Intelligence: tecnologie e servizi
21
Intelligence: tecnologie e servizi Antonio Berardi Una visione evolutiva dell’intelligence dal punto di vista di un system integrator ed un focus su Open Source Intelligence
-
Upload
leonardo -
Category
Presentations & Public Speaking
-
view
45 -
download
0
Transcript of Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi
Antonio Berardi
Una visione evolutiva dell’intelligence dal punto di vista di un system integrator ed un focus su Open Source Intelligence
2
Cyber Spazio
Il mondo fisico e quello digitalesi stanno intersecando e sovrapponendo
a un ritmo senza precedentigenerando opportunità e minacce
Società vista come un ecosistema complesso multidimensionale di
sottosistemi fisico-digitali interconnessi
Al Cyber Spazio sonoassociate le vulnerabilitàdelle applicazioni e dei
sistemi informatici che lo compongono
Un attacco può danneggiareun sistema socio-economico e le
infrastrutture connesse
3
Il contesto
La cyber difesa di un Paese e le tecnologie di cyber security dovranno progredire in un quadro di cooperazione, che vede protagoniste le forze armate insieme ai vari settori pubblici e privati.
Il settore militare è impegnato nell'accrescimento delle capacità operative e tecniche, e si stanno affermando nuovi requisiti.
Scenario internazionaleIntegrazione nei programmi NATO/EDAAdeguamento normative e dottrineRidefinizione strategie
Integrazione e collaborazioneCyber situational awarenessPiattaforme unificate(es. NCIRC)Scambio informativo (es. NCIRC vs CERT-UE)
DifesaDottrina in evoluzione ma focalizzata su difesaCIOC ( Comando Interf. Operaz. Cibernetiche)Infrastrutture ICT separate tra le Armi
ItaliaNormativa: Quadro strategico & Piano nazionaleInfrastrutture : CNAIPIC, CERT Dif., CERT Naz.Situazione in evoluzione ma non coesa
4
Nuove esigenze per un nuovo contestoAdeguamento continuo delletecnologie e dei processi di assessment e verifica
Adozione di tecniche di resilienza, cioè di robustezza e sopravvivenzadei sistemi
Best Practice • UK ha lanciato iniziative come Defence
as a Platform (DAAP), una vera e propria piattaforma cloud di servizi comuni della difesa
• Stati Uniti, Regno Unito e Francia affermano di aver già condotto varie attività di analisi della cyber security dei sistemi di comando e controllo e di combattimento, riscontrando diverse vulnerabilità
• NCIRC costituisce già un modello operativo di capacità incrementale e moderna di Cyber Defence
Sistemi complessiun moderno sistema di difesa va visto come una complessa architettura informatizzata costituita da software, firmware, hardware, non isolata e vulnerabile
Evoluzione dei modelliDifesa attivaComputer Network OperationsNuove minacceRazionalizzazione delle risorse
5
Cosa affrontare nelle nuove sfide
Principali problemi operativi e tecnologici
► Sovrabbondanza di dati
► Informazioni destrutturate
► Piattaforme e strumenti digitali da adeguare
6
Aree di ricerca e sviluppo
Framework metodologico e operativo
► Combinazione di nuovi metodi di analisi e integrazi one di componenti tecnologiche
►Tecniche e strumenti di analisi avanzata dei dati
► Integrazione dei dati (data fusion)
► Indagini web e monitoraggio delle piattaforme onlin e
► Indagini nel dark web
► Intercettazioni telematiche
► Operazioni digitali sotto copertura
7
Principali iniziative
Esperienze di Leonardo nell’ambito dell’Intelligenc e
► Next Generation Security Operation Centre
► Sviluppo di una piattaforma a supporto delle Indagi ni
► Sviluppo di una capacità per l’analisi delle OSINT
► Servizi di Cyber Threat Intelligence
► Sviluppo algoritmi di analisi nel contesto delle in dagini
8
Leonardo Next Security Operation CentreOverview
9
Threat Intelligence
Computer Security Incident Response
Team
Security Operation
Center
Next Gen Security Operation CenterThreat Intelligence & Advanced Threat Management
10
Leonardo Threat Intelligence ServiceOverview
11
Threat Intelligence Services overview
“Threat intelligence services are commercial service offe ringsthat provide both strategic and/or tactical information ab outinformation security threats and other security-related i ssues(…). They are also able to provide various degrees ofinformation about the identities, motivations, character isticsand methods of attackers. This information is derived fromboth technical sources (i.e. network traffic, sensor netwo rks,honeypots and files) and human analysis sources (i.e. the wo rkof threat intelligence analyst).”Gartner, Competitive Landascape 2015
