Diapositiva 1 - Master Sicurezza
Transcript
Diapositiva 1 - Master Sicurezza
NON CLASSIFICATO CYBER DEFENCE E SIMULAZIONI LIVE-FIRE: un approccio organizzativo e tecnico Seminario Master in Sicurezza Informatica Dipartimento di Informatica dell'Universitá di Roma "La Sapienza" 3 febbraio 2015 Gen. B. Umberto Maria CASTELLI Comandante del Comando C4 Difesa Ten.Col. Marco DE FALCO Ufficio Sicurezza Comando C4 Difesa NON CLASSIFICATO CYBER DEFENCE E SIMULAZIONI LIVE-FIRE: un approccio organizzativo e tecnico Sommario • Il Comando C4 Difesa • Esercitazioni di CD in ambito nazionale e NATO • L'esercitazione "Locked Shields 2014" • Evoluzioni CD 2 NON CLASSIFICATO IL COMANDO C4 DIFESA Massimo organo tecnico operativo in ambito Interforze L'acronimo "C4" sta per: • • • • Command Control Communication Computer systems NON CLASSIFICATO IL COMANDO C4 DIFESA UBICAZIONE Comando C4 Difesa NON CLASSIFICATO IL COMANDO C4 DIFESA COMPITI ISTITUZIONALI • Garantire il corretto funzionamento dei sistemi ICT e dei servizi applicativi per le F.A. e l’Area di Vertice Interforze (SMD, SGD, Direzioni Generali, Add. Militari, Magistratura Militare): SIV, SIV2, SISAD, SIPAD, INFOGEST, SIAC, ETC • Assicurare servizi di connettività (RIFON, AERNI, DIFENET, INTERNET) e servizi «core» alle F.A. (DNS, Foresta di Dominio , Identity Management, etc) • Gestire la sicurezza delle reti e dei sistemi interforze (configurazione servizi/apparati di sicurezza, monitoring, incident handling, vulnerability / risk assessment ) • Fornire supporto all’utenza dei sistemi di cui sopra (“help desk”) NON CLASSIFICATO IL COMANDO C4 DIFESA SISTEMI INFORMATIVI GESTIONALI •SISDEV 33 Sistemi Analisi e Supporto alle decisioni • SIPAD • GOPERS • WEB ACCESSI • SIRACC • CMD • ePASS Personale • • • • • • INFOCIV IMPERS SICAD ITAP SIAFA MEF • SIV 1 • SIV 2 • INFOGEST • MEF • SACS • SICOS Economici e finanziari • SISPAS • SISAD • SDO • GEPADD • SIAC • SILAD Sanità Logistica • Prot.inf SMD • SIGMIL • WISE • Portale tecnico C4 Documentale Comuni GEIRD IAM TFS Tab.Ti.Dife Per un totale di 13.000 utenti 6 NON CLASSIFICATO IL COMANDO C4 DIFESA STRUTTURA ORDINATIVA Capo Rep. VI SMD MODELING & SIMULATION CoE COMANDANTE C4D UFFICIO SUPPORTO GENERALE E PERSONALE SERVIZIO AMMINISTRATIVO Vice Comandante UFFICIO RETI E SERVIZI D’INFRASTRUTTURA SICRAL UFFICIO SICUREZZA UFFICIO SISTEMI INFORMATIVI CENTRALIZZATI UFFICIO PROGETTI E REQUISITI UFFICIO ASSISTENZA UTENTI NON CLASSIFICATO IL COMANDO C4 DIFESA COMPONENTI CAPACITIVE SMD-6 Comando C4 Difesa NETWORKING MANAGEMENT SERVICES Modelling & Simulation CoE CYBER SECURITY CONTROL ROOM/CALL CENTER Network Operation Center Information Operation Center NOC IOC Cyber Defence CERT SOC Centro di controllo e gestione SICRAL NON CLASSIFICATO Seminario Master in Sicurezza Informatica Dipartimento di Informatica dell'Universitá di Roma "La Sapienza" 3 febbraio 2015 Ten.Col. Marco DE FALCO Ufficio Sicurezza Comando C4 Difesa NON CLASSIFICATO IL COMANDO C4 DIFESA UFFICI TECNICI Capo Rep. VI SMD MODELING & SIMULATION CoE COMANDANTE C4D UFFICIO SUPPORTO GENERALE E PERSONALE SERVIZIO AMMINISTRATIVO Vice Comandante UFFICIO RETI E SERVIZI D’INFRASTRUTTURA SICRAL UFFICIO SICUREZZA UFFICIO SISTEMI INFORMATIVI CENTRALIZZATI UFFICIO PROGETTI E REQUISITI UFFICIO ASSISTENZA UTENTI NON CLASSIFICATO IL