Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Webinar ESCM ICT Security 360 - slide intervento di Alessandro Rani

132 views

Published on

Descrizione dello scenario evolutivo delle minacce al 3° trimestre 2018 e come la Business Unit di VM Sistemi dedicata all’ICT Security affronta ogni giorno il cyber-risk, al fianco del CISO, attraverso un approccio olistico.

Published in: Business
  • Be the first to comment

  • Be the first to like this

Webinar ESCM ICT Security 360 - slide intervento di Alessandro Rani

  1. 1. ICT Security a 360° per difendere il tuo business dal cyber-crime Evento organizzato in occasione di ECSM 25 Ottobre 2018 Alessandro Rani ICT Security Business Unit Manager Email: arani@vmsistemi.it Linkedin: it.linkedin.com/in/alessandrorani VM Sistemi SpA - Faenza - Milano - Roma
  2. 2. Obiettivi del Webinar 3 • Aggiornamento sullo scenario evolutivo delle minacce al 3°trimestre 2018 • Come la Business Unit di VM Sistemi dedicata all’ICT Security affronta ogni giorno il cyber-risk, al fianco del CISO, attraverso un approccio olistico.
  3. 3. Alcuni spunti di riflessione 4 • ll concetto di probabilità di essere vittime di un attacco informatico è ormai ampiamente noto come essersi tramutato in una certezza. • Attacchi mirati, campagne malware massive, attività fraudolente, nuove incombenti normative, contribuiscono ad un carico di lavoro divenuto insostenibile per la gran parte dei reparti ICT delle organizzazioni. • Oggi più che mai diviene fondamentale per le aziende, potersi avvalere della visibilità e protezione offerte da servizi gestiti di ICT Security completi ed affidabili.
  4. 4. Rapporto Clusit 2018 5 • Il Rapporto Clusit 2018 parla di “salto quantico” della Cyber In-security …possiamo affermare che il 2017 è stato l’anno peggiore di sempre in termini di evoluzione delle minacce “cyber” e dei relativi impatti, non solo dal punto di vista quantitativo ma anche e soprattutto da quello qualitativo, evidenziando un trend di costante crescita degli attacchi, della loro gravità e dei danni conseguenti, trend che in base alle nostre analisi persiste ormai senza interruzione da 7 anni, e che il 2018 si appresta a battere questo triste primato
  5. 5. Data Breach! 6 Nel caso di Data Breach, le imprese sono tenute a informare adeguatamente le autorità di controllo “senza indebito ritardo e, ove possibile, entro e non oltre 72 ore dopo esserne venuti a conoscenza” (GDPR). Qualora la notifica non venga effettuata entro tale termine, si rende necessario fornire una “giustificazione motivata” per tale ritardo. BREACHES HAPPEN: BE PREPARED!
  6. 6. Variazione tecniche di attacco rispetto periodo precedente 7 Fonte: Rapporto clusit 2018 – aggiornamento settembre
  7. 7. Recenti casi eclatanti
  8. 8. E nel mondo reale, nell’ esperienza quotidiana?
  9. 9. Le anomalie più tipiche riscontrare durante le nostre verifiche • Errate configurazioni. • Utilizzo di sistemi operativi datati (quando non obsoleti). • Eccessivi (ed inutili) servizi esposti. • Eccessiva divulgazione di informazioni di configurazione. (indirizzi IP interni al perimetro, info.php, phpmyadmin, apache admin, ISS admin). • Interfacce di amministrazione esposte (spesso con protocolli non cifrati). • Utilizzo di profili amministrativi di autenticazione deboli (root / root...).
  10. 10. Minacce vecchie e nuove 11 Fonte: F-Secure
  11. 11. Le odierne sfide per la sicurezza delle informazioni 12 Fonte: IBM COMPLIANCE HUMAN ERROR SKILLS GAP ADVANCED ATTACKS INNOVATION TIME
  12. 12. Il duro lavoro dell’analista di sicurezza Review your security incidents in a SIEM Decide which incident to focus on next Review the data (events / flows that made up that incident) Expand your search to capture more data around that incident Pivot the data multiple ways to find outliers (such as unusual domains, IPs, file access) Review the payload outlying events for anything interesting (domains, MD5s, etc) Search Engine + Virus Total + your favorite tools for these outliers / indicators. Find new Malware is at play Get the name of the Malware Search more websites for information about indicators of compromise (IOCs) for that Malware Take these newly found IOCs from the internet Take these newly found IOCs from the internet and search from them back in a SIEM Find other internal IPs are potentially infected with the same Malware. Start another investigation around each of these IPs.
  13. 13. Le esigenze delle imprese 14 • Proteggere l’infrastruttura ICT dalla perdita di informazioni e di reputazione. • Prevenire le intrusioni controllando in tempo reale lo stato dell’infrastruttura • Controllare le potenziali vulnerabilità del sistema informativo, nel tempo • Intervenire prontamente nel caso di individuazione di potenziali pericoli alla sicurezza dei dati • Rendere troppo dispendioso lo sforzo che gli attaccanti dovrebbero mettere in campo per raggiungere i loro scopi
  14. 14. La nostra proposta iperintegrata 15
  15. 15. Consulenza, Servizi, Soluzioni 16 • ICT Security Consulting • Vulnerability Assesment • Penetration Testing • Information Security Assessment • Compliance (Privacy e GDPR) • Information Security Risk Assessment • Information Security Governance • Formazione • ICT Security Managed Services • Network Security Management • LOGM (Log Management) • SSMRT (Security System Monitoring, Reporting and Tuning) • OAR (Offense Analysis and Response) • EVSM (Vulnerability Management) • EPSM (Endpoint Security Management) • ICT Security Technologies • Network Security • Log Manager • SIEM • Vulnerability Manager • Email Security • Endpoint & Mobile Security
