Lo scenario di rischio e l`evoluzione delle strategie di sicurezza

Case Study
L’utilizzo dei principi di IT Governance come obiettivo e strumento
per la realizzazione di un Security Operations Center (SOC)
Sessione di studio AIEA
Torino, 17 Marzo 2007
Fabio Battelli, CISSP
Advisory Practice Manager
Symantec Consulting Services
Agenda
Case Study
ƒ
Il Cliente
ƒ
Challenge e Customer needs
ƒ
Success factors
ƒ
La soluzione Symantec
Analisi della soluzione
ƒ
Il SOC e l’IT Governance
ƒ
Definizione del modello tecnico ed organizzativo
ƒ
Obiettivi del SOC: il catalogo servizi
ƒ
Definizione dei Macro Processi
ƒ
Ruoli e responsabilità (RACI)
ƒ
Capability Maturity Model
ƒ
SOC Tecnology
Conclusioni
©2006 Symantec Confidential
Case Study: overview
Il cliente: missione e dimensioni
Dati Principali
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
Industry: Finance/Public Administration
Missione: erogazione di servizi IT per la gestione delle principali transazioni
economiche dello stato
Sede centrale: Roma
Utenti: oltre 40.000 sull’intero territorio nazionale
Fatturato: 351 milioni di Euro (bilancio 2004)
Dipendenti: 1.500
Principali servizi offerti verso terzi
ƒ
ƒ
ƒ
ƒ
Gestione infrastrutture di rete/sicurezza
Gestione postazioni utente (desktop e notebook)
Sviluppo ed esercizio della applicazioni
Integrazione di servizi
Dati principali infrastruttura IT:
ƒ
ƒ
ƒ
ƒ
3 Data Center principali ed 1 sito DR
Oltre 8.000 server open
4 sistemi dipartimentali
Oltre 40.000 postazioni (fisse e mobili)
©2006 Symantec Confidential
Challange e Customer needs
Obiettivi dell’Executive Management - Migliorare la gestione ed il
governo della sicurezza, assicurando:
ƒ Maggiore allineamento strategico con le necessità di business
ƒ Creazione di servizi a valore aggiunto (ROI)
ƒ Migliore gestione del rischio
ƒ Ottimizzazione delle risorse in uso (tecnologie e persone)
ƒ Migliore capacità di controllo e misurazione dei risultati
Obiettivi IT/Security Manager - Realizzare un Security Operations
Center, chiarendo:
ƒ Obiettivi ed aspettative
ƒ Requisiti e servizi
ƒ Principali processi interni
ƒ Struttura tecnica ed organizzativa
©2006 Symantec Confidential
Success factors
Definizione di un modello teorico-pratico iniziale
ƒ
Necessità di analizzare la struttura da prospettive diverse (servizi, organizzazione,
tecnologia, ecc)
ƒ
Analizzare le direttive e le best practices del settore
Integrazione con l’organizzazione esistente
ƒ
Armonizzare le funzioni del SOC con gli altri gruppi di gestione (ad esempio Security
Management, Operations, ecc)
ƒ
Condividere gli obiettivi e la strategia di sicurezza
Pianificazione degli investimenti nel medio e lungo termine (almeno tre anni)
ƒ
Attivare e rilasciare progressivamente i servizi, soprattutto in relazione alla
disponibilità del budget
ƒ
Valutare il rapporto costo/benefici ed il ROI (Return Of Investment)
Strumenti tecnologici
ƒ
Scegliere gli strumenti adatti ad automatizzare l’erogazione dei servizi, riducendo
l’impatto sull’organizzazione
Competenze ed esperienza
ƒ
Impiegare profili professionali specialistici, provenienti da esperienze analoghe
©2006 Symantec Confidential
La soluzione Symantec
Realizzare un Security Operations Center attraverso l’utilizzo dei principi
dell’IT/Security Governance
Customer Challange
• Effettuare gli investimenti
coerentemente alle necessità di
business
• Creare servizi a valore aggiunto,
facilmente rivendibili ai clienti
(ROI)
Value
Delivery
Performance
Measurement
Resource
Management
IT
Governance
• Aumantare il livello di sicurezza
dell’organizzazione
