AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati 1

Giorgio ParpinelliChief Technology Officer

Alessandro Da ReChief Executive Officer

Milano - Sessione di Studio del 21 Aprile 2010

Monitorare in continuo il livello di sicurezza: Quali implicazioni?

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.2

CHI E’ LOGICAL SECURITY

Presente nel mercato della sicurezza logica dal 2002, base su Treviso.

Alcune referenze:

• SAVE Aeroporti di Venezia

• MAE - Unità di Crisi

• Gruppo De’ Longhi

• Università Cattolica S. Cuore- Roma

• Crediveneto - BCC

• Replay Fashion Box

• Autovie Venete

• GGP Italy

• Gruppo Stefanel

• Gruppo Despar

• Gruppo Unicomm (Famila)

• Gruppo Supermercati Alì

• T-Systems Italia

• YKK

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.3

CHI E’ LOGICAL SECURITY

c

Security Operation

Center

c

IT SecurityTechnology

Applications

Expertise

IT Governance

&Security

Access Control

Business Continuity

IAM

Recovery Backup

Antivirus Firewall

Dipartimentale

Networking

Compliance Audit

Business Process Management

IT Strategy

PKI

VPN (IPSEC/SSL)

Measuring

Management

Mainframe Z/OS

Business Intelligence

Collaborazione Elettronica - EDI

LOGICAL SECURITY PORTFOLIO

Business ImpactAnalisys

Assessment

Cost Reduction

Un gruppo di professionisti fortemente orientati alle sviluppo di competenze dei suoi consulenti e del cliente.

Cloud

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.4

• L’esigenza del controllo è evidente perché si sa, prevenire è meglio (che curare).

• Il problema è definire gli ambiti di controllo e in questo le “nostre” metodologie (ISACA) sono di forte ausilio (CobIT, ValIT, RiskIT, ISO 27001 etc.).

• Anche la rappresentazione del risultato al management è un driver altrettanto importante (Security Marketing).

• Se è vero che l’IT Governance e l’IT Security rappresentano un fattore determinante per il Business, è altrettanto vero che la mancanza di consapevolezza del rischio è uno dei principali rischi per il business.

Da queste sintetiche ma fondamentali considerazioni è nata, nel 2000, l’idea di pensare ad un prodotto che fosse in grado di recepire diversi indicatori dall’ambiente e di “misurare” un “indice di sicurezza”…

Con tutte le implicazioni filosofiche e di scetticismo che una affermazione simile comporta..(CISM docet..)

GENESI – Monitorare, perché (esperienza)

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.5

Obiettivo di una BIA, è di valutare l’impatto sul Business che ha un Rischio IT non correttamente gestito.

Il Risk Management, permette di valutare l’entità del rischio a cui sono esposti gli Asset compresi nell’ambito di analisi (scope) e di predisporre tutte le iniziative tecnico – procedurali per la sua gestione e mitigazione.

La questione, per semplificarla può essere riassunta in:

• Misuro il grado di rischio (e di conseguenza l’indice di sicurezza) su gli Asset determinanti per il Business (scope).

La sfida nel progettare e realizzare uno strumento che fosse d’ausilio a questi “paradigmi” consisteva nello studiare una matematica che consentisse il recepimento delle adeguate metriche di misura.

Misurare quindi in modo oggettivo (Best Practice) un ambiente soggettivo (scope) e di rappresentare il risultato in modo efficace e facilmente interpretabile dal management (Security Marketing..)

GENESI – Monitorare, cosa? (paradigmi)

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.6

Le tecniche di Audit tradizionali, prevedono dei controlli “manuali” effettuati in istanti diversi, a campione (ISO 19011)

Può accadere che nel lasso di tempo che intercorre tra l’attività di controllo effettuata nell’istante T e la successiva dell’istante T1, avvengano dei fatti – ad esempio la rilevazione di una vulnerabilità in un sistema - tali per cui il livello di sicurezza si abbassa, esponendo l’infrastruttura a dei reali rischi di attacco.

“Computer Security Audit”, rappresenta quel segmento di processi organizzativi e strumenti tecnologici atti a rilevare lo “stato di salute” di un sistema informativo.