  16. 16. ICT Security: Consulenza 17 • Vulnerability Assesment • Penetration Testing • Information Security Assessment • Compliance (Privacy e GDPR) • Information Security Risk Assessment • Information Security Governance • Formazione
  17. 17. ICT Security: Servizi Gestiti 18 • Network Security Management • LOGM (Log Management) • SSMRT (Security System Monitoring, Reporting and Tuning) • OAR (Offense Analysis and Response – SIEM) • EVSM (Vulnerability Management) • EPSM (Endpoint Security Management)
  18. 18. ICT Security: Tecnologia 19 • Network Security (Next Generation Firewall) • Log Manager • SIEM (Security Information and Event Management) • Vulnerability Manager • Endpoint Security (Endpoint Protection Platform / Endpoint Detection and Response)
  19. 19. © F-Secure Confidential ADVERSARIES DON'T NEED MANY VULNERABILITIES ONE IS ENOUGH 90 MINS every time a new security vulnerability is identified 8000 vulnerabilities are disclosed each year 50-300 are critical to your business and likely to be exploited 103 days the average time until a known security vulnerability is remediated 15 days the average time that a vulnerability is exploited
  20. 20. La tipica kill chain attack… 21 • Reconnaissance – Viene selezionato un obiettivo, si ricercano e tentano di identificare le vulnerabilità nell'infrastruttura mirata. • Weaponization – Viene utilizzato un exploit conosciuto (o creato uno, in alcuni casi) per armare il malware che sta per essere distribuito. • Delivery – L’intruso impiega “un'arma “per colpire il bersaglio (tramite social engineering, allegati di e-mail, siti Web falsificati o anche fisicamente tramite unità flash USB). • Exploitation – Il malware weapon avvia la sua attività malevola sull' endpoint per sfruttare la vulnerabilità individuata. • Installation – Il malware installa strumenti di accesso (ad esempio una "backdoor") utilizzabile dall'attaccante. • Command & Control Center – Il malware stabilisce un percorso avanti e indietro che consente agli intrusi di accedere costantemente all'infrastruttura mirata • Actions on Objective - Gli intrusi agiscono per raggiungere i propri obiettivi (esfiltrazione dei dati, distruzione dei dati o crittografia per riscatto).
  21. 21. Rompere la catena d'attacco 22 Fonte: Bitdefender
  22. 22. EDR o SIEM? Quali funzioni svolge il SIEM? 23 • Collezione: raccolta LOG ed Eventi da svariati tipologie di fonti, sistemi, dispositivi, applicazioni. • Aggregazione: i dati raccolti vengono combinati opportunamente in un unico data store facilitando così le successive operazioni sui dati. • Normalizzazione: la normalizzazione è un processo fondamentale, si occupa di trasformare le differenti rappresentazioni delle informazioni ricevute, in una forma univoca. • Correlazione: vero valore del sistema, ossia la capacità di collegare tra loro le informazioni ricevute da sistemi eterogenei, confrontarle con regole predefinite o create ad hoc secondo policy, rilevando anomalie e Incidenti di sicurezza. • Segnalazione: definita anche alerting, è la funzione che in combinazione con la correlazione notifica minacce o incidenti in atto, sulla base di soglie o regole definite. • Reportistica: elemento fondamentale, soprattutto in ambito di IT Governance e di compliance, oltre che di analisi.
  23. 23. Che cos'è una soluzione Endpoint Detection and Response? 24 • Le soluzioni di Endpoint Detection and Response (EDR) registrano comportamenti ed eventi a livello di sistema (attività utente, file, processo, registro, memoria e eventi di rete) e memorizzano queste informazioni localmente sull'endpoint o in un database centralizzato. • Database di IOC (Indicators Of Compromise) noti e tecniche di analisi del comportamento vengono utilizzati per l'identificazione precoce delle violazioni (comprese le minacce interne) e rispondere rapidamente a tali attacchi. • Fornire capacità di risposta e apprendimento. Fonte: Gartner - https://www.gartner.com/reviews/market/endpoint-detection-and-response-solutions
  24. 24. Quale livello di visibilità fornisce la soluzione EDR? 25 • Informazioni sui processi: Avvio e chiusura processi, iniezione incrociata di processi, abuso della command line, contesto utente. • Connessioni di rete: Indirizzi IP, direzione del trafico, nomi di dominio, byte trasferiti, durata delle connessioni, PCAP, dati del livello applicativo. • Modifiche di file: Tipi di file, nomi, dimensioni, hash modificati. • Modifiche di registro: Chiavi e valori per ogni percorso di registro creato o modificato. • File binari: Strutture di intestazione e metadati, per includere la firma digitale sull’ informazione. • Contenuto e strutture di memoria: Ispezione o acquisizione di contenuti e profilazione di memoria. • Informazioni utente: Informazioni su utente, gruppo e dominio associate a ciascun processo.
  25. 25. Flusso tipico di risposta di una soluzione EDR 26 Rilevamento della minaccia Ingaggio dell’ analista Avvio dell’ indagine Minaccia confermata Endpoint Isolato Response e remediation Chiusura Incident
  26. 26. #HYPERINTEGRATION VM SISTEMI SpA Faenza: Via R. Ossani, 18 - 48018 - Faenza (RA) - Tel 0546 689511 – Fax 0546 689591 Milano: Via L. Tolstoj 86 - Scala H - 20089 San Giuliano Milanese (MI) – Tel 02 57506417 Roma: Via Troilo il Grande, 3 – 00131 Roma – Tel 06 41294278 vm@vmsistemi.it www.vmsistemi.it Alessandro Rani ICT Security Business Unit Manager Email: arani@vmsistemi.it Linkedin: it.linkedin.com/in/alessandrorani

×