Nanni Giampiero - Symantec

La cyber-security per l’infrastruttura energetica
Giampiero Nanni
Strategia Settore Pubblico EMEA, Symantec
We protect the world’s people and information
Global Intelligence Network
Identifies more threats, takes action faster & prevents impact
Calgary, Alberta
Dublin, Ireland
San Francisco, CA
Mountain View, CA
Culver City, CA
Austin, TX
Reading, UK
Tokyo, Japan
Herndon, VA
Chengdu, China
Chennai, India
Taipei, Taiwan
Pune, India
Sydney,
Australia
Worldwide Coverage
Global Scope and Scale
24x7 Event Logging
Rapid Detection
Attack Activity
Malware Intelligence
Vulnerabilities
• 69.7M sensors
• 190+ countries
• 180M+ client, server,
gateways monitored
• Global coverage
• 60,000+ vulnerabilities
• 15,000 vendors
• 105,000 technologies
Preemptive Security Alerts
Information Protection
Fraud
• 5M decoy accounts
• 8B+ email messages/day
• 1B+ web requests/day
Threat Triggered Actions
"L'innovazione tecnologica è la chiave per affrontare,
per esempio, la questione della pubblica
amministrazione e la questione energetica".
(Matteo Renzi - Presentazione alle Camere del Semestre Italiano di
Presidenza Europea, 24 Giugno 2014)
3
L’evoluzione della Smart Grid
Trasformazione
Problematiche
• Nuovi benefici e nuovi
rischi: sistemi di
comando piu` potenti
ma opportunita` di
attacco in crescita
• Enormi quantita` di dati
generati, che devono
essere:
• Gestiti in modo
efficiente
• Protetti, anche in
termini di privacy
• A prova di audit e
compliance
• Operazioni complesse su
sistemi sempre piu`
complessi che gestiscono
decine di milioni di
Smart Meter e
dispositivi SCADA
• La piu` significativa negli
ultimi 100 anni nel
campo dell’energia
• La Smart Grid ha un
impatto sulle utilities,
sui processi industriali
sulle telco, e sulle
politiche energetiche e
governative
• Necessita` di allineare IT
con OT/SCADA
(Operational
Technology/Supervisory
Control and Data
Acquisition)
La rete elettrica
diventa una
rete IT/IP
Minacce
• Gli “Smart Meter” in
quanto dotati di
indirizzo IP sono
vulnerabili, e quindi
porte di entrata per
attacchi piu` diffusi
all’intera rete.
• Accademici pubblicano
“istruzioni” per
attaccare una sottocentrale di Paese “nonamico” che causi poi
effetto domino su tutta
la rete nazionale
• Sistemi SCADA basati su
Windows sono stati
bersaglio di attacchi di
alto profilo in tempi
passati e attuali (Da
Stuxnet a Dragonfly)
4
Le problematiche dell’industria energetica
Cyber
Security
Complessita`
Operative
Rete
Elettrica
Esplosione
dei Dati
Rete IT/IP
Insider
Risk
Privacy
Dati
Distribuiti
Legislazione
e
Compliance
e.g.20-20-20
Affidabilita`
Visibilita` e
Trasparenza
5
5
Attacchi recenti nell’industria energetica
GAUSS
HEAT MAP
Recent Energy Industry Attacks
6
Dragonfly: Una “spia” nel settore energia
• Opera prevalentemente nel settore energetico in N. America/Europa.
• Symantec ha monitorato l'attività del gruppo, che abbiamo chiamato
Dragonfly, e che e` attivo dal 2011.
• Molto sofisticato tecnicamente, con un’impronta state-sponsored, e
time-stamp Est Europeo (che potrebbe essere fittizio)
• Sulle orme di Stuxnet: prende di mira le organizzazioni che utilizzano
sistemi di controllo industriale (ICS).
• Dispone di risorse adeguate, ed e` in grado di utilizzare diversi metodi
per infiltrarsi in varie organizzazioni in tutto il mondo.
• Obiettivo principale lo spionaggio, ma il passo e` breve per arrivare al
sabotaggio dagli effetti devastanti
• Utilizza malware e strumenti di accesso remoto che consentono di
accedere e controllare i computer infetti, rubare passwords, eseguire
screenshot, catalogare file, etc.
• Un sofisticato sistema di distribuzione del malware basato su tre
metodi principali: e-mail infette, watering holes (siti web
compromessi), malware inserito in pacchetti software di terze parti
piu` vulnerabili.
