Il Ruolo delle Security Operations nelle Strategie Di ... · Il Ruolo delle Security Operations...
Transcript of Il Ruolo delle Security Operations nelle Strategie Di ... · Il Ruolo delle Security Operations...
Il Ruolo delle Security Operations nelleStrategie Di Cybersecurity
Integrated Cybersecurity & Risk ManagementMilano, 5 Marzo 2015
Fabio Battelli, CISSP, CISA, CISM, ISO 27001 LASenior Manager, Cyber Risk ServicesDeloitte Enterprise Risk Services
1 © 2015 Deloitte. All Rights Reserved.
Index
Strategie di Cybersecurity in EU e nel Mondo
Integrazione dei Cyber Risk nella Gestione dei Rischi
Approccio allo sviluppo delle Capability SOC/CERT
1
2
3
2 © 2015 Deloitte. All Rights Reserved.
Strategie di Cybersecurity inEU e nel Mondo
3 © 2015 Deloitte. All Rights Reserved.
Il contesto MondialeStrategie di Cybersecurity
A livello mondiale solo 30 dei 196 Stati riconosciuti sovrani a livello internazionale hanno reso pubblica una propriacyber-strategy; a questi vanno aggiunti i documenti strategici della NATO e dell’Unione Europea
1. identificare e classificare le infrastrutture critiche daproteggere
2. stabilire trattati, leggi e regole di condotta nazionali e/ointernazionali ad hoc
3. sviluppare i rapporti diplomatici e rafforzare le partnershipinternazionali
4. focus sulla protezione dei diritti fondamentali, sulla privacy e/osulla libertà di espressione
5. focus sul cyber-crime6. trattare il cyber-spazio come dominio di warfare7. creare apposite strutture politiche e decisionali per far
fronte alla minaccia8. sviluppare deterrenza per la prevenzione dei conflitti nel cyber-
spazio9. incrementare i livelli di sicurezza, affidabilità e resilienza
delle reti e dei sistemi informatici10.rafforzare la condivisione delle informazioni (anche tra
pubblico e privato), l’early warning e le capacità diincident response
11.aumentare la consapevolezza pubblica della minaccia el’importanza della cyber-security
12.creare e/o incrementare il numero delle figure professionali adhoc
13. incoraggiare l’innovazione, la ricerca e lo sviluppo
1. identificare e classificare le infrastrutture critiche daproteggere
2. stabilire trattati, leggi e regole di condotta nazionali e/ointernazionali ad hoc
3. sviluppare i rapporti diplomatici e rafforzare le partnershipinternazionali
4. focus sulla protezione dei diritti fondamentali, sulla privacy e/osulla libertà di espressione
5. focus sul cyber-crime6. trattare il cyber-spazio come dominio di warfare7. creare apposite strutture politiche e decisionali per far
fronte alla minaccia8. sviluppare deterrenza per la prevenzione dei conflitti nel cyber-
spazio9. incrementare i livelli di sicurezza, affidabilità e resilienza
delle reti e dei sistemi informatici10.rafforzare la condivisione delle informazioni (anche tra
pubblico e privato), l’early warning e le capacità diincident response
11.aumentare la consapevolezza pubblica della minaccia el’importanza della cyber-security
12.creare e/o incrementare il numero delle figure professionali adhoc
13. incoraggiare l’innovazione, la ricerca e lo sviluppo
Principali pilastri
Fonte: I principi strategici delle politiche di cybersecurity (2013) – www.sicurezzanazionale.gov.it
4 © 2015 Deloitte. All Rights Reserved.
Il contesto EuropeoStrategie di Cybersecurity
Nel contesto europeo ben 16 degli attuali 28 Stati membri hanno una strategia di cyber-security già formalizzata:più della metà non solo a livello europeo ma anche rispetto al numero delle nazioni a livello internazionale (30)
1. stabilire trattati, leggi e regole di condotta nazionali e/ointernazionali ad hoc
2. sviluppare i rapporti diplomatici e rafforzare le partnershipinternazionali
3. incrementare i livelli di sicurezza, affidabilità e resilienzadelle reti e dei sistemi informatici
4. rafforzare la condivisione delle informazioni (anche trapubblico e privato), l’early warning e le capacità di incidentresponse
1. stabilire trattati, leggi e regole di condotta nazionali e/ointernazionali ad hoc
2. sviluppare i rapporti diplomatici e rafforzare le partnershipinternazionali
3. incrementare i livelli di sicurezza, affidabilità e resilienzadelle reti e dei sistemi informatici
4. rafforzare la condivisione delle informazioni (anche trapubblico e privato), l’early warning e le capacità di incidentresponse
Elementi comuni europei
5 © 2015 Deloitte. All Rights Reserved.
