Monitorare in continuo il livello di sicurezza: Quali ... · •Autovie Venete •GGP Italy...
Transcript of Monitorare in continuo il livello di sicurezza: Quali ... · •Autovie Venete •GGP Italy...
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati 1
Giorgio ParpinelliChief Technology Officer
Alessandro Da ReChief Executive Officer
Milano - Sessione di Studio del 21 Aprile 2010
Monitorare in continuo il livello di sicurezza: Quali implicazioni?
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.2
CHI E’ LOGICAL SECURITY
Presente nel mercato della sicurezza logica dal 2002, base su Treviso.
Alcune referenze:
• SAVE Aeroporti di Venezia
• MAE - Unità di Crisi
• Gruppo De’ Longhi
• Università Cattolica S. Cuore- Roma
• Crediveneto - BCC
• Replay Fashion Box
• Autovie Venete
• GGP Italy
• Gruppo Stefanel
• Gruppo Despar
• Gruppo Unicomm (Famila)
• Gruppo Supermercati Alì
• T-Systems Italia
• YKK
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.3
CHI E’ LOGICAL SECURITY
c
Security Operation
Center
c
IT SecurityTechnology
Applications
Expertise
IT Governance
&Security
Access Control
Business Continuity
IAM
Recovery Backup
Antivirus Firewall
Dipartimentale
Networking
Compliance Audit
Business Process Management
IT Strategy
PKI
VPN (IPSEC/SSL)
Measuring
Management
Mainframe Z/OS
Business Intelligence
Collaborazione Elettronica - EDI
LOGICAL SECURITY PORTFOLIO
Business ImpactAnalisys
Assessment
Cost Reduction
Un gruppo di professionisti fortemente orientati alle sviluppo di competenze dei suoi consulenti e del cliente.
Cloud
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.4
• L’esigenza del controllo è evidente perché si sa, prevenire è meglio (che curare).
• Il problema è definire gli ambiti di controllo e in questo le “nostre” metodologie (ISACA) sono di forte ausilio (CobIT, ValIT, RiskIT, ISO 27001 etc.).
• Anche la rappresentazione del risultato al management è un driver altrettanto importante (Security Marketing).
• Se è vero che l’IT Governance e l’IT Security rappresentano un fattore determinante per il Business, è altrettanto vero che la mancanza di consapevolezza del rischio è uno dei principali rischi per il business.
Da queste sintetiche ma fondamentali considerazioni è nata, nel 2000, l’idea di pensare ad un prodotto che fosse in grado di recepire diversi indicatori dall’ambiente e di “misurare” un “indice di sicurezza”…
Con tutte le implicazioni filosofiche e di scetticismo che una affermazione simile comporta..(CISM docet..)
GENESI – Monitorare, perché (esperienza)
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.5
Obiettivo di una BIA, è di valutare l’impatto sul Business che ha un Rischio IT non correttamente gestito.
Il Risk Management, permette di valutare l’entità del rischio a cui sono esposti gli Asset compresi nell’ambito di analisi (scope) e di predisporre tutte le iniziative tecnico – procedurali per la sua gestione e mitigazione.
La questione, per semplificarla può essere riassunta in:
• Misuro il grado di rischio (e di conseguenza l’indice di sicurezza) su gli Asset determinanti per il Business (scope).
La sfida nel progettare e realizzare uno strumento che fosse d’ausilio a questi “paradigmi” consisteva nello studiare una matematica che consentisse il recepimento delle adeguate metriche di misura.
Misurare quindi in modo oggettivo (Best Practice) un ambiente soggettivo (scope) e di rappresentare il risultato in modo efficace e facilmente interpretabile dal management (Security Marketing..)
GENESI – Monitorare, cosa? (paradigmi)
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.6
Le tecniche di Audit tradizionali, prevedono dei controlli “manuali” effettuati in istanti diversi, a campione (ISO 19011)
Può accadere che nel lasso di tempo che intercorre tra l’attività di controllo effettuata nell’istante T e la successiva dell’istante T1, avvengano dei fatti – ad esempio la rilevazione di una vulnerabilità in un sistema - tali per cui il livello di sicurezza si abbassa, esponendo l’infrastruttura a dei reali rischi di attacco.