Misurare il livello di sicurezza di una infrastruttura IT è da sempre stata una sfida importante, tanto più complessa quanto più esteso è l’ambiente d’analisi.

GENESI – Monitorare, Quando?

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.7

Continuous auditing has been defined as a methodology or framework that enables auditors (external and internal) to provide written results on the subject matter using one or a series of reports issued simultaneously. The ability to report on events in a real-time or near real-time environment can provide significant benefits to the users of audit reports

“Continuous Audit” (CA) consente, se associato alle opportune attività di applicazione delle contromisure, di ridurre drasticamente il rischio di violazione dei sistemi e mantenere il livello di sicurezza vicino al target di riferimento.

ISACA in un articolo apparso nella rivista “Information Systems Control Journal, Volume 5, 2002” dichiara:

Continuous Auditing: Is It Fantasy or Reality?

GENESI – Monitorare, Quando?

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.8

Il Continuous Auditing è un concetto presente da anni in letteratura.

E’ sicuramente il modo migliore per affrontare i problemi di sicurezza in quanto fornisce inogni momento all’organizzazione la piena consapevolezza del livello di sicurezza raggiunto edei rischi a cui è soggetta.

Il Continuous Auditing rappresenta una sfida complessa in quanto occorre:

• Mantenere una ricognizione continua delle vulnerabilità sulle situazioni esistenti (EarlyWarning);

• Controllare attivamente tutte le nuove situazioni che possano rappresentare unrischio;

• Realizzare adeguate metriche per ricavare il Livello di Sicurezza complessivo, darappresentare in modo intuitivo e immediato e in forma sia sintetica che analitica.

Continuous Auditing

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.9

E’ il concetto di base nella gestione delle situazioni complesse, e consente di avere “il polso”della situazione, agire con efficacia ed efficienza, evitare situazioni di panico. In sintesi:mantenere il controllo e la consapevolezza in qualsiasi condizione

Consapevolezza: Situational Awareness

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.10

Concetto mutuato dalla cultura militare:

• Individuare le minacce prima di essere alla loro portata;

• Gestire in maniera proattiva la propria infrastruttura

• Difendersi ed eventualmente contrattaccare in maniera coordinata

• Avere la visione completa del “campo di battaglia”

Consapevolezza: Early Warning

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.11

I rischi IT indotti dalle minacce e dalle vulnerabilità sono molteplici e di diversa natura.

Misurarli tutte significa trovarsi con una plancia di comando traboccante di strumentazione

e indicatori, tutti da controllare per agire di conseguenza, per cui alla fine si spera che non

ci sia più di una segnalazione contemporanea oppure ci si limita a guardare solo

determinati indicatori.

Schema di un abitacolo del Mikoyan-Gurevich MIG-23BN

Per essere realmente padroni della

situazione occorre sintetizzare i molti

strumenti in un unico indicatore.

Questo può essere fatto sviluppando una

metrica adeguata, che ponderi i singoli

rischi ricavandone un unico indice, che sia

rappresentativo del livello di sicurezza e

significativo al punto tale da dirigere

correttamente attenzione ed investimenti

sui punti realmente più critici.

Misure: Le metriche - esperienza

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.12

L’esperienza e le esigenze di mercato, ha portato a ragionare e sviluppare un prodotto

d’ausilio al monitoraggio continuo del Rischio, cercando di realizzare ciò che in letteratura è

considerata una sfida.

L’azienda, completando un percorso iniziato nel 2002, ha voluto investire risorse per lo

sviluppo del prodotto, portandolo a brevetto Italiano:

Qhawax “El que observa o vigila con astucia”