• Ottimizzare la gestione delle
risorse impiegate (tecnologie e
persone)
• Misurare la compliance e
l’andamento dei risultati raggiunti
©2006 Symantec Confidential
Strategic
Alignement
Risk
Management
La soluzione Symantec
Realizzare un Security Operations Center attraverso l’utilizzo degli
strumenti dell’IT/Security Governance
ƒ Obiettivi e servizi del SOC
ƒ Processi ed organizzazione
ƒ Ruoli e Responsabilità
ƒ Investimenti e ROI
ƒ Infrastruttura tecnologica
ƒ Risorse umane
ƒ Locali e contromisure di sicurezza
IT/Security
Governance
ƒ Controllo dei processi
ƒ Miglioramento dei processi
ƒ Compliance con gli obiettivi
ƒ Misurazione della sicurezza (KPI)
ƒ Esercizio sistemi ed applicazioni
ƒ Erogazione dei servizi
©2006 Symantec Confidential
Analisi della soluzione
Il Security Operations Center e l’IT Governance (1/2)
Il SOC è una struttura logica e fisica centralizzata che ha
l’obiettivo di:
ƒ Controllare in maniera proattiva l’infrastruttura di sicurezza,
soprattutto attraverso l’attività di monitoraggio e supervisione
dei dispositivi che forniscono protezione all’organizzazione
ƒ Prevenire e gestire efficacemente gli incidenti di sicurezza
ƒ Contribuire al governo ed alla gestione della sicurezza in
azienda, fornendo servizi, competenze e dati specifici relativi
all’andamento ed al comportamento dei sistemi di sicurezza
©2006 Symantec Confidential
Il Security Operations Center e l’IT Governance (2/2)
La realizzazione di un SOC ha un elevato impatto tecnico ed
organizzativo sui principali processi IT/Security dell’azienda
L’utilizzo degli strumenti di IT Governance consentono di definire
un modello teorico-pratico in grado di:
ƒ Recepire le principali normative, direttive e best practice del settore
ƒ Definire con chiarezza gli obiettivi e le aspettative del SOC
ƒ Definire e riconoscere i compiti istituzionali all’interno dell’organizzazione
ƒ Definire la struttura organizzativa, i ruoli, le responsabilità, i principali processi
ƒ Scegliere, implementare ed ottimizzare gli strumenti tecnologici più idonei
ƒ Valutare i benefici economici, l’evoluzione della struttura ed il ritorno degli
investimenti (ROI)
©2006 Symantec Confidential
Security Operation Center:
definizione del modello tecnico ed organizzativo
IT/Security
Governance
Techical
Techical
Infrastructure
Infrastructure
Catalogo
Catalogo Servizi
Servizi
(COBIT
(COBIT 4.0,
4.0,
ISO
17799:2005,
ISO 17799:2005, CSIRT
CSIRT
CMU-HB001,
CMU-HB001, HB002,
HB002,
CSIRT
CSIRT CMU-TR015,
CMU-TR015,
NIST
NIST SP
SP 800-61,
800-61,
ISO
18044,
ISO 18044, etc
etc
(ISO
(ISO 17799:2005,
17799:2005, NIST
NIST
SP
SP 800-61,
800-61, CSIRT
CSIRT CMUCMUTR015,
TR015, ISO
ISO 18044,
18044, ISF
ISF
IM
IM v07,
v07, etc.)
etc.)
SOC
SOC
Organization
Organization
((COBIT
COBIT 4.0,
4.0,
ISO
17799:2005,
ISO 17799:2005, ISO
ISO
1335:2004,
1335:2004, etc.)
etc.)
Standard & Best Practice
di riferimento
SOC
Macro-Processi
Macro-Processi
(COBIT
(COBIT 4.0,
4.0,
ISO
ISO 17799:2005,
17799:2005, ITIL,
ITIL,
etc.)
etc.)
Ruoli
Ruoli ee
Responsabilità
Responsabilità
(RACI
(RACI -- COBIT
COBIT 4.0,
4.0, ISO
ISO
17799:2005,
17799:2005, etc)
etc)
©2006 Symantec Confidential
Capability
Capability
Maturity
Maturity
Model/ROI
Model/ROI
(ISO
(ISO 21827,
21827, COBIT
COBIT 4.0,
4.0,
ISM3)
ISM3)
Value
Delivery
Performance
Measurement
Managing
Advisoring
Monitoring
Obiettivi del SOC: catalogo servizi
Resource
Management
IT
Governance
Risk
Management
Strategic
Alignement
ƒ Monitoring. Servizi/processi che hanno
una connotazione principale in termini di
controllo e supervisione della sicurezza.