COMANDO C4 DIFESA STRUTTURA ORDINATIVA UFFICIO RETI E SERVIZI D’INFRASTRUTTURA UFFICIO SICUREZZA SEZIONE SERVIZI, INFRASTRUTTURA E INTEROPERABILITA’ SEZIONE DIRETTIVE E CYBER DEFENCE SEZIONE SISTEMI CLASSIFICATI SEZIONE CERT SEZIONE CONTROLLI DI SICUREZZA SEZIONE PKI (CMD) UFFICI ATTINENTI LA CYBER SECURITY • • • • • ANTIVIRUS ANTISPAM / MAIL FILTERING WEB CONTENT FILTERING WEB APPLICATION FIREWALLS USER POLICIES ENFORCING (GPO) • • • • • • FIREWALLS VPN MANAGEMENT INTRUSION DETECTION SYSTEMS INTRUSION PREVENTION SYSTEMS SIEM (EVENT CORRELATION) TRAFFIC SHAPERS • INCIDENT HANDLING • SECURITY EVALUATIONS • PENTESTING • RISK ASSESSMENT • PKI (AUTHENTICATION) NON CLASSIFICATO IL COMANDO C4 DIFESA IL CERT DIFESA Computer Emergency Response Team (CERT): con funzioni di Technical Center per il coordinamento dei CERT del dominio Difesa. Raccogliere segnalazioni di incidenti e vulnerabilità sistemi informatici. Direttiva SMD-I-013 Ed. 2008 “Procedure di Riposta agli Incidenti Informatici” IL COMANDANTE C4 DIFESA è responsabile della sicurezza informatica per SMD NON CLASSIFICATO Esercitazioni di Cyber Defence (CDX) nazionali e NATO Tipologia Caratteristiche Esempi PROCEDURALE Esercitazione «a tavolino» di livello concettuale CYBER EUROPE SEMI PROCEDURALE Esercitazione procedurale con alcuni injects di tipo reale CYBER COALITION "LIVE-FIRE" LOCKED SHIELDS Massimo livello di realismo, riproduzione fedele delle situazioni ed uso di strumenti reali NON CLASSIFICATO Finlandia Svezia Tallinn Estonia Russia Lettonia Roma NON CLASSIFICATO Esercitazioni di CD in ambito NATO: Il Cooperative Cyber Defence Centre of Excellence Il Centro di Eccellenza per la Difesa Cooperativa nei conflitti informatici (CCDCoE) è • un’entità attualmente finanziata e composta da 14 “Sponsoring Nations” (Estonia, Francia, Germania, Inghilterra, Italia, Lettonia, Lituania, Olanda, Repubblica Ceca, Repubblica Slovacca, Spagna, Ungheria, Polonia e Stati Uniti). • ufficialmente accreditato come Centro di Eccellenza NATO (NATO CoE) sin dal 28 Ottobre 2008 • diretto e investito delle attività da effettuare da uno “Steering Committee” multinazionale composto dalle sopra menzionate 14 Nazioni, aventi uguale diritto di voto NON CLASSIFICATO Esercitazioni di CD in ambito NATO: Il Cooperative Cyber Defence Centre of Excellence La missione del CCD COE è ... “aumentare la capacità, la cooperazione e lo scambio di informazioni tra la NATO, le nazioni facenti parte della NATO e i partner accreditati nella difesa dai conflitti informatici (“cyber conflicts”) per mezzo di formazione, educazione, ricerca e sviluppo, lessons learned e consulenza”. NON CLASSIFICATO Esercitazioni CDX “Locked Shields” (“Live-fire Cyber Defense eXercise”) NON CLASSIFICATO LOCKED SHIELDS 2014 CONCEPT • Esercitazione tecnica di cyber defence (CDX) live fire di tipo Blue - Red : - I Blue Teams (x12) devono mettere in sicurezza e difendere una propria rete virtuale precostituita da circa 40 macchine, nelle quali sono presenti diverse vulnerabilità non dichiarate - Il Red Team (x1, Tallinn) conduce attacchi informatici reali contro tutti i Blue Teams secondo un approccio “white-box” • Organizzatori: CCDCOE (Cooperative Cyber Defence Center of Excellence), Forze Armate estoni, Cyber Defence League estone, Forze Armate finlandesi. NON