Nanni Giampiero - Symantec
Transcript
Nanni Giampiero - Symantec
La cyber-security per l’infrastruttura energetica Giampiero Nanni Strategia Settore Pubblico EMEA, Symantec We protect the world’s people and information Global Intelligence Network Identifies more threats, takes action faster & prevents impact Calgary, Alberta Dublin, Ireland San Francisco, CA Mountain View, CA Culver City, CA Austin, TX Reading, UK Tokyo, Japan Herndon, VA Chengdu, China Chennai, India Taipei, Taiwan Pune, India Sydney, Australia Worldwide Coverage Global Scope and Scale 24x7 Event Logging Rapid Detection Attack Activity Malware Intelligence Vulnerabilities • 69.7M sensors • 190+ countries • 180M+ client, server, gateways monitored • Global coverage • 60,000+ vulnerabilities • 15,000 vendors • 105,000 technologies Preemptive Security Alerts Information Protection Fraud • 5M decoy accounts • 8B+ email messages/day • 1B+ web requests/day Threat Triggered Actions "L'innovazione tecnologica è la chiave per affrontare, per esempio, la questione della pubblica amministrazione e la questione energetica". (Matteo Renzi - Presentazione alle Camere del Semestre Italiano di Presidenza Europea, 24 Giugno 2014) 3 L’evoluzione della Smart Grid Trasformazione Problematiche • Nuovi benefici e nuovi rischi: sistemi di comando piu` potenti ma opportunita` di attacco in crescita • Enormi quantita` di dati generati, che devono essere: • Gestiti in modo efficiente • Protetti, anche in termini di privacy • A prova di audit e compliance • Operazioni complesse su sistemi sempre piu` complessi che gestiscono decine di milioni di Smart Meter e dispositivi SCADA • La piu` significativa negli ultimi 100 anni nel campo dell’energia • La Smart Grid ha un impatto sulle utilities, sui processi industriali sulle telco, e sulle politiche energetiche e governative • Necessita` di allineare IT con OT/SCADA (Operational Technology/Supervisory Control and Data Acquisition) La rete elettrica diventa una rete IT/IP Minacce • Gli “Smart Meter” in quanto dotati di indirizzo IP sono vulnerabili, e quindi porte di entrata per attacchi piu` diffusi all’intera rete. • Accademici pubblicano “istruzioni” per attaccare una sottocentrale di Paese “nonamico” che causi poi effetto domino su tutta la rete nazionale • Sistemi SCADA basati su Windows sono stati bersaglio di attacchi di alto profilo in tempi passati e attuali (Da Stuxnet a Dragonfly) 4 Le problematiche dell’industria energetica Cyber Security Complessita` Operative Rete Elettrica Esplosione dei Dati Rete IT/IP Insider Risk Privacy Dati Distribuiti Legislazione e Compliance e.g.20-20-20 Affidabilita` Visibilita` e Trasparenza 5 5 Attacchi recenti nell’industria energetica GAUSS HEAT MAP Recent Energy Industry Attacks 6 Dragonfly: Una “spia” nel settore energia • Opera prevalentemente nel settore energetico in N. America/Europa. • Symantec ha monitorato l'attività del gruppo, che abbiamo chiamato Dragonfly, e che e` attivo dal 2011. • Molto sofisticato tecnicamente, con un’impronta state-sponsored, e time-stamp Est Europeo (che potrebbe essere fittizio) • Sulle orme di Stuxnet: prende di mira le organizzazioni che utilizzano sistemi di controllo industriale (ICS). • Dispone di risorse adeguate, ed e` in grado di utilizzare diversi metodi per infiltrarsi in varie organizzazioni in tutto il mondo. • Obiettivo principale lo spionaggio, ma il passo e` breve per arrivare al sabotaggio dagli effetti devastanti • Utilizza malware e strumenti di accesso remoto che consentono di accedere e controllare i computer infetti, rubare passwords, eseguire screenshot, catalogare file, etc. • Un sofisticato sistema di distribuzione del malware basato su tre metodi principali: e-mail infette, watering holes (siti web compromessi), malware inserito in pacchetti software di terze parti piu` vulnerabili. La Cyber-security al centro dell’agenda legislativa EU • Perche’? • Incidenti occorsi • IT come mezzo di crescita economica • Preoccupazioni costanti e crescenti • EU: Strategia e