Tipicamente tali compiti sono svolti dal
personale interno al SOC.
ƒ Advisoring. Servizi di consulenza e/o
notifica rivolti prevalentemente verso
strutture esterne al SOC (sia divisioni
interne all’azienda, che clienti o terze
parti). Utili a fornire informazioni sui
livelli di sicurezza o in generale
sull’andamento delle minacce esterne
(diffusione di worm, vulnerabilità, exploit,
ecc)
ƒ Managing. Servizi rivolti alla gestione
operativa e strategica della sicurezza.
©2006 Symantec Confidential
Descrizione dei Servizi (estratto)
Di seguito è illustrato il significato di ciascun servizio, con i quali il SOC interagisce. La
descrizione chiarisce il ruolo del SOC nell’erogazione di questi servizi:
ƒ
Real Time Device Monitoring: controllo in tempo reale dell’infrastruttura di sicurezza,
mediante l’utilizzo di strumenti specifici in grado di individuare potenziali violazioni o attività
sospette
ƒ
Vulnerability Assessment: ricerca delle vulnerabilità su reti, sistemi ed applicazioni COTS,
condotta mediante l’utilizzo di strumenti automatici
ƒ
Security Intelligence: analisi delle ultime informazioni tecniche relative alle minacce, alle
vulnerabilità ed all’andamento della sicurezza nel mondo
ƒ
Penetration Test: verifica del livello di sicurezza delle applicazioni mediante l’utilizzo di
tecniche, strumenti e metodiche in grado di violare la sicurezza del sistema
ƒ
Alerting & Warning: servizio di notifica di eventi che evidenziano potenziali pericoli o
informazioni rilevanti ai fini della sicurezza (e.g. bollettini, comunicati, ecc)
ƒ
Security Audit: supporto alle attività di verifica periodica dell’effettiva applicazione delle
impostazioni di sicurezza per l’accesso ai dati e/o alle funzioni applicative (e.g. verifica needto-know, user rights, least privilege). Verifica periodica e/o a richiesta, dell’utilizzo delle
risorse (dati e applicazioni) da parte degli utenti.
ƒ
Policy Compliance: supporto alla verifica dei livelli di conformità dei sistemi rispetto alle
politiche di sicurezza, effettuata anche mediante ausilio di strumenti specifici
©2006 Symantec Confidential
Value
Delivery
Performance
Measurement
Definizione dei Macro-Processi
Resource
Management
IT
Governance
Risk
Management
Strategic
Alignement
I servizi individuati in precendenza sono stati raggruppati nei seguenti processi
principali (Macro Processi), necessari a chiarire le interazioni esistenti tra i
servizi stessi:
ƒ Monitoring & Advisoring: processo di controllo e supervisione continuativa
dello stato della sicurezza, allo scopo di rilevare e comunicare prontamente le
tendenze, le anomalie riscontrate ed intraprendere le necessarie azioni
correttive. Molti servizi di questa categoria sono di stretta pertinenza del SOC
ƒ Incident Handling: processo di rilevazione, contrasto/contenimento, ripristino
ed eventuale indagine degli incidenti informatici. Generalmente effettuato
mediante la collaborazione attiva del SOC
ƒ Security Managing: processo di gestione e governo della sicurezza aziendale,
nel quale il SOC collabora principalmente come organismo di ausilio nel controllo
e nella ricerca del miglioramento continuo
©2006 Symantec Confidential
Tavole dei processi (esempio)
P1. Monitoring & Advisoring
S1.1 Real Time Device Monitoring
Standard/linee guida di riferimento:
¾ ISO/IEC 27001:2005 (A. 10.10)
Obiettivo: controllare in tempo reale l’infrastruttura di sicurezza, mediante l’utilizzo di ¾ COBIT 4.0
¾ CSIRT CMU HB-002
strumenti specifici in grado di individuare potezionali violazioni o attività sospette
¾ CSIRT CMU-TR-015
¾ ISF-IMCapability.V0.7
Dipendenze servizi/macro-processi
Dipendenze funzioni aziendali
Input
Output
Input
Output
(S1.3) - Security Intelligence
(S1.2) - Vulnerability Assessment
(S1.6) - Performance Monitoring
(S1.7) - Fault Monitoring
(S1.9) - Alerting & Warning
(S1.12) - Event Data Retention
(P2) - Incident Handling Process
System & Network
Customer Service
Security Management
Operations
N.A.