Il contesto Europeo – Lo studio EU-Deloitte EWRSStrategie di Cybersecurity
Nel 2012 la Commisione Europea richiede a Deloitte uno studio di fattibilità per la realizzazione di un EarlyWarning and Response System (EWRS) a livello Europeo
• Analizzare la fattibilità realizzativa di un EWRS a livello europeo• Definire il perimetro di applicazione e gli aspetti tecnologici, organizzativi, legali ed
economici di tale soluzione• Proporre un piano implementativo
• Analizzare la fattibilità realizzativa di un EWRS a livello europeo• Definire il perimetro di applicazione e gli aspetti tecnologici, organizzativi, legali ed
economici di tale soluzione• Proporre un piano implementativo
Obiettivi dello Studio
European-wide EWRS
L’European Early Warning and ResponseSystem (EWRS) si pone come obiettivo ultimoquello di fornire supporto operativo e facilitarela cooperazione tra le principali strutture didifesa all’interno dell’EU, consentendo alcontempo:
• Rilevazione e identificazione degliincidenti
• Immediata notifica a tutti i principalistakeholder
• Rapida reazione coordinata
Studio EU-DeloitteEWRS
6 © 2015 Deloitte. All Rights Reserved.
Il contesto Europeo - Iniziative di cooperazione per la Gestione degli IncidentiStrategie di Cybersecurity
I CERT (Computer Emergency Response Team) in Europa stanno già cooperando attraverso specificheiniziative, ma adottando modelli diversi
• MASSIF: Next generation SIEM Framework
• EWS – STS: collects data from Honeypotsystems that are part of STS' infrastructure andit aims to detect new trends regarding informaticattacks, making it possible to react in a timelymanner.
• Honey@Home/NoAH: public and privatemonitoring system, running using availableresources on honeypots.
• NTSG: voluntary cooperation platform, aimed atsupporting the restoration of the nationalinfrastructure for electronic communications inconnection with extraordinary events in society
• AbuseHelper: open-source project toautomatically process incidents notifications
• CarmentiS: infrastructural and organizationalframework for sharing, correlating andcooperatively analyzing sensor data
• ARAKIS-GOV: early warning system reportingthreats arising on the Internet; It focuses ondetection and characterization of newautomated threats with a focus primarily, but notonly, on exploits used in the wild, not malware
• MASSIF: Next generation SIEM Framework
• EWS – STS: collects data from Honeypotsystems that are part of STS' infrastructure andit aims to detect new trends regarding informaticattacks, making it possible to react in a timelymanner.
• Honey@Home/NoAH: public and privatemonitoring system, running using availableresources on honeypots.
• NTSG: voluntary cooperation platform, aimed atsupporting the restoration of the nationalinfrastructure for electronic communications inconnection with extraordinary events in society
• AbuseHelper: open-source project toautomatically process incidents notifications
• CarmentiS: infrastructural and organizationalframework for sharing, correlating andcooperatively analyzing sensor data
• ARAKIS-GOV: early warning system reportingthreats arising on the Internet; It focuses ondetection and characterization of newautomated threats with a focus primarily, but notonly, on exploits used in the wild, not malware
Principali piattaformePrincipali Inizative
Studio EU-DeloitteEWRS
7 © 2015 Deloitte. All Rights Reserved.