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.13

Qhawax: L’architettura di monitoraggio

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.14

MO

DELLO

AR

CH

ITETTU

RA

LE Q

HA

WA

X

SICUREZZAINFRASTRUTTURA

APPLICAZIONE

Asset Inventory

Classificazione delle vulnerabilità

Security Index per ogni singolo sistema

Network Security Index

Analisi automatica delle vulnerabilità e trend SI

Security Server

Metriche diSicurezza

Sonde distribuite

Calcolo dell’indice globale di sicurezza

Valutazione dei dati raccolti per indicatore

Raccolta e archiviazione dati di analisi

Analisi

Ambito

tecnologico

GSI: Reti, Sistemi, Servizi IT e OrganizzazioneLIVELLO

DI CONTROLLO

Cruscotto Real-Time

Reports,

documentazione e

Allarmi

Qhawax: Schema Logico

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.15

Security Metrics Contributo %

M1 Numero totale di vulnerabilità di tipo HIGH 25,0 19,2

M2Numero di vulnerabilità per tipologia diverse di tipo

HIGH25,0 19,2

M3 Numero di vulnerabilità di tipo MID 17,5 9,3

M4 Numero di vulnerabilità diverse di tipo MID 17,5 9,3

M5 Numero di vulnerabilità di tipo LOW 7,5 3,5

M6 Numero di vulnerabilità diverse di tipo LOW 7,5 3,5

M7 Disponibilità dei singoli servizi 0 18,0

M8 Disponibilità del sistema 0 18,0

Totale contributo sul calcolo del Security Index 100,0 100,0

Sono un metodo oggettivo per uniformare il monitoraggio dei Rischi IT e consentono dicapire lo stato corrente del livello di sicurezza.In queste metriche di esempio, vengono inseriti nel calcolo dell’indice di sicurezza i fattori dirischio relativi alle vulnerabilità dei sistemi, e alla disponibilità di servizio.

Il ”set” di metrichepuò essere esteso inmodo significativo,assegnando di voltain volta il “peso” conil quale ognuna diessa influisce per ilcalcolo del livello disicurezza in quellospecifico ambiente.

Qhawax: Metriche

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.16

Il rischio di attacco aumenta considerevolmente nel caso si fosse in presenza di piùvulnerabilità di diverso tipo in più host, dando quindi più possibilità di successonell’ottenere un accesso non autorizzato ai sistemi.

La metriche rendono il calcolo del SL(Security

Level) indipendente dall’ambiente

e dalle dimensioni

dell’organizzazione

Qhawax: Metriche – Esempio di calcolo

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.17

Qhawax: L’architettura del software

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.18

La dashboard propone un Security Level complessivo.In questo esempio, il sistema evidenzia l’aggregazione della metrica “vulnerabilità disistema”, con la possibilità di drill-down nel singolo dettaglio.

Qhawax: La Dashboard SOC

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati 19

Qhawax: La Dashboard SOC – dettaglio Zona

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati 20

Qhawax: La Dashboard SOC – dettaglio Host

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.22

Early Warning

RSSFeed

E-mail SMS

Quali sono i giusti sistemi di allerta?

Vengono presi correttamente in

considerazione?

L’infrastruttura organizzativa è in grado

di sostenere e garantire un adeguato

livello di sicurezza agli utenti?

Qhawax: I Sistemi di allerta

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.23

Abbiamo voluto premiare l’iniziativa e l’effort di questi anni, decidendo di brevettare lasoluzione.

Qhawax è quindi registrato dal 2008 come brevetto n° TO2008A000217 “Metodo ,Apparecchio e sistema per calcolare in modo completamente automatico il livello di sicurezzadi un sistema informatico”.

L’analisi di applicabilità, la stesura della documentazione e la presentazione della domanda dibrevetto, è stata affidata allo Studio Torta di Torino

E’ in fase di sviluppo la documentazione per l’estensione del brevetto in alcuni stati Europei.

Qhawax: Da Idea a brevetto

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.24

Ci auguriamo che il metodo proposto possa diventare oggetto di studio e di critica proattivada parte dei colleghi: L’obiettivo è di ampliare i concetti di monitoraggio e valutazione dellasicurezza, anche e soprattutto attraverso l’associazione.

La rappresentazione grafica dell’indice di sicurezza (Security Marketing) sarà quindi “solo” ilrisultato di approfondimenti e considerazioni di professionisti dell’ IT Security & Audit.

Conclusioni

AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati 25

Giorgio Parpinelli g.parpinelli@logicalsecurity.it

Alessandro Da Rea.dare@logicalsecurity.it

Milano - Sessione di Studio del 21 Aprile 2010

Monitorare in continuo il livello di sicurezza: Quali implicazioni?

Grazie per l’attenzione