is alegally separate and independent entity. Please see deloitte.com\about for a detailed description of the legal structure of Deloitte Touche Tohmatsu Limited and itsmember firms.

Il Ruolo delle Security Operations nelle Strategie Di ... · Il Ruolo delle Security Operations...

Documents

Transcript of Il Ruolo delle Security Operations nelle Strategie Di ... · Il Ruolo delle Security Operations...