SOC Task
¾ Superivisionare in tempo reale gli eventi prodotti dai dispositivi di sicurezza attivi, ovvero gli audit log (Firewall, IDS/IPS,
Antivirus, ecc.)
¾ Analizzare attentamente gli allarmi generati dai dispositivi di sicurezza ed intraprendere una risposta per gli allarmi che
dovessero superare predeterminate soglie
¾ Attivare gli opportuni meccanismi di allerta in accordo con le procedure definite e le strategie di escalation
©2006 Symantec Confidential
<Function>
©2006 Symantec Confidential
Value
Delivery
Performance
Measurement
RACI Model (Responsibility Charting)
La tecnica RACI stabilisce, per l’erogazione di ogni servizio, i ruoli e le responsabilità. Identificati i
servizi ed i ruoli aziendali che li eseguono, si assegnano le responsabilità, scelte fra le seguenti:
ƒ
Responsible: colui che detiene il problema.
Spesso coincide con il principale esecutore
dell’attività.
ƒ
Accountable: colui che ha il compito di
approvare l’operato svolto.
ƒ
Consulted: coloro che devono essere
consultati per l’esecuzione dell’attività, in
accordo con quanto stabilito dalle politiche
aziendali ed in relazione alle informazioni e/o
competenze specifiche di cui dispongono
ƒ
Informed: colori i quali devono essere
informati dello svolgimento dell’attività o dei
risultati della stessa
©2006 Symantec Confidential
Resource
Management
IT
Governance
Strategic
Alignement
Risk
Management
Funzioni aziendali della RACI
Sono state individuate, oltre al Security Operation Center, le funzioni aziendali tipiche che
intervengono nella gestione della sicurezza:
ƒ
Network & System: divisione responsabile della progettazione ed implementazione delle
architetture di sistema e delle infrastrutture di rete
ƒ
Operation: divisione responsabile dell’esercizio dei sistemi e delle operazioni di
manutenzione ordinaria (e.g. backup, SLA)
ƒ
Security Management: funzione responsabile delle strategie di sicurezza, dell’emissione
delle politiche di sicurezza ed in generale della Security Governance
ƒ
Application Development: funzione responsabile della progettazione, sviluppo ed
aggiornamento delle applicazioni
ƒ
Customer Service: funzione responsabile dell’interfaccia verso i clienti
ƒ
Legal Issue: funzione responsabile degli aspetti legali (requisiti normativi, forense, ecc)
ƒ
Public Relation: funzione responsabile dei rapporti istituzionali con entità esterne (Media,
Clienti, ecc)
ƒ
Human Resource: funzione responsabile della gestione del personale
©2006 Symantec Confidential
&
Sy
ra
st
tio
em
Se
n
cu
rit
y
A
M
pp
lic ana
ge
at
C
m
us ion
en
to
D
t
ev
m
er
Le
el
op
ga
Se
m
lI
rv
en
ic
Pu ssu
t
es e
bl
ic
R
H
um ela
an tion
R
es
ou
rc
e
k
Funzioni
O
pe
SO
C
et
w
or
Servizi
N
Proactive Security
Services
Monitoring
Real Time Device Monitoring
Vulnerabilty Assessment
Penetration Test
Security Audit
Security Intelligence
Performance Monitoring
Fault Monitoring
Policy Compliance
RA
RA
RA
C
RA
I
I
C
C
I
I
RA
RA
RA
I
I
I
I
I
I
A
A
RA
RA
C
RA
A
C
R
R
C
I
I
I
I
I
RA
C
R
RA
RA
A
RA
Advisoring
Alerting & Warning
Technical Reporting
Security Hotline
I
I
I
I
I
I
I
I
I
Managing
Security Device Configuration
Security Device Maintenace
Policy Management
Policy Enforcement
Patch Management
Event Data Retention
