Atelier Tecnologia e competenze: la ricetta vincente per la cybersecurity 25 Febbraio 2021 11.00-12.00 - Streaming Edition
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Atelier
Tecnologia e competenze: la ricetta vincente per la cybersecurity
Mauro Cicognini, Direttivo Clusit
Giovanni Giovannelli, Senior Sales Engineer, Sophos
25 Febbraio 2021 11.00-12.00 – Streaming Edition
#securitysummit #academy #streamingedition
Agenda
• “Technology is not enough”
• Contro cosa proteggersi?
• Come fare? Slide di sfondo
• Testo editabile
Managed Threat Response
2
Mauro Cicognini
Slide di sfondo
Membro del Comitato Direttivo, CLUSIT
Testo editabile
3
TechnologySlide
is notdienough
sfondo
Testo editabile
4
Com’è la situazione nella cybersecurity?
◼ Si percepisce molta
insoddisfazione
◼ Alti livelli di stress
◼ Evidentemente rimane ilSlide di sfondo
dubbio di avere fatto tutto il
◼
possibile
Ma come si può esserne
Testo editabile
certi?
◼ Non è che forse mancano
dei parametri oggettivi?
5
Nessuno misura, e il CISO ne fa le spese
◼ Non c’è evidenza nell’industria di KPI
uniformi e largamente accettati
◆ Il settore è evidentemente immaturo
◼ Laddove le misure ci sono,
Slide di sfondo
generalmente si riesce ad adottare un
programma per rispettarle
◼ Ciononostante, gli incidenti succedono
◼
e succederanno sempre
Testo editabile
Gli eventi dannosi non sono molto
frequenti, ma quando avvengono
possono essere devastanti
◆ Soprattutto per il CISO, che spesso
perde il posto…
6
Nella vita reale…
◼ Chi, guidando un’auto, non ha avuto
almeno un piccolo guasto o un piccolo
incidente??
Licenziamo il manager della flotta
◼
Slide di sfondo
perché un utilizzatore non ha
rispettato uno stop??
◆
Testo editabile
Nella vita reale, non immaginiamo
mai di avere protezione al 100%
◼ Come rimediamo?
→ Mix di prevenzione e pronto intervento
→ Molte competenze diverse in azione
7
Tecnologia, panacea di tutti i mali??
◼ Nella vita normale, ci aspettiamo che la
tecnologia prevenga qualsiasi problema?
◆ In auto c’è il regolatore di velocità
adattivo, il lane assist, ecc.; le auto a
guida autonoma hanno algoritmi ancora
◆
più avanzati.
Slide di sfondo
Ciononostante, gli incidenti avvengono
ugualmente
◼
Testo editabile
Sia per colpa dell’utente umano, sia
dell’algoritmo di guida autonoma
Nella vita normale, ci aspettiamo che la
tecnologia intervenga istantaneamente??
◆ Possiamo immaginare un’automobile che
rilevi una collisione in arrivo, e dispieghi
enormi airbag sul lato dove l’altro veicolo
sta per impattare
◆ Ma è la soluzione giusta?
8
Incidenti dolosi
◼ La situazione che consideriamo più
spesso è analoga a quella di una banda
criminale che con il TIR sfonda le vetrine
della banca
◆
◆
Slide di sfondo
La mia banca aveva i vetri blindati ed
aveva messo delle panchine di cemento
armato a protezione delle vetrine
Aveva inoltre, ovviamente, una guardia
intervento in caso di eventi
particolarmente impattanti Testo editabile
giurata alla porta, ed un sistema di pronto
◼ Non solo i furti: si interviene per incendi,
eventi atmosferici, ecc.
→ Come sempre, un mix di tecnologia e
competenza multidisciplinare
9
Contro cosaSlide
proteggersi
di sfondo
Testo editabile
10Abbiamo tutti in mente gli APT e gli
Zero-Day
Nella realtà, gli APT puntano soprattutto agli obbiettivi grossi
Slide di sfondo
Testo editabile
11Gli Zero-Day costano un sacco, si usano solo se si guadagna molto
Slide di sfondo
Testo editabile
12La realtà misurata dal Rapporto Clusit
Malware
5% 2%
6%
Phishing e Social Engineering
11% Slide di sfondo Vulnerabilità note e SQL Injection
2020
Testo editabile
51%
Utenze compromesse
25% Tecniche multiple e APT
DDoS
Fonte: elaborazione propria su dati Rapporto Clusit Giugno 2020
13Qual è il fine degli attacchi?
