Lo scenario di rischio e l`evoluzione delle strategie di sicurezza
Transcript
Lo scenario di rischio e l`evoluzione delle strategie di sicurezza
Case Study L’utilizzo dei principi di IT Governance come obiettivo e strumento per la realizzazione di un Security Operations Center (SOC) Sessione di studio AIEA Torino, 17 Marzo 2007 Fabio Battelli, CISSP Advisory Practice Manager Symantec Consulting Services Agenda Case Study Il Cliente Challenge e Customer needs Success factors La soluzione Symantec Analisi della soluzione Il SOC e l’IT Governance Definizione del modello tecnico ed organizzativo Obiettivi del SOC: il catalogo servizi Definizione dei Macro Processi Ruoli e responsabilità (RACI) Capability Maturity Model SOC Tecnology Conclusioni ©2006 Symantec Confidential Case Study: overview Il cliente: missione e dimensioni Dati Principali Industry: Finance/Public Administration Missione: erogazione di servizi IT per la gestione delle principali transazioni economiche dello stato Sede centrale: Roma Utenti: oltre 40.000 sull’intero territorio nazionale Fatturato: 351 milioni di Euro (bilancio 2004) Dipendenti: 1.500 Principali servizi offerti verso terzi Gestione infrastrutture di rete/sicurezza Gestione postazioni utente (desktop e notebook) Sviluppo ed esercizio della applicazioni Integrazione di servizi Dati principali infrastruttura IT: 3 Data Center principali ed 1 sito DR Oltre 8.000 server open 4 sistemi dipartimentali Oltre 40.000 postazioni (fisse e mobili) ©2006 Symantec Confidential Challange e Customer needs Obiettivi dell’Executive Management - Migliorare la gestione ed il governo della sicurezza, assicurando: Maggiore allineamento strategico con le necessità di business Creazione di servizi a valore aggiunto (ROI) Migliore gestione del rischio Ottimizzazione delle risorse in uso (tecnologie e persone) Migliore capacità di controllo e misurazione dei risultati Obiettivi IT/Security Manager - Realizzare un Security Operations Center, chiarendo: Obiettivi ed aspettative Requisiti e servizi Principali processi interni Struttura tecnica ed organizzativa ©2006 Symantec Confidential Success factors Definizione di un modello teorico-pratico iniziale Necessità di analizzare la struttura da prospettive diverse (servizi, organizzazione, tecnologia, ecc) Analizzare le direttive e le best practices del settore Integrazione con l’organizzazione esistente Armonizzare le funzioni del SOC con gli altri gruppi di gestione (ad esempio Security Management, Operations, ecc) Condividere gli obiettivi e la strategia di sicurezza Pianificazione degli investimenti nel medio e lungo termine (almeno tre anni) Attivare e rilasciare progressivamente i servizi, soprattutto in relazione alla disponibilità del budget Valutare il rapporto costo/benefici ed il ROI (Return Of Investment) Strumenti tecnologici Scegliere gli strumenti adatti ad automatizzare l’erogazione dei servizi, riducendo l’impatto sull’organizzazione Competenze ed esperienza Impiegare profili professionali specialistici, provenienti da esperienze analoghe ©2006 Symantec Confidential La soluzione Symantec Realizzare un Security Operations Center attraverso l’utilizzo dei principi dell’IT/Security Governance Customer Challange • Effettuare gli investimenti coerentemente alle necessità di business • Creare servizi a valore aggiunto, facilmente rivendibili ai clienti (ROI) Value Delivery Performance Measurement Resource Management IT Governance • Aumantare il livello di sicurezza dell’organizzazione • Ottimizzare la gestione delle risorse impiegate (tecnologie e persone) • Misurare la compliance e l’andamento dei risultati raggiunti ©2006 Symantec Confidential Strategic Alignement Risk Management La soluzione Symantec Realizzare un Security Operations Center attraverso l’utilizzo degli strumenti dell’IT/Security Governance Obiettivi e servizi del SOC Processi ed organizzazione Ruoli e Responsabilità Investimenti e ROI Infrastruttura tecnologica Risorse umane Locali e contromisure di sicurezza IT/Security Governance Controllo dei processi Miglioramento dei processi Compliance con gli obiettivi Misurazione della sicurezza (KPI) Esercizio sistemi ed applicazioni Erogazione dei servizi ©2006 Symantec Confidential Analisi della soluzione Il Security Operations Center e l’IT Governance (1/2) Il SOC è una struttura