12 ottobre 2017
Alessandro Trivilini,
Responsabile del Laboratorio
informatica forense del Dip. Tecnologie innovative SUPSI
Opening
About us
Sinergy ICT Solutions SA is part of the Sinergy SpA Group.Thanks to a Service Team of more than 70 qualifiedprofessionals and consolidated methodologies, our Groupoffers best of breed technologies and “full life cycle”Advisory, Design, Implementation, Integration,Governance and Management Services.
Our Vision
Founded in 1994 as ICT Integrator, Sinergy has a strong technology
focus. Over the years the company improved implementationprocesses of IT solutions adopting proven methologies forData Center Automation.
In 2001 Sinergy understands that the ICT infrastructure must becomea "platform" at the service of the business lines. It’s relevant to havea partner at your side able to identify, thanks also to TechnologicalAdvisory services, the best solutions, and design, implement andmanage reliable infrastructure, suitable for customers needs.
Sinergy is the right partner to build the platform as a services,specialized in Consultancy, Design, Implementation andManagement of business-critical ICT infrastructure.
Mission
Storage
Security
Advisory
Our Approach
Customer Business NeedsIT &Security AdvisoryGap Analysis & RemediationPlanCompliance
Project PlanningIT Design, Transition & OperationSolution IntegrationDC TransformationPrivate Cloud
IT Service ManagementFlexible Managed ServicesIT & Security GovernanceNOC
3. MANAGED SERVICES1. ADVISORY 2. DESIGN & IMPLEMENTATION
VALUES
Approach with methodExcellence of tech specialistsTerritory CoverageMajor Vendors PartnershipEthical CodeVendor neutral
GUIDE LINES
QualityInnovationFreedom of JudgementReliabilityFinancial strengh
We make “The Dif ference”
Our Top Skil ls
S e r ve r & C l i e ntHyper Converged InfrastructureVirtualizationServer Linux/Unix & WindowsHigh availabilityWeb & thin-client architectureGrid computing & HPC
SO: Microsoft - Unix e LinuxMessaging & CollaborationData Base Solutions &VirtualizationSoluzioni CustomHybrid CloudCloud
S o f t wa reI nf ra st ru ttu ra leS e c u r i t y &
C o m p l ia n c ySecurity Assessment & Ethical HackingAdvanced Threat ProtectionCASB GovernanceData SecurityContent SecurityNetwork Security 2.0Application Delivery & SecurityStrong Authentication and Risk Based AccessData Privacy (GDPR)
AdvisoryProject Design & ImplementationSupport &Change ManagementEducationalManaged ServicesHybrid Cloud ServicesHelp Desk
S e r v i c e
Software Defined StorageEnterprise StorageBackup SolutionsDisaster RecoveryBusiness ContinuityE-mail & File ArchivingLong Term Retention
S to ra ge
Software Defined NetworkingLAN, WAN, WLAN SolutionsCabling & IP TelephonyBandwith Mng & ComprWireless solutions
N et wo r k in g
Sinergy’s Flexible Managed Services (FMS) are fixed and flexible services for infrastructuremanagement, to transform customers IT environment into a powerful business tool, improvingorganization productivity and making more reation on business changes.
Service DeskMonitoringControlFirst LevelSecond Level
Standard Approach and ITIL CompliantReliability and flexibility in one Technological
Partner
Flexible Managed Ser vices
FMS services Sinergy’s Values
More than 30Clienti customer
have ourservices
Network Operations Center
Monitoring and Support service is avaiable trought the NOC inTurin, ISO 9001 certified , 24h x 7d support for a few TopCompanies.