Distribuzione attaccanti per mese 1H 2020
100%
90%
80%
70%
Slide di sfondo
60%
50%
40%
Testo editabile
30%
20%
10%
0%
Jan Feb Mar Apr May Jun
Cybercrime Espionage / Sabotage Hacktivism Information warfare
© Clusit - Rapporto 2020 sulla Sicurezza ICT in Italia - Aggiornamento Giugno 2020
14[…] gli attaccanti sono diventati sempre
più aggressivi ed organizzati, il che
consente loro di condurre operazioni su
scala sempre maggiore, con una logica
“industriale”, che prescinde sia da
vincoli territoriali che dalla tipologia dei
bersagli, puntando solo a massimizzare
il risultato.
(dal Rapporto ClusitGiugno 2020)
15Per sintetizzare:
• Gli attacchi informatici fanno parte della
quotidianità; dobbiamo convivere con essi
Slide di sfondo
• Vanno trattati come qualcosa che può succedere a
prescindere dai nostri sforzi
Testo editabile
→ prevenzione per quanto possibile, e contromisure
per quando qualcosa, malauguratamente, va storto
• La strategia è necessariamente complessa e
coinvolge persone, processi, e tecnologie
16Ma come possiamo
Slide di fare?
sfondo
Testo editabile
17Giovanni Giovannelli
Slide di sfondo
Senior Sales Engineer, Sophos
Testo editabile
1851% 73%
Delle aziende sono state colpite da attacchi Delle vittime da attacco ransomware hanno
ransomware nell’ultimo anno detto che i cybercriminali sono riusciti a cifrare i
dati
The State of Ransomware 2020, Sophos
19Per gli attacchi vengono usate diverse tattiche
Come è entrato il ransomware nell’azienda? # %
Download di file/email con link malevolo 741 29%
Attacco remoto su server 543 21%
Email con allegato infetto 401 16%
Configurazioni errate su istanze nei public cloud 233 9%
Attraverso Remote Desktop Protocol (RDP) 221 9%
Attraverso un fornitore 218 9%
Dispositivo esterno (p.es. USB) 172 7%
Altro 0 0%
Non so 9 0%
Totale 2,538 100%
Come ha fatto il ransomware a penetrare nella tua azienda? Domanda fatta a chi ha dichiarato che la propria azienda ha
subito un attacco ransomware nell’ultimo anno.
20https://shodan.io
2122
Le aziende mettono in campo soluzioni evolute
Endpoint
Protection
Email Network
Protection Protection
Mobile Server
Protection Protection
Cloud
Protection
23La reazione ad un attacco è troppo lenta
Mancanza di consapevolezza = Mancanza di urgenza
Gli attacchi avvengono in orari notturni/giorni festivi
Staff sottodimensionato o senza specifiche competenze
Team impegnati su un numero elevato di alert
24Avere visibilità massima
Capire la
superficie di
attacco
Determinare
Effettuare il
il punto di
backup dei
ingresso
dati
dell’attacco
Determinare
Raccogliere i
gli oggetti
log
persistenti
25Ransomware
Il furto di dati come mercato secondario
26PESI MASSIMI PESI WELTER
I target sono le grandi aziende I target sono la Pubblica
Enterprise Amministrazione e SMB
PESI PIUMA
I target sono computer
individuali ed utenti home
27Estorsione e pubblicazione dei dati
2829
TOOL USATI PER
L’ESFILTRAZIONE DEI DATI
• Total Commander
• Doppelpaymer
• REvil
• 7zip
• Clop • WinRAR
• Darkside • psftp
• Netwalker
• Ragnar Locker
• Windows cURL
• Conti
30Google
Drive
Amazon S3
SERVIZI DI
CLOUD STORAGE
USATI PER
L’ESFILTRAZIONE
DEI DATI
Mega.nz
Private FTP
servers
31Se vuoi andare veloce, vai da solo, ma se
vuoi andare lontano, vai in gruppo.