logica e fisica centralizzata che ha l’obiettivo di: Controllare in maniera proattiva l’infrastruttura di sicurezza, soprattutto attraverso l’attività di monitoraggio e supervisione dei dispositivi che forniscono protezione all’organizzazione Prevenire e gestire efficacemente gli incidenti di sicurezza Contribuire al governo ed alla gestione della sicurezza in azienda, fornendo servizi, competenze e dati specifici relativi all’andamento ed al comportamento dei sistemi di sicurezza ©2006 Symantec Confidential Il Security Operations Center e l’IT Governance (2/2) La realizzazione di un SOC ha un elevato impatto tecnico ed organizzativo sui principali processi IT/Security dell’azienda L’utilizzo degli strumenti di IT Governance consentono di definire un modello teorico-pratico in grado di: Recepire le principali normative, direttive e best practice del settore Definire con chiarezza gli obiettivi e le aspettative del SOC Definire e riconoscere i compiti istituzionali all’interno dell’organizzazione Definire la struttura organizzativa, i ruoli, le responsabilità, i principali processi Scegliere, implementare ed ottimizzare gli strumenti tecnologici più idonei Valutare i benefici economici, l’evoluzione della struttura ed il ritorno degli investimenti (ROI) ©2006 Symantec Confidential Security Operation Center: definizione del modello tecnico ed organizzativo IT/Security Governance Techical Techical Infrastructure Infrastructure Catalogo Catalogo Servizi Servizi (COBIT (COBIT 4.0, 4.0, ISO 17799:2005, ISO 17799:2005, CSIRT CSIRT CMU-HB001, CMU-HB001, HB002, HB002, CSIRT CSIRT CMU-TR015, CMU-TR015, NIST NIST SP SP 800-61, 800-61, ISO 18044, ISO 18044, etc etc (ISO (ISO 17799:2005, 17799:2005, NIST NIST SP SP 800-61, 800-61, CSIRT CSIRT CMUCMUTR015, TR015, ISO ISO 18044, 18044, ISF ISF IM IM v07, v07, etc.) etc.) SOC SOC Organization Organization ((COBIT COBIT 4.0, 4.0, ISO 17799:2005, ISO 17799:2005, ISO ISO 1335:2004, 1335:2004, etc.) etc.) Standard & Best Practice di riferimento SOC Macro-Processi Macro-Processi (COBIT (COBIT 4.0, 4.0, ISO ISO 17799:2005, 17799:2005, ITIL, ITIL, etc.) etc.) Ruoli Ruoli ee Responsabilità Responsabilità (RACI (RACI -- COBIT COBIT 4.0, 4.0, ISO ISO 17799:2005, 17799:2005, etc) etc) ©2006 Symantec Confidential Capability Capability Maturity Maturity Model/ROI Model/ROI (ISO (ISO 21827, 21827, COBIT COBIT 4.0, 4.0, ISM3) ISM3) Value Delivery Performance Measurement Managing Advisoring Monitoring Obiettivi del SOC: catalogo servizi Resource Management IT Governance Risk Management Strategic Alignement Monitoring. Servizi/processi che hanno una connotazione principale in termini di controllo e supervisione della sicurezza. Tipicamente tali compiti sono svolti dal personale interno al SOC. Advisoring. Servizi di consulenza e/o notifica rivolti prevalentemente verso strutture esterne al SOC (sia divisioni interne all’azienda, che clienti o terze parti). Utili a fornire informazioni sui livelli di sicurezza o in generale sull’andamento delle minacce esterne (diffusione di worm, vulnerabilità, exploit, ecc) Managing. Servizi rivolti alla gestione operativa e strategica della sicurezza. ©2006 Symantec Confidential Descrizione dei Servizi (estratto) Di seguito è illustrato il significato di ciascun servizio, con i quali il SOC interagisce. La descrizione chiarisce il ruolo del SOC nell’erogazione di questi servizi: Real Time Device Monitoring: controllo in tempo reale dell’infrastruttura di sicurezza, mediante l’utilizzo di strumenti specifici in grado di individuare potenziali violazioni o attività sospette Vulnerability Assessment: ricerca delle vulnerabilità su reti, sistemi ed applicazioni COTS, condotta mediante l’utilizzo di strumenti automatici Security Intelligence: analisi delle ultime informazioni tecniche relative alle minacce, alle vulnerabilità ed all’andamento della sicurezza nel mondo Penetration Test: verifica del livello di sicurezza delle applicazioni mediante l’utilizzo di tecniche, strumenti e metodiche in grado di violare la sicurezza del sistema Alerting & Warning: servizio di notifica di eventi che evidenziano potenziali pericoli o informazioni rilevanti ai fini della sicurezza (e.g. bollettini, comunicati, ecc) Security Audit: supporto alle attività di verifica periodica dell’effettiva applicazione delle