Server InfrastructureVirtualizationStorageData baseBackup NetworkingSecurity
Support Areas
647 monitoredSystem & 5057 monitored
services
Un approccio completo
alla Cyber Security:
aspetti organizzativi,
procedurali, tecnologici
Marco Ceccon,
Senior Advisor Sinergy
Data Governance
e Information Management:
come affrontare la sfida
Gianluigi Citterio,
Presales Manager e Technical
Account Manager Sinergy
Lo scenario attuale
Cyber Security: Le dimensioni del problema
15
I criminali informatici hanno superato sé stessi nel 2016, un anno caratterizzato da attacchi senza precedenti.Le peggiori previsioni si sono infatti avverate e la crescita delle casistiche di attacco è risultata esponenziale
Vanno evidenziati:• furti multimilionari ai danni del settore finance• chiari tentativi di interferenze con le elezioni politiche di superpotenze da parte di gruppi sponsorizzati da
governi nazionali• aumento della focalizzazione degli attacchi nei confronti di Cloud, IoT e Mobile
Symantec Internet Security Treat Report, Aprile 2017
Lo scenario attuale
Cyber Security: Le dimensioni del problema
16
Nuovi livelli di sofisticazione e
innovazione hanno segnato una radicale
evoluzione negli obiettivi degli attacchi
spostandosi dallo spionaggio industriale
ed economico al sabotaggio e alla
sovversione politica
Nel 2016 il ricorso all’utilizzo di malware sofisticato e evasivo rimane molto alto, anche seleggermente diminuito; in effetti gli obiettivi di sabotaggio e sovversione possono essere raggiuntianche con strumenti IT e Cloud più semplici
Symantec Internet Security Treat Report, Aprile 2017
17
Lo scenario attuale
Cyber Security: Le dimensioni del problema
Il sistema di posta elettronica ha costituitouna minaccia reale e tangibile per gli utenti:un messaggio su 131 conteneva malware, lapercentuale più alta in cinque anni. Inoltre,le truffe BEC (Business Email Compromise),che si basano sulla diffusione di e-mail dispear-phishing, hanno colpito oltre 400aziende al giorno, sottraendo oltre 3 miliardidi dollari negli ultimi tre anni
Le armi più efficaci che sono state utilizzate sono state l’utilizzo di strumenti NATIVI per scaricare Malware:ad esempio una combinazione di PowerShell, un comune linguaggio di scripting installato su PC, e file diMicrosoft Office. I criminali informatici hanno utilizzato questi due elementi per muoversi in modoindisturbato. Lo scorso anno, il 95% dei file PowerShell controllati da Symantec è risultato nocivo.
Symantec Internet Security Treat Report, Aprile 2017
L‘ e-mail diventa l'arma perfetta di attacco
18
Lo scenario attuale
Cyber Security: Le nuove frontiere del crimine
Symantec Internet Security Treat Report, Aprile 2017
Una crescente dipendenza dai servizi cloud crea vulnerabilitàper le organizzazioni. Nel 2016, sono state violate decine dimigliaia di informazioni memorizzate nel Cloud e, queste,spesso sono diventate oggetto di ricatto.
I CIO hanno perduto traccia del numero di app cloud chevengono utilizzate nelle loro organizzazioni: la loro ipotesi era40 quando in realtà il numero si avvicina a 1.000. L'accessoincontrollato e shadow IT costituisce un notevole rischio.
Il Cloud potrebbe diventare un luogo pericoloso; le vulnerabilità nell'infrastruttura cloud costituiscono laprossima frontiera del crimine informatico
Se i CIO non limiteranno l'utilizzo e l'accesso alle app cloud, gli aggressori non perderanno l'occasione disfruttare questi punti deboli nel cloud.
La risposta Sinergy
Metodologia – Classify, Locate, Search, Minimize, Protect, Monitor
CLASSIFY
LOCATE
SEARCHMINIMISE
PROTECT
MONITOR
La risposta Sinergy
Metodologia – Classify, Locate, Search, Minimize, Protect, Monitor
CLASSIFY
LOCATE
SEARCHMINIMISE
PROTECT
MONITOR
IM/DG Solutions
Metti sotto controllo e Gestisci l’accesso ai dati: come sono utilizzati e chi li accede
Advisory
Determina il livello di classificazione dei dati in termini di riservatezza, integrità, e disponibilità e di resilienza deisistemi di trattamento
IM/DG Solutions
Scopri dove sono i dati personali e sensibili e rendili visibili
IM/DG Solutions
Rendi I dati ricercabili secondo quanto definite nella fase di classificazione
Advisory, IM/DR, APT, CASB Solutions
Utilizza i report per controllare e tenere traccia di quanto succede
APT, CASB Solutions
Metti in protezione I dati e assegna le giuste policy di accesso
“
”— Gartner
Il volume dei Dati è destinato a
crescere del 800% nei prossimi
5 anni e l’80% di essi sono dati non strutturati.
Information Management & Data Governance
Una sfida che non possiamo perdere!
L’INFORMAZIONE E’ DIVENTATAL’ASSET PIU’ CRITICO…
Information Management & Data Governance
Una sfida che non possiamo perdere!
Key Finding #1
I dati hanno un tasso di crescita impressionante
Key Finding #2
Ci sono molti dati che non sono mai stati acceduti
Key Finding #3
Non conosciamo il contenuto delle
informazioni presenti nelle nostre aziende
33%
52%Dark Data
ROT
15%Clean
The PeopleGlobal Databerg Report
The DataData Genomics Index
Information Management & Data Governance
Dati Reali. Reali Problemi!