Il contesto Europeo - Risultati dello studio EWRSStrategie di Cybersecurity
Lo studio di fattibilità ha preso in considerazione tre possibili scenari implementativi di EWRS
InformationExchange (AI)
AI & IncidentResponse
Active detectionand response
EWRS come piattaforma aperta di scambio informazionifocalizzata sulla collaborazione e comunicazione tra tutti gliStati Membri
Piattaforma chiusa, accessibile solo ad un ristretto numero distakeholder, con funzionalità di scambio informazioni eincident response
Piattaforma integrata e accessibile solo ad un insieme ristretto distakeholders che offre funzionalità di scambio informazioni,incident response e servizi di monitoraggio e detection
I tre scenari individuati non sono da considerarsi esclusivi; le differenze tra di essi devonopiuttosto essere considerate come add-on che possono essere inclusi successivamente secondoun percorso evolutivo coerente con il livello di maturità che sarà raggiunto nei prossimi anni
1
2
3
Scenario 1 – Comunità“chiusa” per lo scambio di
informazioni
Scenario 2 - A Comunità “chiusa” per loscambio di informazioni ed il
coordinamento dell’incident response
Scenario 3 – Piattaformaintegrate e ad accesso
esclusivo da parte dellaComunità
1 2 3Studio EU-Deloitte
EWRS
8 © 2015 Deloitte. All Rights Reserved.
La situazione ItalianaStrategie di Cybersecurity
Il DPCM del 24 gennaio 2013 contiene gli “Indirizzi per la Protezione Cibernetica e la Sicurezza InformaticaNazionale” con l’obiettivo di riorganizzare l’architettura istituzionale nel settore della cyber-security, attraverso unagraduale e progressiva razionalizzazione di ruoli, strumenti e procedure
Definizione della strategianazionale di cyber-securitynonché l’emanazione delleconseguenti direttive d’indirizzo.
Attività istruttoria dei lavori delComitato interministeriale,supporto al CISR durante lefasi di controllodell’implementazione del “pianonazionale per la sicurezza delciberspazio”
Assiste l’organismocollegiale e il Nucleo per lasicurezza cibernetica ed ècomposto da esperti provenientidalla pubblica amministrazione,dal mondo accademico e dalsettore privato
Potenziamento delle attività diprevenzione, allertamento eapprontamento in caso dieventuali situazioni di crisi.Messa in atto delle opportuneazioni di risposta e ripristino,provvedendo se del caso adattivare anche il Tavolointerministeriale di crisicibernetica.
Verifica e coordina lagestione e la risposta alla“crisi cibernetica” da partedelle amministrazioni coinvolte,avvalendosi, ove necessario,del CERT nazionale.
All’interno del processo istituzionale disegnato, gli operatori privati assumono un ruolo primario: infatti, gli operatori che gestisconoinfrastrutture critiche di rilievo nazionale, da un lato devono comunicare ogni significativa violazione della propria sicurezza,dall’altro devono adottare le misure di sicurezza predisposte dall’Organismo Collegiale di Coordinamento
Livello politico /strategico
Livello tattico e digestione crisi
Presidente delConsiglio dei
Ministri
CISR – ComitatoInterministeriale per la
Sicurezza della Repubblica
NucleoInterministeriale
Situazione ePianificazione (NISP)
Nucleo per la SicurezzaCibernetica presso Ufficio
del Consigliere Militare
Organismo Collegialedi Coordinamento (DIS) Comitato
Scientifico
Tavolo Interministeriale diCrisi Cibernetica
CERTDifesa CERT Nazionale c/o MISE CERT (altri
Ministeri)
Livello di supportooperativo
9 © 2015 Deloitte. All Rights Reserved.
La situazione ItalianaStrategie di Cybersecurity
A Dicembre 2013 anche l’Italia ha pubblicato la propria strategia di Cyber Security nazionale, attraverso unQuadro Stategico e un Piano Nazionale che contengono gli obiettivi strategici e operativi della Cyber Securityitaliana
“In linea con quanto previsto dal DPCMdel 24 gennaio 2013, il presente QuadroStrategico Nazionale per la Sicurezzadello Spazio Cibernetico individua iprofili e le tendenze evolutive delleminacce e delle vulnerabilità dei sistemie delle reti di interesse nazionale…
1 Potenziamento capacità di Intelligence
Coordinamento Pubblico-Privato
Security Awarness
Cooperazione internazionale / esercitazioni
Operatività dei CERT
Interventi legislativi e Complianceinternazionale
Compliance a standard di sicurezza
Supporto allo sviluppo industriale
Comunicazione strategia
Risorse
Information Risk Management nazionale
“Il presente Piano Nazionale individua gliindirizzi operativi, gli obiettivi daconseguire e le linee d’azione da porre inessere per dare concreta attuazione alQuadro Strategico Nazionale per lasicurezza dello spazio cibernetico…”
2
3
4
5
6
7
8
9
10
11
Indirizzi Operativi
10 © 2015 Deloitte. All Rights Reserved.