CLASSIFICATO LOCKED SHIELDS 2014 CONCEPT • Oltre ai teams blue e red, sono presenti anche altri tipi di squadre: - Legal Teams (1 x ogni Blue Team), sono un «sottoinsieme» dei blue teams, e forniscono consulenza legale al blue team di appartenenza - White Team (x1, Tallinn), responsabile del controllo dei partecipanti, della corretta applicazione delle regole e dello scoring - Green Team (x1, Tallinn), responsabile del setup e della manutenzione tecnica dell’infrastruttura esercitativa. Supporto tecnico fornito da Cisco, Clarified Networks, Clarified Security e Codenomicon. NON CLASSIFICATO LOCKED SHIELDS 2014 CONCEPT - Yellow Team (x1, Tallinn), responsabile della situational awareness dell’esercitazione. Il suo compito è quello di analizzare informazioni provenienti da diverse fonti e fornire un feedback al White Team, al Red Team e ai Blue Team ("SA solutions"). NON CLASSIFICATO Esercitazione “Locked Shields” Relazioni tra teams GREEN WHITE YELLOW REPORTS CONTROL RED ATTACKS BLUE_1 LEGAL BLUE_2 LEGAL CO-OP … BLUE_n LEGAL NON CLASSIFICATO Esercitazione “Locked Shields” 2012 (“Live-fire Cyber Defense eXercise”) RED TEAM NON CLASSIFICATO Esercitazione “Locked Shields” 2013 (“Live-fire Cyber Defense eXercise”) BLUE TEAM 1 NON CLASSIFICATO Esercitazione “Locked Shields” 2013 (“Live-fire Cyber Defense eXercise”) BLUE TEAM 1 NON CLASSIFICATO Esercitazione “Locked Shields” 2013 (“Live-fire Cyber Defense eXercise”) WHITE TEAM NON CLASSIFICATO ESERCITAZIONI LOCKED SHIELDS FINALITA’ • Gli scopi della CDX Locked Shields sono: 1) rendere il personale tecnico delle nazioni partecipanti preparato a sostenere e risolvere attacchi informatici intensi e su larga scala, costringendolo anche a fronteggiare imprevisti e a ricorrere a soluzioni innovative (workaround “out-of-the-box”); 2) abituare le nazioni alla cooperazione internazionale spinta e ad un proficuo scambio di informazioni; 3) sviluppare capacitá di gestione della comunicazione verso i media durante le crisi informatiche; 4) sviluppare competenza professionale anche dal punto di vista legale. NON CLASSIFICATO LOCKED SHIELDS 2014 SCENARIO (1/2) • Situazione fittizia aderente a casi reali (Estonia, NATO, etc.) • Ogni Blue Team rappresenta un Rapid Reaction Team (RRT) della Berylia, una nazione da poco entrata nella NATO la cui industria nazionale è molto conosciuta per l' esperienza nello sviluppo di droni militari miniaturizzati. Il mandato dei RRT è quello di amministrare e difendere i sistemi ICT di R&S delle industrie dei droni, rimasti inspiegabilmente privati dei propri "Chief admins" e posti sotto attacco da movimenti antagonisti della tecnologia drone. Da questi siti saranno governati remotamente droni che saranno presentati in una "live demo" al Dubai World Drone Expo. NON CLASSIFICATO LOCKED SHIELDS 2014 SCENARIO (2/2) • Il Red Team rappresenta un gruppo di hacktivisti conosciuto come NoForRobots! (NFR) che sostiene la lotta contro la tecnologia dei droni. Il loro intento è quello di attaccare e degradare i sistemi informatici delle industrie dei droni, allo scopo di causare un grave danno di immagine (Dubai Expo) e/o di compromettere i segreti industriali a danno della Berylia. E' possibile che l' NFR sia sponsorizzato dalla Crimsonia, una nazione rivale della Berylia. • Quindi, nella pratica, i