“Computer Security Audit”, rappresenta quel segmento di processi organizzativi e strumenti tecnologici atti a rilevare lo “stato di salute” di un sistema informativo.
Misurare il livello di sicurezza di una infrastruttura IT è da sempre stata una sfida importante, tanto più complessa quanto più esteso è l’ambiente d’analisi.
GENESI – Monitorare, Quando?
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.7
Continuous auditing has been defined as a methodology or framework that enables auditors (external and internal) to provide written results on the subject matter using one or a series of reports issued simultaneously. The ability to report on events in a real-time or near real-time environment can provide significant benefits to the users of audit reports
“Continuous Audit” (CA) consente, se associato alle opportune attività di applicazione delle contromisure, di ridurre drasticamente il rischio di violazione dei sistemi e mantenere il livello di sicurezza vicino al target di riferimento.
ISACA in un articolo apparso nella rivista “Information Systems Control Journal, Volume 5, 2002” dichiara:
Continuous Auditing: Is It Fantasy or Reality?
GENESI – Monitorare, Quando?
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.8
Il Continuous Auditing è un concetto presente da anni in letteratura.
E’ sicuramente il modo migliore per affrontare i problemi di sicurezza in quanto fornisce inogni momento all’organizzazione la piena consapevolezza del livello di sicurezza raggiunto edei rischi a cui è soggetta.
Il Continuous Auditing rappresenta una sfida complessa in quanto occorre:
• Mantenere una ricognizione continua delle vulnerabilità sulle situazioni esistenti (EarlyWarning);
• Controllare attivamente tutte le nuove situazioni che possano rappresentare unrischio;
• Realizzare adeguate metriche per ricavare il Livello di Sicurezza complessivo, darappresentare in modo intuitivo e immediato e in forma sia sintetica che analitica.
Continuous Auditing
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.9
E’ il concetto di base nella gestione delle situazioni complesse, e consente di avere “il polso”della situazione, agire con efficacia ed efficienza, evitare situazioni di panico. In sintesi:mantenere il controllo e la consapevolezza in qualsiasi condizione
Consapevolezza: Situational Awareness
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.10
Concetto mutuato dalla cultura militare:
• Individuare le minacce prima di essere alla loro portata;
• Gestire in maniera proattiva la propria infrastruttura
• Difendersi ed eventualmente contrattaccare in maniera coordinata
• Avere la visione completa del “campo di battaglia”
Consapevolezza: Early Warning
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.11
I rischi IT indotti dalle minacce e dalle vulnerabilità sono molteplici e di diversa natura.
Misurarli tutte significa trovarsi con una plancia di comando traboccante di strumentazione
e indicatori, tutti da controllare per agire di conseguenza, per cui alla fine si spera che non
ci sia più di una segnalazione contemporanea oppure ci si limita a guardare solo
determinati indicatori.
Schema di un abitacolo del Mikoyan-Gurevich MIG-23BN
Per essere realmente padroni della
situazione occorre sintetizzare i molti
strumenti in un unico indicatore.
Questo può essere fatto sviluppando una
metrica adeguata, che ponderi i singoli
rischi ricavandone un unico indice, che sia
rappresentativo del livello di sicurezza e
significativo al punto tale da dirigere
correttamente attenzione ed investimenti
sui punti realmente più critici.
Misure: Le metriche - esperienza
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.12
L’esperienza e le esigenze di mercato, ha portato a ragionare e sviluppare un prodotto
d’ausilio al monitoraggio continuo del Rischio, cercando di realizzare ciò che in letteratura è
considerata una sfida.