EndPoint Security
Hardening
R
C
R
R
C
I
A
C
I
A
©2006 Symantec Confidential
Capability Maturity Model
Initial
Aware
Defined
Managed
Optimizing
Capability
Security
Management
Incident
Handling
Proactive
Security
Maturity
©2006 Symantec Confidential
Value
Delivery
Performance
Measurement
Organizzazione del SOC
IT
Governance
Strategic
Alignement
SOC Organization
Primary/Secondary
Enabler Services
SOC Manager
Managing
Monitoring &
Advisoring
Resource
Management
Incident
Handling
Operator 1
Operator 4
Analyst 3
(a.i Team Leader)
Operator 2
Analyst 2
( a.i Team Leader )
Analyst 2
Operator 3
Analyst 1
( a.i Team Leader )
©2006 Symantec Confidential
Risk
Management
Ruoli e responsabilità interne (RACI)
Value
Delivery
Performance
Measurement
Resource
Management
IT
Governance
at
o
na r
ly
IH
st
A
na
ly
st
A
M
M
O
pe
r
to
r
A
na
l
pe
ra
O
M
A
M
A
ys
t
Strategic
Alignement
Proactive Security
Services
Monitoring
Real Time Device Monitoring
Vulnerabilty Assessment
Penetration Test
Security Audit
Security Intelligence
Performance Monitoring
Fault Monitoring
Policy Compliance
R
R
I
R
I
R
R
R
A
A
RA
A
RA
A
A
A
R
C
R
A
RA
A
R
A
Advisoring
Alerting & Warning
Technical Reporting
Security Hotline
C
Managing
Security Device Configuration
Security Device Maintenance
Policy Management
Policy Enforcement
Patch Management
Events Data Retention
End Point Security
Hardening
R
I
R
RA
RA
RA
A
R
A
RA
A
RA
©2006 Symantec Confidential
I
Risk
Management
IT
Governance
Risk
Management
SI
M
SI
M
SI
M
R
Strategic
Alignement
SI
M
Performance
Measurement
Resource
Management
ep
or
tin
D
g
B
T
Value
Delivery
oo
l
In
ci
Tr
de
ou
nt
bl
M
e
an
Se
Ti
ag
ck
cu
em
et
rit
en
EP y D ing
tT
e
Se
vi
oo
ce
cu
l
Se
rit
cu
y
So
rit
l
y
H
Sc utio
ac
an
n
ki
n
ne
Sy g T
r
o
st
em ols
/N
TV
et
M
w
or
k
N
Lo
et
w
gs
or
k/
Sy
Sy
st
em ste
m
Po
In
M
te
lic
an
gr
e
ag
ity
Po Co
e
T
m
oo me
lic
p
nt
lia
y
l
nc
Fo Ma
e
n
re
To
ns age
o
m
ic
In
en l
To
te
tT
rn
ol
oo
et
s
l
SOC Technology
Monitoring
RT Device Monitoring
Vulnerability Assessment
Penetration Test
Security Audit
Security Intelligence
Performance Monitoring
Fault Monitoring
Policy Compliance
Advisoring
Alerting & Warning
Technical Reporting
Security Hotline
Managing
Security Device Configuration
Security Device Maintenance
Policy Management
Policy Enforcement
Patch Management
Event Data Retention
End Point Security
Hardening
©2006 Symantec Confidential
Conclusioni
La realizzazione di un SOC nell’ottica dell’IT Governance consente di:
ƒ Ridurre la complessità progettuale e realizzativa del progetto
ƒ Allinearsi agli obiettivi ed alle strategie degli stakeolder
ƒ Produrre servizi a valore aggiunto, massimizzando il ROI
ƒ Armonizzare i servizi all’interno dell’organizzazione IT, integrandoli con le
altre entità aziendali
ƒ Ottimizzare le risorse e le tecnologie già in uso
ƒ Misurare il livelli di maturità dei processi e della sicurezza (security
dashboard)
ƒ Aumentare l’efficienza legata alla gestione della sicurezza
Value
Delivery
Performance
Measurement
Resource
Management
IT
Governance
Strategic
Alignement
©2006 Symantec Confidential
Risk
Management
Grazie
[email protected]
Cell. +39335/1860905
Advisory Practice Manager
Symantec Consulting Services