membri del Red Team attaccheranno le reti dei Blue Teams, cercando di sfruttare le vulnerabilità presenti. NON CLASSIFICATO LOCKED SHIELDS 2014 AMBIENTE TECNICO • Tutti gli ambienti di esercitazione sono implementati su infrastrutture di virtualizzazione VMware vSphere v5.5, installate presso il CCDCOE e accedute dai players tramite VPN su connettività Internet. NON CLASSIFICATO LOCKED SHIELDS 2014 AMBIENTE TECNICO • I Blue Teams dovranno gestire una rete segmentata in un totale di 7 DMZ, nelle quali saranno presenti le seguenti macchine: - Routers Cisco - Firewalls e gateways VPN basati su pfSense Linux - Workstations Windows XP, Windows 7 e Ubuntu - Controllers di dominio Windows - Servers web, DNS, SMTP, POP3, IMAP, FTP, SMB (su piattaforma Windows e Linux) - Sistemi VoIP Cisco UCM - Tablets Android - Sistemi di videosorveglianza basati su IP cams NON CLASSIFICATO Attività di competenza (1/2) • Ogni Blue Team, da parte sua, deve: 1) scoprire ed eliminare tutte le vulnerabilità presenti nelle proprie reti nel minor tempo possibile (prima che il Red Team riesca a sfruttarle); 2) gestire compromissioni di macchine non “patchate” in tempo o compromesse tramite vulnerabilità applicative web 3) rilevare e notificare attività malevole, anche di tipo “stealth” (high score!); NON CLASSIFICATO Attività di competenza (2/2) 4) comunicare alle altre Blue Teams gli eventi di attacco secondo una corretta gestione dell’incidente; 5) inviare periodicamente al White Teams SITREPs e risposte agli injects nel rispetto dei tempi imposti; 6) comunicare ai media gli eventi in corso secondo una corretta gestione delle pubbliche relazioni; 7) fornire consulenza legale, tramite il proprio “Legal Team”, riguardo a specifiche richieste inoltrate dal White Team. Il Legal Team verrà anche “interrogato” dal White Team per valutare la sua comprensione degli aspetti tecnici! NON CLASSIFICATO Attività di competenza (3/3) I Blue Teams NON conoscono la configurazione delle macchine dislocate nella propria rete ma solo uno schema topologico. Circa una settimana prima dello svolgimento della CDX, vengono loro concessi due sessioni di 8 ore giornaliere per condurre i propri assessment e un DAY0 di test. Viene inoltre loro concessa la possibilità di installare due VM proprietarie (max 8 vCPU, 8 GB RAM,100 GB disk). Alla fine del DAY0 tutte le macchine (eccetto le VM proprietarie) vengono ripristinate alla loro configurazione originale (ogni patch è quindi inutile prima del DAY1). NON CLASSIFICATO Valutazione e punteggio • Ogni Blue Team viene valutato in termini di punteggio in base alle attività effettivamente condotte in modo da motivarli e misurare i loro skills. • La valutazione avviene in modo automatico tramite scoring bots e uno scoring server, supervisionata e integrata/corretta dal White Team. • TUTTE LE ATTIVITA’ DI COMPETENZA PRECEDENTEMENTE ELENCATE SONO OGGETTO DI VALUTAZIONE! NON CLASSIFICATO LOCKED SHIELDS 2014 PROFILI E RUOLI RICHIESTI • Tecnici (configurazione, hardening, patching, detection e remediation): - Sistemisti Cisco IOS (routers) e Cisco UCM (VoIP) - Sistemisti Windows (XP, 7, Active Directory) - Sistemisti Linux (workstation e server) - Web masters / developers (server-side scripts) • Operatori per coordinamento di Incident Response (information sharing e