Direttiva Cyber-security • Agenda Digitale • Legislazione contro Cybercrime • Data protection • Privacy prima di tutto Direttiva NIS Network and Information Security • I governi EU sono tenuti ad approntare sistemi nazionali di cyber-security • Creazione ed equipaggiamento di CERT nazionali (Computer Emergency Readiness Team) • Strategie nazionali di Cybersecurity • Creazione di Autority responsabili • Information sharing • Operatori dell’infrastruttura critica • Sviluppo di strategie di gestione rischi, soggette alla supervisione e audit delle autority • Obbligo di denuncia di episodi di compromissione di cyber-security • Obbligo di condivisione di informazione • Stato attuale • In discussione al Parlamento Europeo e al Consiglio d’Europa – Attivo ~18 mesi dopo l’approvazione 9 Quale approccio? Ripensare le strategie nazionali di sicurezza e difesa • Info-sharing • Threat mitigation • Incident response Protocolli di cooperazione tra Governi e gestori di infrastruttura critica • Intelligence driven • Dynamic and mobile • Process and people driven Infosec non e` piu` solo AV e firewall Necessita` di investire in: • Intelligence • Capacita` operazionali e di risposta • Creazione di cultura della sicurezza Quali informazioni e infrastrutture sono da proteggere in maniera prioritaria Valutare e comprendere il valore dell’informazione • Direct impact on the lives of citizens • Direct impact on the operations of government • Accidental loss and Open Source Intelligence •Resilience and continuity of operations •Educate the users Vincoli economici Information sharing • Se ne riconoscono i benefici reciproci ma anche le limitazioni… • • • • Reciprocita` non automatica Mancanza di chiarezza legale Mancanza di strutture e protocolli Questioni di fiducia • Stabilire modelli efficaci di PPP (Public-Private Partnership) con chiari obiettivi operativi e delimitazioni 11 Come Symantec coopera con i Governi? • Oltre a fornire tecnologia….. • Participazione in PPP e gruppi infosharing nazionali • Contributi di competenze strategiche per il legislatore (testimonianze, white papers, etc) • Cooperazione in programmi di educazione e sensibilizzazione • Partecipazione in comitati di esperti e gruppi di lavoro • Participazione in esercitazioni cyber • Participazione Ricerca & Sviluppo • ……………. 12 Progetto tipo Symantec Threat Monitoring and Protection • Information Security • Identificazione e gestione Incidenti di sicurezza • • • • • Minimizzare i costi di implementazione di un SOC (Security Operation Centre) Competenza e conoscenza dell’evoluzione delle minacce Identificazione minacce sulla base di regole e politiche locali e personalizzate Flessibilità architetturale e sul numero e tipologia dei sistemi sorgenti Security dashboard • Compliance • Aderenza a requisiti di standard e normative locali e internazionali • • • • Completezza del collezionamento Log Retention e integrità del dato Facilità di estensione del collezionamento a sorgenti custom e applicative Compliance dashboard con query e report personalizzabili Symantec Threat Monitoring 13 Conclusioni L’infrastruttura energetica e` iper-complessa e per questo iper-vulnerabile • Implementazioni eterogenee, necessita` di allineamento OT/SCADA-IT • Iperconnettivita`, Internet-of-Things, Big Data • Tecnologia e competenze avanzate • Eterogeneita` delle parti interessate e delle loro agende Attacchi informatici possono avere costi enormi, in certi casi difficilmente quantificabili • Vite umane • Perdita di dati o della loro integrita` • Perdite finanziarie • Perdita di reputazione e credibilita` Concepire (o adattare) l’infrastruttura informatica secondo i precetti cyber per la protezione e la resilienza • Organizzare i processi • Educare le persone • Acquisire intelligence • Adottare gli strumenti appropriati 14 To obtain a softcopy of the reports please contact me directly Thank you! Giampiero Nanni Public Sector Strategy EMEA, Symantec [email protected] Copyright © 2013 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. 15