Integrazione dei Cyber Risk nellaGestione dei Rischi
11 © 2015 Deloitte. All Rights Reserved.
Le funzioni SOC e CERT per la gestione dei rischi CyberIntegrazione dei Cyber Risk nella Gestione dei Rischi
Come evidenziato dalle strategie di Cybersecurity adottate a livello Paese, il ruolo del Security Operations Center(SOC) e del Computer Emergency Response Center (CERT) risulta sempre più strategico per la gestione deirischi Cyber nelle Organizzazioni
Security Operations eGestione degli Incidenti Cyber
SOC(Security Operations Center)
CERT(Computer Emergency
Response Team)
Il SOC rappresenta il punto nevralgico per il controllo ed il governodella sicurezza. É il luogo, fisico e logico, in cui convergono tutte leinformazioni di sicurezza provenienti dall’infrastruttura e necessarie agestire, controllare e monitorare proattivamente la sicurezza in modocentralizzato e globale
In collaborazione con il SOC (o parte stessa del SOC) è l’unità operativache si occupa di gestire gli eventi critici di tipo Cyber (Incidenti).Coopera inoltre con l’intera Community di sicurezza (altri CERT,Istituzioni, ecc.) al fine di prevenire ed individuare tempestivamente irischi
12 © 2015 Deloitte. All Rights Reserved.
Ruolo del SOC/CERT per la gestione “dinamica" dei RischiIntegrazione dei Cyber Risk nella Gestione dei Rischi
In un’ottica integrata le attività di Security Operations del SOC e di Gestione incidenti del CERT avranno unruolo sempre più determinante nell’individuazione "dinamica" dei rischi a cui l’Organizzazione è sottoposta
IntegratedRisk Management
Incident
ContinousCyber Risk Reporting
• La valutazionetradizionale del rischio(snaphshot) èarricchito da indicatorireali (dinamici)provenienti dallefunzioni SOC/CERT
• La valutazione delrischio residuo (dopo iltrattamento) èricalcolato misuandol’efficacia reale dellecontromisure applicatesulla base dei dati fornitidal SOC/CERT
Funzione RiskManagement
Processi eAsset
FunzioneSOC/CERT
Monitoraggiocontinuo
RiskManagementFramework
RiskSnapshot
Processi eAsset
SurveyAutomatici
AuditFindings
ValutazioniRisk Owner
IntegratedRisk
Management
CyberIntelligence
VulnerabilitàTecniche
13 © 2015 Deloitte. All Rights Reserved.
Il ruolo centrale del CERT nella Gestione dei Rischi CyberIntegrazione dei Cyber Risk nella Gestione dei Rischi
Il CERT eroga servizi alla propria Constituency ed interagisce esternamente con l’intera Community al fine diottenere e contribuire ad avere una visione complessiva delle minacce e degli incidenti che si stanno verificando alivello locale e globale (Shared Situational Awarness)
Interlocutori Istituzionali e Governativi
CERTAbilitatore e coordinatore
delle comunicazioni interneed esterne sugli eventi critici
di tipo cyber
(CERT Nazionale, CNAIPIC,Nucleo Sicurezza Cyber, ecc.)
ICT, ICT Security
Aziende Controllate o Ufficiperiferici
Organizzazione interna
Constituency
Shared SituationalAwareness
La Constituency è rappresentato dall’insieme dipersone, funzioni ed asset a cui i servizi CERT
sono rivolti
Coordinano la risposta agli incidenti nazionali e,a diverso titolo, ricevono e forniscono
informazioni/supporto da e verso gli altri CERT
Interlocutori Nazionali (Privati)
Internet Service Provider, CERTaltre aziende, associazioni, ecc.
Gli interlocutori italiani con cui stabilire unlegame di fiducia e di reciproco scambio al finedi rendere efficace la gestione degli incidenti
Interlocutori Internazionali
ISAC, ENISA, FIRST, TrustedIntroducer, altri CERT
Gli enti esteri sono un interlocutore con cui creareun legame volto a condividere le informazioni, imetodi e le esperienze sia in ambito Finance che
altri CERT
Enti o Authority di Settore
Adeguamento e risposta alle richieste ealle regole degli Enti e/o Authority in
cui opera l’organizzazione
14 © 2015 Deloitte. All Rights Reserved.