L’azienda, completando un percorso iniziato nel 2002, ha voluto investire risorse per lo
sviluppo del prodotto, portandolo a brevetto Italiano:
Qhawax “El que observa o vigila con astucia”
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.13
Qhawax: L’architettura di monitoraggio
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.14
MO
DELLO
AR
CH
ITETTU
RA
LE Q
HA
WA
X
SICUREZZAINFRASTRUTTURA
APPLICAZIONE
Asset Inventory
Classificazione delle vulnerabilità
Security Index per ogni singolo sistema
Network Security Index
Analisi automatica delle vulnerabilità e trend SI
Security Server
Metriche diSicurezza
Sonde distribuite
Calcolo dell’indice globale di sicurezza
Valutazione dei dati raccolti per indicatore
Raccolta e archiviazione dati di analisi
Analisi
Ambito
tecnologico
GSI: Reti, Sistemi, Servizi IT e OrganizzazioneLIVELLO
DI CONTROLLO
Cruscotto Real-Time
Reports,
documentazione e
Allarmi
Qhawax: Schema Logico
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.15
Security Metrics Contributo %
M1 Numero totale di vulnerabilità di tipo HIGH 25,0 19,2
M2Numero di vulnerabilità per tipologia diverse di tipo
HIGH25,0 19,2
M3 Numero di vulnerabilità di tipo MID 17,5 9,3
M4 Numero di vulnerabilità diverse di tipo MID 17,5 9,3
M5 Numero di vulnerabilità di tipo LOW 7,5 3,5
M6 Numero di vulnerabilità diverse di tipo LOW 7,5 3,5
M7 Disponibilità dei singoli servizi 0 18,0
M8 Disponibilità del sistema 0 18,0
Totale contributo sul calcolo del Security Index 100,0 100,0
Sono un metodo oggettivo per uniformare il monitoraggio dei Rischi IT e consentono dicapire lo stato corrente del livello di sicurezza.In queste metriche di esempio, vengono inseriti nel calcolo dell’indice di sicurezza i fattori dirischio relativi alle vulnerabilità dei sistemi, e alla disponibilità di servizio.
Il ”set” di metrichepuò essere esteso inmodo significativo,assegnando di voltain volta il “peso” conil quale ognuna diessa influisce per ilcalcolo del livello disicurezza in quellospecifico ambiente.
Qhawax: Metriche
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.16
Il rischio di attacco aumenta considerevolmente nel caso si fosse in presenza di piùvulnerabilità di diverso tipo in più host, dando quindi più possibilità di successonell’ottenere un accesso non autorizzato ai sistemi.
La metriche rendono il calcolo del SL(Security
Level) indipendente dall’ambiente
e dalle dimensioni
dell’organizzazione
Qhawax: Metriche – Esempio di calcolo
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.17
Qhawax: L’architettura del software
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.18
La dashboard propone un Security Level complessivo.In questo esempio, il sistema evidenzia l’aggregazione della metrica “vulnerabilità disistema”, con la possibilità di drill-down nel singolo dettaglio.
Qhawax: La Dashboard SOC
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati 19
Qhawax: La Dashboard SOC – dettaglio Zona
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati 20
Qhawax: La Dashboard SOC – dettaglio Host
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.22
Early Warning
RSSFeed
E-mail SMS
Quali sono i giusti sistemi di allerta?
Vengono presi correttamente in
considerazione?
L’infrastruttura organizzativa è in grado
di sostenere e garantire un adeguato
livello di sicurezza agli utenti?
Qhawax: I Sistemi di allerta
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.23
Abbiamo voluto premiare l’iniziativa e l’effort di questi anni, decidendo di brevettare lasoluzione.
Qhawax è quindi registrato dal 2008 come brevetto n° TO2008A000217 “Metodo ,Apparecchio e sistema per calcolare in modo completamente automatico il livello di sicurezzadi un sistema informatico”.
L’analisi di applicabilità, la stesura della documentazione e la presentazione della domanda dibrevetto, è stata affidata allo Studio Torta di Torino
E’ in fase di sviluppo la documentazione per l’estensione del brevetto in alcuni stati Europei.
Qhawax: Da Idea a brevetto
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati Pag.24
Ci auguriamo che il metodo proposto possa diventare oggetto di studio e di critica proattivada parte dei colleghi: L’obiettivo è di ampliare i concetti di monitoraggio e valutazione dellasicurezza, anche e soprattutto attraverso l’associazione.
La rappresentazione grafica dell’indice di sicurezza (Security Marketing) sarà quindi “solo” ilrisultato di approfondimenti e considerazioni di professionisti dell’ IT Security & Audit.
Conclusioni
AIEA Milano –Sessione di Studio del 21 Aprile 2010. Logical Security S.r.l. 2010. Tutti i diritti riservati 25
Giorgio Parpinelli [email protected]
Alessandro Da [email protected]
Milano - Sessione di Studio del 21 Aprile 2010
Monitorare in continuo il livello di sicurezza: Quali implicazioni?
Grazie per l’attenzione