incident reporting) • Consulenti legali • Addetti stampa per comunicazioni ai media NON CLASSIFICATO LOCKED SHIELDS 2014 ORGANIZZAZIONE DEL BLUE TEAM ITALIANO • • • • • • • • Firewall specialists ISD/IPS "watchkeepers" Windows system analysts Linux system analysts Malware analysts (incident handlers) Network specialists Reporters Web developers (interventi sui siti web, analisi di vulnerabilità delle applicazioni web) • Esperti legali • Public Information Officers NON CLASSIFICATO Esercitazione “Locked Shields” 2014 (“Live-fire Cyber Defense eXercise”) NON CLASSIFICATO Esercitazione “Locked Shields” 2014 (“Live-fire Cyber Defense eXercise”) NON CLASSIFICATO LOCKED SHIELDS 2014 CLASSIFICA FINALE GENERALE Posizione Nazione Punteggio Team 1 POLONIA 27603 BT 6 2 LETTONIA+REP.CECA 24966 BT 10 3 ESTONIA 22003 BT 4 4 AUSTRIA+LITUANIA 20663 BT 5 5 ITALIA 19644 BT 3 6 FINLANDIA 18666 BT 11 7 NATO (NCIRC) 16806 BT 1 8 TURCHIA 12024 BT 7 9 GERMANIA+OLANDA 10517 BT 2 10 UNGHERIA 9189 BT 8 11 FRANCIA 8047 BT 12 12 SPAGNA 6460 BT 9 NON CLASSIFICATO LOCKED SHIELDS 2014 PUNTEGGIO PER TEAM / TIPOLOGIA NON CLASSIFICATO LOCKED SHIELDS 2014 CONSIDERAZIONI GENERALI ANALISI DEGLI EVENTI NON CLASSIFICATO LOCKED SHIELDS 2014 CONSIDERAZIONI GENERALI • Esercitazione nettamente piú complessa delle CDX procedurali e semi-procedurali e ancora più complessa della LS2013 • Scenario verosimile ma impegnativo • L’esercitazione coniugava aspetti tecnici cyber e aspetti procedurali cyber, così come aspetti non-cyber classici di esercitazioni convenzionali (“injects”) NON CLASSIFICATO LOCKED SHIELDS 2014 LA NOSTRA STRATEGIA • "Patchare" tutto il possibile quanto prima possibile • Non permettere ai firewall di inoltrare il traffico inbound/outbound finquando le macchine non risultino "patchate" ad un livello accettabile (anche se questo significa perdere punteggio per gli SLA) • Tenere attivamente sotto monitoraggio le macchine in rete con scripts proprietari per rilevare IoCs (indicatori di compromissione) • Se un positivo viene rilevato, scalare l'evento immediatamente ad un analista con maggiore esperienza, che provvederà a relazionare i reporters NON CLASSIFICATO LOCKED SHIELDS 2014 PROBLEMATICHE RISCONTRATE • Ambiente eccessivamente popolato da visitatori e osservatori esterni • Carenza di expertise sulla parte VoIP e Android • Non corretta valutazione importanza del buon funzionamento delle workstations utente Windows e Android, causando punteggio negativo ad opera delle "blondes"! • Non corretta gestione degli injects non tecnici (ops, media, legal) e delle attività di reporting, causa di punteggi negativi in ragione di ritardi NON CLASSIFICATO LOCKED SHIELDS 2014 PROBLEMATICHE RISCONTRATE • Scarsa cooperazione con gli altri BTs (esempio della Polonia) • Scarsa qualità SITREPs (esempio Germania) • Impossibilità a configurare la VM IDS proprietaria (Snorby) compatibilmente all' incapsulamento ERSPAN, costringendoci all'uso dell'IDS di pfSense "preconfezionato“, utile ma non sofisticato NON CLASSIFICATO LOCKED SHIELDS 2014 PUNTI DI FORZA • Punteggio negativo più basso di tutti i Blue Team di tipo "Attack" (attacchi portati a segno), grazie a una buona strategia di difesa (regole sui firewall e patching) • Ottima configurazione dei router BGP (definita dai giudici di gara "brillante") che