La maggior parte delle organizzazioni non ha idea di
quali informazioni siano presenti nei propri dati e de loro reale
valore con la probabilità di mantenere i dati
Problem 1
La maggiore parte delle organizzazioni non ha idea di
dove si trovino le informazioni sensibili e critiche, legate a compliance e/o riservatezza
con il risultato
Problem 2 Problem 3
La ricerca delle informazioni da parte delle organizzazioni
prende molto tempo , costo e generalmente manca di risultati significativi o ne
genera troppi oppure
Information Management & Data Governance
Partire dalla identificazione dell’informazione presente nei dati
PER SEMPRE DI NON CONOSCERE CHI ACCEDE A COSA
ENTRAMBE LE COSE
Information Management & Data Governance
Come affrontare la Sfida
Ottenere Visibilità| Esporre a rischio
Gain VisibilityRidurre l’esposizione con una corretta metodologia di Information Management & Data Governace
Intraprendere una Azione| Eseguire decisioni Assumere il Controllo| Garantire la Governance
CLASSIFY
LOCATE
SEARCHMINIMISE
PROTECT
MONITOR
Information Management & Data Governance
Definizione di Information Management (IM)
Approccio strutturato basato sull’utilizzo della tecnologia per raccogliere, elaborare e condensare le informazioni aziendali con l’obiettivo di ottenere una gestione efficiente di tutti i dati classificati.
Tale gestione ha lo scopo di ottenere piena visibilità sul ciclo di vita delle informazioni aziendali e, nei casi più avanzati, di rispondere a domande fondamentali in termini di Security e Compliance, come ad esempio:
– Where: Dove si trovano le informazioni (asset) e i dati aziendali?
– Who: Chi può accedervi?
– When: Quando è stato trattato o processato un determinate dato
– Why: Perchè è stato necessario trattare o processare il dato
– What: Quale trattamento o azione è stato compiuta su quel dato
L’IM/DG Marketplace è ancora in fase di evoluzione e include Vendor specializzati in specifici ambiti e altri che offrono svariate tecnologie tra le quali:
– Risk Information Management (RIM), Information Governance (IG), Enterprise Document Management (EDM), Enterprise Content Management (ECM)
– eDiscovery (Legal Holding)
– Information Security / Privacy / Data Loss Prevention (DLP)
– RIM / IG / EDM / ECM
– Data Archiving / Disaster Recovery (DR)
– Identity and Access Management (IAM)
– Business Intelligence (BI) / Decision Analysis
– Big Data Analytics
Information Management & Data Governance
The Information Management Marketplace
Use Case Description
Risk Mitigation Information Security Advisor e Risk Advisor sviluppano politiche e controlli per garantire l'accesso ai dati attraverso la classificazione delle informazioni secondo le esigenze di rischio, conformità e sicurezza della propria organizzazione.
Governance/Policy Management
La Gestione delle informazioni (IM) può aiutare nella classificazione dei dati, registrazione delle informazioni, conformità e analisi delle informazioni. In alcuni casi l’analisi dei dati e delle informazioni è anche usata come step iniziale per il processo di e-discovery.
Efficiency e Optimization
L'efficienza di una organizzazione si basa sulla fornitura ai propri utenti dei dati appropriati per mezzo di molteplici soluzioni che vanno dal File Sharing aziendali integrati con sistemi di File Analysis sino alle soluzioni di collaboration EFSS (Enterprise File Sync and Share) o SaaS, tra utenti e dispositivi e accessibili da qualsiasi luogo.
Analytics Raccogliere e Interpretare i dati all’interno della propria organizzazione in modo da fornire una corretta comprensione del valore di business delle informazioni con rilevazione di eventuali anomalie
Information Management & Data Governance
Alcuni Use Case
Audience / Buyer / Role Use Case(s)
Business Intelligence • Analytics
Chief Analytics Officers (CAOs) • Analytics
Chief Data Officers (CDOs) • Governance/Policy Management• Analytics
Chief Information Security Officers (CISOs) • Risk Mitigation
Data Architects • Governance/Policy Management• Efficiency and Optimization
Data Scientists • Analytics
Information Stewards • Governance/Policy Management
IT: security • Risk Mitigation
IT: storage, infrastructure and operations leaders • Efficiency e Optimization
Legal: general counsel, chief legal officer • Governance/Policy Management
Litigation: support e general forensics • Governance/Policy Management
Risk managers, compliance and privacy authors, auditors • Risk Mitigation
Information Management & Data Governance
General Audience / Buyers / Roles
• Active Navigation• Adlib Software• BeyondRecognition• Bloomberg• Controle• Cryptzone• Druva• Exterro• SailPoint• Titus
• HPE• IBM• ZL Technologies
• Capax Discovery• Data Global• Egnyte• Index Engines• Spirion• STEALTHbits• Varonis• Veritas
Source: Gartner: Market Guide
Governance/PolicyManagement
Risk Mitigation
Analytics