La Cyber-security al centro dell’agenda legislativa EU
• Perche’?
• Incidenti occorsi
• IT come mezzo di crescita economica
• Preoccupazioni costanti e crescenti
• EU: Strategia e Direttiva Cyber-security
• Agenda Digitale
• Legislazione contro Cybercrime
• Data protection
• Privacy prima di tutto
Direttiva NIS Network and Information Security
• I governi EU sono tenuti ad approntare
sistemi nazionali di cyber-security
• Creazione ed equipaggiamento di CERT nazionali
(Computer Emergency Readiness Team)
• Strategie nazionali di Cybersecurity
• Creazione di Autority responsabili
• Information sharing
• Operatori dell’infrastruttura critica
• Sviluppo di strategie di gestione rischi, soggette
alla supervisione e audit delle autority
• Obbligo di denuncia di episodi di
compromissione di cyber-security
• Obbligo di condivisione di informazione
• Stato attuale
• In discussione al Parlamento Europeo e al
Consiglio d’Europa – Attivo ~18 mesi dopo
l’approvazione
9
Quale approccio?
Ripensare le strategie
nazionali di sicurezza
e difesa
• Info-sharing
• Threat mitigation
• Incident response
Protocolli di
cooperazione tra
Governi e gestori di
infrastruttura critica
• Intelligence driven
• Dynamic and
mobile
• Process and people
driven
Infosec non e` piu`
solo AV e firewall
Necessita` di investire in:
• Intelligence
• Capacita` operazionali e di risposta
• Creazione di cultura della sicurezza
Quali informazioni e
infrastrutture sono da
proteggere in maniera
prioritaria
Valutare e
comprendere il
valore
dell’informazione
• Direct impact on
the lives of
citizens
• Direct impact on
the operations of
government
• Accidental loss and Open
Source Intelligence
•Resilience and continuity
of operations
•Educate the users
Vincoli
economici
Information sharing
• Se ne riconoscono i benefici
reciproci ma anche le limitazioni…
•
•
•
•
Reciprocita` non automatica
Mancanza di chiarezza legale
Mancanza di strutture e protocolli
Questioni di fiducia
• Stabilire modelli efficaci di PPP
(Public-Private Partnership) con
chiari obiettivi operativi e
delimitazioni
11
Come Symantec coopera con i Governi?
• Oltre a fornire tecnologia…..
• Participazione in PPP e gruppi infosharing nazionali
• Contributi di competenze
strategiche per il legislatore
(testimonianze, white papers, etc)
• Cooperazione in programmi di
educazione e sensibilizzazione
• Partecipazione in comitati di esperti
e gruppi di lavoro
• Participazione in esercitazioni cyber
• Participazione Ricerca & Sviluppo
• …………….
12
Progetto tipo
Symantec Threat Monitoring and Protection
• Information Security
• Identificazione e gestione Incidenti di sicurezza
•
•
•
•
•
Minimizzare i costi di implementazione di un SOC (Security Operation Centre)
Competenza e conoscenza dell’evoluzione delle minacce
Identificazione minacce sulla base di regole e politiche locali e personalizzate
Flessibilità architetturale e sul numero e tipologia dei sistemi sorgenti
Security dashboard
• Compliance
• Aderenza a requisiti di standard e normative locali e
internazionali
•
•
•
•
Completezza del collezionamento
Log Retention e integrità del dato
Facilità di estensione del collezionamento a sorgenti custom e applicative
Compliance dashboard con query e report personalizzabili
Symantec Threat Monitoring
13
Conclusioni
L’infrastruttura energetica e` iper-complessa e per questo iper-vulnerabile
• Implementazioni eterogenee, necessita` di allineamento OT/SCADA-IT
• Iperconnettivita`, Internet-of-Things, Big Data
• Tecnologia e competenze avanzate
• Eterogeneita` delle parti interessate e delle loro agende
Attacchi informatici possono avere costi enormi, in certi casi difficilmente quantificabili
• Vite umane
• Perdita di dati o della loro integrita`
• Perdite finanziarie
• Perdita di reputazione e credibilita`
Concepire (o adattare) l’infrastruttura informatica secondo i precetti cyber per la
protezione e la resilienza
• Organizzare i processi
• Educare le persone
• Acquisire intelligence
• Adottare gli strumenti appropriati
14
To obtain a softcopy of the reports please contact me directly
Thank you!
Giampiero Nanni
Public Sector Strategy EMEA, Symantec
[email protected]
Copyright © 2013 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in
the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied,
are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
15