ci ha permesso di difenderci con successo dal BGP hijacking NON CLASSIFICATO LOCKED SHIELDS 2014 CONSIDERAZIONI FINALI NON CLASSIFICATO LOCKED SHIELDS 2014 CONSIDERAZIONI FINALI NECESSITA' DI: • PIU' TEMPO! Abbiamo iniziato a prepararci con troppo ritardo, nonostatnte il fatto di aver avuto lo stesso problema il precedente anno • Essere più selettivi sul personale (players). E' bene scegliere solo persone realmente ben preparate, e possibilmente già in possesso di esperienza di partecipazione alle precedenti edizioni della Locked Shields • Disporre di POS e checklists ben definite, e di tools collaudati e pronti all'uso che hanno dimostrato di funzionare bene (scripts) NON CLASSIFICATO LOCKED SHIELDS 2014 CONSIDERAZIONI FINALI • Essere PUNTUALI nelle risposte agli injects • Ricevere feedback accurati dal White Team (esempi di come le cose dovrebbero essere fatte) per imparare a produrre buoni reports e buone risposte agli injects • Considerare ogni aspetto / dispositivo dell'esercitazione senza eccezione per evitare sorprese NON CLASSIFICATO LOCKED SHIELDS 2014 CONSIDERAZIONI FINALI • Esercitazione sbilanciata a favore del Red Team • Necessità di: - grande impegno comune personale skills di alto livello coordinamento comunicazione preparazione (tempo) • Ottima opportunità di apprendimento NON CLASSIFICATO EVOLUZIONI CD VIRTUAL CYBER DEFENCE BATTLE LAB Comando C4 Difesa Virtual Cyber Defence Battle Lab • Piattaforma di simulazione (ambiente di virtualizzazione) e locali di fruizione presso il Comando C4 Difesa • Coniugazione di risorse elaborative virtuali (VMs) e reali (network appliances) • Utilizzabile per: ricerca, testing, addestramento, esercitazioni • Possibilitá di sinergia con molteplici partecipanti (Forze Armate, Istituzioni, Ministeri, Accademia, NATO, industria, etc.) NON CLASSIFICATO EVOLUZIONI CD VIRTUAL CYBER DEFENCE BATTLE LAB Cisco UCS blade servers • Potenza (~ 200 VMs) • Modularitá (8 blades) • Semplicitá di gestione (web GUI) NON CLASSIFICATO EVOLUZIONI CD VIRTUAL CYBER DEFENCE BATTLE LAB CASSETTI OTTICI (connettività in fibra) NETWORK SWITCH FABRIC INTERCONNECTS (x2) FIREWALL PALO ALTO SAN QNAP nBox NETWORK RECORDER (nTop) SERVERS CISCO UCS (4 BLADES + 4 ALIMENTATORI, 0.5 TB RAM) NON CLASSIFICATO EVOLUZIONI CD VIRTUAL CYBER DEFENCE BATTLE LAB INTERNET ATD (Advanced Threat Defence) device DIFENET (PRODUCTION NETWORK) LAB NETWORK Cyber lab virtualization infrastructure NON CLASSIFICATO EVOLUZIONI CD VIRTUAL CYBER DEFENCE BATTLE LAB Locali di fruizione NON CLASSIFICATO Virtual Cyber Defence Battle Lab MAX. 20 PLAYERS MAX. 5 ADMINISTRATORS OR … 25 SCIENTISTS NON CLASSIFICATO Virtual Cyber Defence Battle Lab BLUE TEAM 3 NON CLASSIFICATO Virtual Cyber Defence Battle Lab BLUE TEAM 3 NON CLASSIFICATO EVOLUZIONI CD VIRTUAL CYBER DEFENCE BATTLE LAB COMANDO C4D PIATTAFORMA DI SIMULAZIONE LOCALI DI FRUIZIONE LAB / CDX ROOM BLADES SAN MGMT PLAYERS / SCIENTISTS FI SWITCH tunnels VPN FW SMD-2 ENISA ALTRI PARTNERS MNE-7 CII DIFENET AERONET INTERNET MARINTRANET NCIRC EINET CERT AM STRUTTURE NATO CCDCOE CERT MM CERT EI STELMILIT INDUSTRIE E SETTORE PRIVATO SCUTI PARTNERS NATO PUBBLICHE AMMINISTRAZIONI PCM QXN MISE DIGIT-PA MAE MIUR MEF MININT NON CLASSIFICATO CYBER DEFENCE E SIMULAZIONI LIVE-FIRE: un approccio organizzativo e tecnico Domande?