Proverbio Africano
32In fuga solitaria
34% 65%
Dice che la mancanza di personale Delle aziende già esternalizza alcuni/tutti gli
specializzato è il problema più grande aspetti della Sicurezza IT. È previsto che
questo valore cresca fino al 72% entro il
quando bisogna determinare la causa e
2022.
l’evoluzione di un attacco
ESG Cybersecurity: The Human Challenge
Sophos 2020 Survey su 5,000 IT Managers
33Human-led
Investigations
50%
Incident Servizi Threat
Delle aziende adotterà servizi MDR entro il Response Hunting
MDR
2025 (meno del 5% nel 2019).
Gartner Market Guide for
Managed Detection and Response Services*
Real-time
Monitoring
*26 Agosto 2020, Analisti: Toby Bussa, Kelly Kavanagh, Pete Shoard, John Collins, Craig Lawson, Mitchell Schneider 34Investire negli strumenti di investigazione
Andare a caccia di IoC e IoA
Aiutare gli analisti a localizzare gli asset compromessi
EDR
and
XDR
Aiutare a determinare la superficie di attacco
3536
Mind The Gap
37The Gap
BUONO MALEVOLO
[Permettere] [Bloccare]
38“Strumenti tradizionali”
BUONO MALEVOLO
[Permettere] [Bloccare]
39“Antivirus Next-Gen”
BUONO MALEVOLO
[Permettere] [Bloccare]
40BUONO MALEVOLO
[Permettere] [Bloccare]
41SCENARIO 1 SCENARIO 2 SCENARIO 3
Detect Detect Detect
Gli strumenti rilevano un Gli strumenti rilevano un Gli strumenti NON rilevano un
attacco o un comportamento attacco o un comportamento attacco o un comportamento
sospetto sospetto sospetto
Respond Respond Respond
Gli strumenti conoscono Gli strumenti NON conoscono
abbastanza dell’attacco o del Non viene rilevato nulla quindi
abbastanza dell’attacco o del non c’è nessun piano di
comportamento per comportamento per fare
remediation automatica remediation
intraprendere azioni correttive
automatiche
Gli analisti devono investigare per Gli analisti che fanno threat
confermare che la segnalazione hunting scoprono un nuovo IoC
sia realmente malevola
Gli analisti devono investigare
Gli analisti determinano quale per confermare che il nuovo IoC
Qui la maggior
piano di risposta intraprendere sia realmente malevolo
parte dei Servizi
e lo eseguono
MDR si fermano
Le azioni correttive condotte Gli analisti determinano quale
dagli analisti vengono piano di risposta intraprendere
trasformate in playbook per e lo eseguono
futura automazione
Le azioni correttive condotte
dagli analisti vengono
trasformate in playbook per
futura automazione
42Ma esattamente cosa si intende
per Threat Hunting?
4344
“Automated” Threat Hunting
45Lead-Driven Threat Hunting
+ +
46Lead-Less Threat Hunting
47Servizio completamente gestito 24/7/365
di threat hunting, rilevazione e risposta
agli attacchi fornito da un team
specializzato
48Modalità di interazione
Puoi scegliere il modo con cui il Team
MTR si deve interfacciare con te
Notify Collaborate Authorize
Notifica le rilevazioni effettuate Lavora insieme al team Gestisce in autonomia le
e fornisce i dettagli per aiutarti interno o a consulenti di operazioni per la
a mitigare e rispondere esterni per rispondere neutralizzazione dell’attacco
all’attacco velocemente ed e la messa in sicurezza
efficacemente all’attacco dell’infrastruttura e notifica
ciò che è stato effettuato
49Due livelli di servizio
Standard Advanced
Azioni di risposta agli attacchi Leadless Threat Hunting
24/7 Lead-Driven Threat Hunting Contatto dedicato per la risposta alle minacce
Rilevazione degli attacchi attivi Supporto diretto e dedicato
Controllo dello stato di integrità dell’infrastruttura Scheduled Ops Reviews
Report delle attività Miglioramento proattivo delle condizioni del sistema
Asset Discovery
Connettori MTR
50Esempio di report Settimanale
51Esempio di report Mensile
52Domande? Slide di sfondo
Testo editabile
53Grazie per l’attenzione!
Slide di sfondo
Testo editabile
54Puoi anche leggere