► Predictive Security
► Real-Time Threat Management
► Strategical (Advanced) SIEM
TECNOLOGIE
► Veicolati attraverso portali cloud-based
► Basati su analisi comportamentali e rilevazione di signatures specifiche per ciascun Cliente
► Erogati come SaaS, servizi professionali, e/o facenti parte di servizi di sicurezza gestiti o in outsourcing
► Data Feed e soluzioni con capacità di analisi e mitigazione
ELEMENTI CARATTERISTICI
► Generazione automatica di avvisirelativi alla diffusione di malwaree di patches per dispositivi disicurezza
► Servizi professionali di sicurezzain termini vulnerabilityassessment, consulenza sulleinformazioni acquisite, ecc
Fonte: Gartner 2015, IDC 2015
12
Gli asset di Leonardo per la Threat Intelligence
Service Framework
INTELLIGENCE OPERATION
CENTER
HIGH PERFORMANCE
COMPUTING
INTELLIGO PLATFORM
ANALYSTS TECNOLOGIA/HW TECNOLOGIA/SW
►Oggi il mercato richiede servizi di intelligence erogabili solo attraverso l’utilizzocongiunto e sinergico di strumenti tecnologici innovativi e di analisti specializzati
►Siamo dotati di un Intelligence Operation Center (IoC) dedicato all’analisi delleinformazioni su fonti aperte, grazie al forte know-how maturato sul dominio intelligencecon grandi Clienti in particolare in ambito Difesa
► Il nostro IoC dispone di infrastrutture hardware/ software all’avanguardia e si avvale dianalisti con consolidate competenze di processo, supporta ti da strumenti diworkflow e di analisi evoluti
13
Le famiglie dei servizi di Threat Intelligence
Servizi progettati per rilevare
e individuare nuove
vulnerabilità, attacchi
informatici in preparazione e
informazioni sottratte
illegalmente e pubblicate in
rete, attraverso il controllo
continuo delle fonti Web e
Darknet e l’analisi in real-
time di grandi quantità di
dati alla ricerca di possibili
indizi
Cyber Threat Intelligence Services
Servizi concepiti per
collezionare, analizzare,
correlare informazioni su
fonti aperte al fine di offrire
un quadro completo sul
feeling relativo ad un brand,
ad un evento sociale o
politico, migliorando la
conoscenza su minacce
incombenti sui propri asset
Social and Security Threat Intelligence Services
Servizi finalizzati a prevenire
frodi attuate attraverso
Internet relative a campagne
di phishing, appropriazioni
indebite di dominio e furti di
identità digitali attraverso il
controllo continuo delle
fonti Web e Darknet con lo
scopo di identificare gli
autori degli illeciti e
migliorare la capacità dei
Clienti di proteggersi da
frodi informatiche
Fraud Detection Threat Intelligence Services
14
Catalogo Servizi Threat Intelligence e Scenari applica tiviCiascun servizio può essere configurato per operare in scen ari applicativi specifici sulla base deidel contesto in cui il Cliente opera
�PRE-PLANNED ATTACK�HACKTIVISM
� BRAND ABUSE� IDENTITY FRAUD
DETECTION
� GEO � ACTIVISM
� COUNTER TERRORISM� LAW ENFORCEMENT
INVESTIGATION
CYBER THREAT INTELLIGENCE Tactical Service
SOCIAL AND SECURITY THREAT INTELLIGENCE
Tactical Service
FRAUD DETECTION THREAT INTELLIGENCETactical Service
CYBER THREAT INTELLIGENCE
Strategic Service
SOCIAL AND SECURITY THREAT INTELLIGENCE
Strategic service
FRAUD DETECTION THREAT INTELLIGENCE
Strategic service
�EARLY WARNING�DATA BREACH
� BRAND REPUTATION� SOCIO-POLITICAL EVENTS MONITORING
� ANTI-PHISHING� BLACK MARKET
MONITORING
SCENARI APPLICATIVI SCENARI APPLICATIVI SCENARI APPLICATIVI
SCENARI APPLICATIVI SCENARI APPLICATIVI SCENARI APPLICATIVI
15
Leonardo Investigation Support SystemsOverview
16
ISS - Investigation Support Systems
Scene Crime Investigation
INVESTIGATION ANALYSIS SYSTEM► Effettua ricerche federate sulle sorgenti afferenti al
sistema, analizza e correla le entità estratte► Realizza fascicoli di indagine e permette di
condividerli in modo collaborativo attraverso un toolevoluto di case management
► Gestisce l’accesso e la distribuzione delleinformazioni in modo sicuro sulla base del profiloutente attraverso un sistema di workflow
CRIME SCENE INVESTIGATION► Ricrea virtualmente la scena del crimine
ricostruendone minuziosamente tutti i particolari,con la possibilita di muoversi all’interno di essa