impostazioni di sicurezza per l’accesso ai dati e/o alle funzioni applicative (e.g. verifica needto-know, user rights, least privilege). Verifica periodica e/o a richiesta, dell’utilizzo delle risorse (dati e applicazioni) da parte degli utenti. Policy Compliance: supporto alla verifica dei livelli di conformità dei sistemi rispetto alle politiche di sicurezza, effettuata anche mediante ausilio di strumenti specifici ©2006 Symantec Confidential Value Delivery Performance Measurement Definizione dei Macro-Processi Resource Management IT Governance Risk Management Strategic Alignement I servizi individuati in precendenza sono stati raggruppati nei seguenti processi principali (Macro Processi), necessari a chiarire le interazioni esistenti tra i servizi stessi: Monitoring & Advisoring: processo di controllo e supervisione continuativa dello stato della sicurezza, allo scopo di rilevare e comunicare prontamente le tendenze, le anomalie riscontrate ed intraprendere le necessarie azioni correttive. Molti servizi di questa categoria sono di stretta pertinenza del SOC Incident Handling: processo di rilevazione, contrasto/contenimento, ripristino ed eventuale indagine degli incidenti informatici. Generalmente effettuato mediante la collaborazione attiva del SOC Security Managing: processo di gestione e governo della sicurezza aziendale, nel quale il SOC collabora principalmente come organismo di ausilio nel controllo e nella ricerca del miglioramento continuo ©2006 Symantec Confidential Tavole dei processi (esempio) P1. Monitoring & Advisoring S1.1 Real Time Device Monitoring Standard/linee guida di riferimento: ¾ ISO/IEC 27001:2005 (A. 10.10) Obiettivo: controllare in tempo reale l’infrastruttura di sicurezza, mediante l’utilizzo di ¾ COBIT 4.0 ¾ CSIRT CMU HB-002 strumenti specifici in grado di individuare potezionali violazioni o attività sospette ¾ CSIRT CMU-TR-015 ¾ ISF-IMCapability.V0.7 Dipendenze servizi/macro-processi Dipendenze funzioni aziendali Input Output Input Output (S1.3) - Security Intelligence (S1.2) - Vulnerability Assessment (S1.6) - Performance Monitoring (S1.7) - Fault Monitoring (S1.9) - Alerting & Warning (S1.12) - Event Data Retention (P2) - Incident Handling Process System & Network Customer Service Security Management Operations N.A. SOC Task ¾ Superivisionare in tempo reale gli eventi prodotti dai dispositivi di sicurezza attivi, ovvero gli audit log (Firewall, IDS/IPS, Antivirus, ecc.) ¾ Analizzare attentamente gli allarmi generati dai dispositivi di sicurezza ed intraprendere una risposta per gli allarmi che dovessero superare predeterminate soglie ¾ Attivare gli opportuni meccanismi di allerta in accordo con le procedure definite e le strategie di escalation ©2006 Symantec Confidential <Function> ©2006 Symantec Confidential Value Delivery Performance Measurement RACI Model (Responsibility Charting) La tecnica RACI stabilisce, per l’erogazione di ogni servizio, i ruoli e le responsabilità. Identificati i servizi ed i ruoli aziendali che li eseguono, si assegnano le responsabilità, scelte fra le seguenti: Responsible: colui che detiene il problema. Spesso coincide con il principale esecutore dell’attività. Accountable: colui che ha il compito di approvare l’operato svolto. Consulted: coloro che devono essere consultati per l’esecuzione dell’attività, in accordo con quanto stabilito dalle politiche aziendali ed in relazione alle informazioni e/o competenze specifiche di cui dispongono Informed: colori i quali devono essere informati dello svolgimento dell’attività o dei risultati della stessa ©2006 Symantec Confidential Resource Management IT Governance Strategic Alignement Risk Management Funzioni aziendali della RACI Sono state individuate, oltre al Security Operation Center, le funzioni aziendali tipiche che intervengono nella gestione della sicurezza: Network & System: divisione responsabile della progettazione ed implementazione delle architetture di sistema e delle infrastrutture di rete Operation: divisione responsabile dell’esercizio dei sistemi e delle operazioni di manutenzione ordinaria (e.g. backup, SLA) Security Management: funzione responsabile delle strategie di sicurezza, dell’emissione delle politiche di sicurezza ed in generale della Security Governance Application Development: funzione responsabile della progettazione, sviluppo