Approccio allo sviluppo delleCapability SOC/CERT
15 © 2015 Deloitte. All Rights Reserved.
Alcune domande tipiche…Approccio allo sviluppo del SOC/CERT
L’applicazione degli standard e delle best practice di riferimento rappresentano solo il primo passo per ladefinizione e realizzazione di un SOC/CERT. L’esperienza conferma la necessità di modellare accuratamente taliFuzioni in relazioni agli obiettivi e alle caratteristiche specifiche dell’Organizzazione
• Quali sono gli obiettivi del SOC/CERT per l’Organizzazione ?
• E’ richiesto l’accreditamento della struttura ?
• Quale è la Constituency a cui si rivolge ?
• Quali mandati specifici deve recepire ? (Compliance, politiche interne, internazionalizzazione, ecc.)
Obiettivi eStrategia
• Quale servizi (catalogo) il deve erogare alla propria Constituency ? Solo reazione o ancheprevenzione ?
• Quali ruoli e responsabilità tra il SOC/CERT e le altre funzioni (IT Security, Risk Management,ecc.), soprattutto nel monitoraggio e nella gestione degli incidenti ?
Servizierogati
• Quale modello operativo è richiesto ? Distribuito, centralizzato, virtuale, ecc. ?
• Quanto personale deve essere impiegato nel SOC/CERT ? Quali profili ? Dedicato o part-time ?
• Quanto personale deve essere impiegato nel SOC/CERT?
Organizzazione /Modello Operativo
• Quali soluzioni tecnologiche sono richieste per l’erogazione dei servizi ? (Ticketing,Dashboarding, Knowledge Base, ecc.) ?
• Quale livello di integrazione con le altre soluzioni in uso presso altre funzioni ? (ICT, RiskManagement, ecc.) ?
Strumenti eTecnologia
16 © 2015 Deloitte. All Rights Reserved.
…che richiedono l’adozione di una metodologia di riferimento…Approccio allo sviluppo del SOC/CERT
L’utilizzo di una metodologia collaudata e la disponibilità di asset standard consentono di semplificare la nascita elo sviluppo delle capacità indispensabili all’erogazione dei servizi SOC/CERT
1 2 3
456
ESEMPLIFICATIVO
17 © 2015 Deloitte. All Rights Reserved.
…anche in funzione del livello di protezione che si intende raggiungereApproccio allo sviluppo del SOC/CERT
L’adozione delle tecnologie abilitati per l’erogazione dei servizi SOC/CERT dovrebbe avvenire progressivamentesecondo una target model specifico che agevoli anche l’integrazione dei processi di gestione del rischio(Integrated Risk Management)
SIEM Vulnerability Assessment
Policy Compliance
Cyber Intelligence Active Defence
Physical & Logical SecurityIntegration
Data Encryption Real TimeComputerForensicsGRC Platform
Course of Action Automation
Asset Inventory &Classification
Patch & VulnerabilityManagement
IntrusionPreventionSystem
NAC
Predictive & BehavioralAnalysis
Data LeakegePrevention
Antivirus,Antimalware
I&AM and PAMCyber Intelligence
Next GenerationFirewall
PKI
Fraud Prevention
APT Real TimePreventionSystem
Maturity
SituationalAwareness
ExtendedProtection &Adaptive Security
Context-AwareSecurity
Boundary Security
Prot
ectio
n Le
vel
ESEMPLIFICATIVO
Deloitte, the largest professional services network in Italy, first started its activity in this country in 1923 and boasts century old roots, combining a tradition of quality withavant garde methods and technological expertise. Deloitte's professional services, which include audit, tax, consulting and financial advisory, are rendered by variousseparate and independent firms, specialised in the single professional areas, which are all part of the Deloitte network. Today, the Italian network employs over 2,900professionals who help their clients excel thanks to the confidence in the high level of service, in our multidisciplinary offering and our widespread geographical coverage.
Deloitte provides audit, tax, consulting, and financial advisory services to public and private clients spanning multiple industries. With a globally connected network ofmember firms in more than 150 countries, Deloitte brings world-class capabilities and deep local expertise to help clients succeed wherever they operate. Deloitte's about200,000 professionals are committed to becoming the standard of excellence.
Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee, and its network of member firms, each of which is alegally separate and independent entity. Please see deloitte.com\about for a detailed description of the legal structure of Deloitte Touche Tohmatsu Limited and itsmember firms.