► Permette quindi di potenziare le attività di ricerca deimezzi di prova per il tribunale e di verifica deglielementi oggettivi nell’ambito delle testimonianzee/o delle diverse ipotesi investigative
CYBER CRIME CENTER► Supporta le indagini svolte dai laboratori di analisi
forense in ambito digitale potenziando le capacità diprevenzione delle attivita terroristiche
17
EXPLORATIVE ANALYSISREPORTING AND
PREDICTION
DOSSIER INVESTIGATION & INFORMATION ANALYSIS
WEALTH INVESTIGATION
OSINT, INTERNAL SOURCES & CHANGING INTERNAL SYSTEMS
MANAGING INFORMATION
ASSETS
TELEPHONY ANALYSIS
RELATIONAL AND TEMPORAL ANALYTICS
SPATIAL ANALYTICS
EXTERNAL SOURCES
SIGINT & FINGERPRINT
CAPTURE
Investigation PlatformInvestigation Platform
Classified
Classified
18
CSI - Crime Scene Investigation
Scene Crime Investigation
PRINCIPALI CARATTERISTICHE► Apertura/modifica/chiusura analisi di scena;► Assegnazione team;, Generazione report;► Caricamento contenuti► Inserimento/modifica/cancellazione entità in analisi
di scena;► Analisi relazionale► Collegamento entità/contenuto/link a identificativo
reperto Easytrack;► Supporto alle atività del RAC► Integrazione con LIMS-EasyTrack► Integrazione basi di dati interne (anche multimediali)
e basi di dati esterne (AFIS, IBIS, Archivio impronte-pneumatici
► CCDNA, SICOTE (Catasto, Conservatoria, MCTC,Telemaco dati, SDI, Ansa, Weblase, Geode)
Overview della piattaforma
DESCRIZIONE ► Ricrea virtualmente la scena del crimine ricostruendone
minuziosamente tutti i particolari, con la possibilita di muoversiall’interno di essa
► Permette quindi di potenziare le attività di ricerca dei mezzi di prova peril tribunale e di verifica degli elementi oggettivi nell’ambito delletestimonianze e/o delle diverse ipotesi investigative
19
IAS - Investigation Analysis Systems
PRINCIPALI CARATTERISTICHE► Monitoraggio fonti informative eterogenee
(strutturate e non strutturate, interne ed archiviesterni);
► Analisi di tracciati telefonici ed attività di navigazionesu Internet ed analisi selettiva di conversazionivocali, navigazione Web ed e-mail;
► Data mining e analisi di banche dati strutturate enon strutturate;
► Archiviazione efficiente e normalizzazione di grandiquantità di dati;
► Strumenti di ricerca avanzata (Semantic Analysis &Pattern Matching, algoritmi statistici);
► Analisi visiva (grafico, Geospatial & visualizzazionee l'analisi delle entità di casi rilevanti temporale);
► Case management;
Overview della piattaforma
DESCRIZIONE ► Effettua ricerche federate sulle sorgenti afferenti al sistema, analizza e
correla le entità estratte► Realizza fascicoli di indagine e permette di condividerli in modo
collaborativo attraverso un tool evoluto di case management► Gestisce l’accesso e la distribuzione delle informazioni in modo sicuro
sulla base del profilo utente attraverso un sistema di workflow
20
Cyber Crime Center
PRINCIPALI CARATTERISTICHE► Il monitoraggio di fonti Darknet come: Tor, P2P
Freenet, I2P;► Profiling: ovvero la possibilità, dato un soggetto e
alcune informazioni correlate, di ricercare sulle fontianalizzate (sia Internet sia Dark), le informazioni delprofilo mancanti ed eventuali altri accountrelazionabili;
► Surveillance tramite strumenti di pattern matching osemantici configurabili su target specifici: ovvero lapossibilità di controllare in modo automatico specificitarget per capire la pubblicazione d’informazionid’interesse.
► Alerting & Reporting► Malware analisys su dispositivi mobili dotati di
sistema operativo Android ed iOS.
Overview della piattaforma
DESCRIZIONE ► Supporta le indagini svolte dai laboratori di analisi forense in ambito
digitale potenziando le capacità di prevenzione delle attivita terroristiche
21
Applicazione dell’Intelligenza Artificiale all’Intell igence
Campi di Applicazione
� Cyber Crime
� Cyber Bullismo
� Cyber Espionage
� Cyber Terrorism
� Computer Fraud
� Competitive � Analysis
Vantaggi
� Evoluzione automatica delle Ontologie.
� Aumento della capacità di predizione della minaccia
� Efficientamento del lavoro degli analisti
Elemento Innovativo
� Organizzare le informazioni derivate dall’esecuzione dei servizi
� Applicare metodi di Intelligenza Artificiale e SemanticReasoning
LeonardoT.I.S.
� ONTOLOGIE
� ENGINE di � Semantic Analysis� Machine Learning� Predictive
Analysis
� BIG DATAGestione di unagrande mole di datitramite sistemi HPC
� BASE DI CONOSCENZA