ed aggiornamento delle applicazioni Customer Service: funzione responsabile dell’interfaccia verso i clienti Legal Issue: funzione responsabile degli aspetti legali (requisiti normativi, forense, ecc) Public Relation: funzione responsabile dei rapporti istituzionali con entità esterne (Media, Clienti, ecc) Human Resource: funzione responsabile della gestione del personale ©2006 Symantec Confidential & Sy ra st tio em Se n cu rit y A M pp lic ana ge at C m us ion en to D t ev m er Le el op ga Se m lI rv en ic Pu ssu t es e bl ic R H um ela an tion R es ou rc e k Funzioni O pe SO C et w or Servizi N Proactive Security Services Monitoring Real Time Device Monitoring Vulnerabilty Assessment Penetration Test Security Audit Security Intelligence Performance Monitoring Fault Monitoring Policy Compliance RA RA RA C RA I I C C I I RA RA RA I I I I I I A A RA RA C RA A C R R C I I I I I RA C R RA RA A RA Advisoring Alerting & Warning Technical Reporting Security Hotline I I I I I I I I I Managing Security Device Configuration Security Device Maintenace Policy Management Policy Enforcement Patch Management Event Data Retention EndPoint Security Hardening R C R R C I A C I A ©2006 Symantec Confidential Capability Maturity Model Initial Aware Defined Managed Optimizing Capability Security Management Incident Handling Proactive Security Maturity ©2006 Symantec Confidential Value Delivery Performance Measurement Organizzazione del SOC IT Governance Strategic Alignement SOC Organization Primary/Secondary Enabler Services SOC Manager Managing Monitoring & Advisoring Resource Management Incident Handling Operator 1 Operator 4 Analyst 3 (a.i Team Leader) Operator 2 Analyst 2 ( a.i Team Leader ) Analyst 2 Operator 3 Analyst 1 ( a.i Team Leader ) ©2006 Symantec Confidential Risk Management Ruoli e responsabilità interne (RACI) Value Delivery Performance Measurement Resource Management IT Governance at o na r ly IH st A na ly st A M M O pe r to r A na l pe ra O M A M A ys t Strategic Alignement Proactive Security Services Monitoring Real Time Device Monitoring Vulnerabilty Assessment Penetration Test Security Audit Security Intelligence Performance Monitoring Fault Monitoring Policy Compliance R R I R I R R R A A RA A RA A A A R C R A RA A R A Advisoring Alerting & Warning Technical Reporting Security Hotline C Managing Security Device Configuration Security Device Maintenance Policy Management Policy Enforcement Patch Management Events Data Retention End Point Security Hardening R I R RA RA RA A R A RA A RA ©2006 Symantec Confidential I Risk Management IT Governance Risk Management SI M SI M SI M R Strategic Alignement SI M Performance Measurement Resource Management ep or tin D g B T Value Delivery oo l In ci Tr de ou nt bl M e an Se Ti ag ck cu em et rit en EP y D ing tT e Se vi oo ce cu l Se rit cu y So rit l y H Sc utio ac an n ki n ne Sy g T r o st em ols /N TV et M w or k N Lo et w gs or k/ Sy Sy st em ste m Po In M te lic an gr e ag ity Po Co e T m oo me lic p nt lia y l nc Fo Ma e n re To ns age o m ic In en l To te tT rn ol oo et s l SOC Technology Monitoring RT Device Monitoring Vulnerability Assessment Penetration Test Security Audit Security Intelligence Performance Monitoring Fault Monitoring Policy Compliance Advisoring Alerting & Warning Technical Reporting Security Hotline Managing Security Device Configuration Security Device Maintenance Policy Management Policy Enforcement Patch Management Event Data Retention End Point Security Hardening ©2006 Symantec Confidential Conclusioni La realizzazione di un SOC nell’ottica dell’IT Governance consente di: Ridurre la complessità progettuale e realizzativa del progetto Allinearsi agli obiettivi ed alle strategie degli stakeolder Produrre servizi a valore aggiunto, massimizzando il ROI Armonizzare i servizi all’interno dell’organizzazione IT, integrandoli con le altre entità aziendali Ottimizzare le risorse e le tecnologie già in uso Misurare il livelli di maturità dei processi e della sicurezza (security dashboard) Aumentare l’efficienza legata alla gestione della sicurezza Value Delivery Performance Measurement Resource Management IT Governance Strategic Alignement ©2006 Symantec Confidential Risk Management Grazie [email protected] Cell. +39335/1860905 Advisory Practice Manager Symantec Consulting Services