Efficiency/Optimization
• Kazoup
• Condrey• Haystac
Information Management & Data Governance
Representative Vendors
Information Management & Data Governance
Use Case
Migliorare la gestione dei dati
Ottenere la ConformitàProteggere I dati dai rischi
di sicurezza
• Identificare i dati orfani (senza un data owner) e ottimizzare l’unità
• Creare un modello di utilizzo basato sul concetto di «chargeback»
• Capire l’utilizzo dei dati e le modalità di consumo
• Gestire i custodian (custodi) che sono impegnati nella compliance
• Automatizzare la data access review
• Aderire alle linee guida per la conservazione dei dati
• Classificare i dati per adempiere agli obblighi normativi
• Trovare i dati con il massimo rischio di esposizione e bloccarli
• Audit ai dati storici, monitoraggio sull'utilizzo dei dati sensibili legati a compliance o critici per il business
Information Management & Data Governance
Use Case
Migliorare la gestione dei dati
Ottenere la ConformitàProteggere I dati dai rischi
di sicurezza
• Identificare i dati orfani (senza un data owner) e ottimizzare l’unità
• Creare un modello di utilizzo basato sul concetto di «chargeback»
• Capire l’utilizzo dei dati e le modalità di consumo
• Gestire i custodian (custody) che sono impegnati nella compliance
• Automatizzare la data access review
• Aderire alle linee guida per la conservazione dei dati
• Classificare i dati per adempiere agli obblighi normativi
• Trovare i dati con il massimo rischio di esposizione e bloccarli
• Audit ai dati storici, monitoraggio sull'utilizzo dei dati sensibili legati a compliance o critici per il business
Chargeback
Eliminare i dati orfani
Migliorare le operazioni di gestione
dei dati
• Identificazione dei data owners e mappatura a livello Business
•Responsabilizzare gli utenti / BU attraverso il modello di chargeback
• Identificare i dati obsoleti e orfani con classificazione delle informazioni in base ai Data Owner (proprietari)
• Indirizzare una linea guida per la pulizia, l’archiviazione, la protezione, e la retention dei dati
•Capire i modelli di utilizzo e consumo•Migliorare la modalità di migrazione dei dati, la pianificazione di crescita e il tiering basato su un modello di classificazione legato ad aspetti di sicurezza, conformità e disponibilità
Information Management & Data Governance
Use Case
Information Management & Data Governance
Use Case
Migliorare la gestione dei dati
Ottenere la ConformitàProteggere I dati dai rischi
di sicurezza
• Identificare i dati orfani (senza un dataowner) e ottimizzare l’unità
• Creare un modello di utilizzo basato sul concetto di «chargeback»
• Capire l’utilizzo dei dati e le modalità di consumo
• Gestire i custodian (custody) che sono impegnati nella compliance
• Automatizzare la data access review
• Aderire alle linee guida per la conservazione dei dati
• Classificare i dati per adempiere agli obblighi normativi
• Trovare i dati con il massimo rischio di esposizione e bloccarli
• Audit ai dati storici, monitoraggio sull'utilizzo dei dati sensibili legati a compliance o critici per il business
• Data owner identification• Data owner remediation
• Data monitoring e access alert
• Dati accessibili e risk score• Autorizzazioni efficaci
Discover
Monitor
Protect
• Identificare gli utenti, informarli• Proteggere con la Data Loss Prevention• Identificare i depositari delle informazioni per
impegnarsi nella la conformità
• Indagare su eventuali data breach (violazioni)• Monitoraggio sull'utilizzo del dati sensibili • Attività di audit sui dati
• Individuare i dati esposti a rischio e bloccarli• Controllo della conformità di accesso ai dati• Classificazione dei dati (ad esempio di tipo personale)
per evitare non conformità aziendali o normative
Information Management & Data Governance
Use Case
Information Management & Data Governance
Use Case
Migliorare la gestione dei dati
Ottenere la ConformitàProteggere I dati dai rischi
di sicurezza
• Identificare i dati orfani (senza un data owner) e ottimizzare l’unità
• Creare un modello di utilizzo basato sul concetto di «chargeback»
• Capire l’utilizzo dei dati e le modalità di consumo
• Gestire i custodian (custodi) che sono impegnati nella compliance
• Automatizzare la data access review
• Aderire alle linee guida per la conservazione dei dati
• Classificare i dati per adempiere agli obblighi normativi
• Trovare i dati con il massimo rischio di esposizione e bloccarli
• Audit ai dati storici, monitoraggio sull'utilizzo dei dati sensibili legati a compliance o critici per il business
• Dati Accessibili• Accesso non autorizzato• Violazione delle norme
• Proteggere i dati sensibili• Frequenza di accesso ai dati
• Determinare chi sta utilizzando i dati• Applicare specifiche politiche di
accesso al dato per tipologia di utente• Bloccare i dati sensibili data• Fornire l’accesso quando necessario
Fonte delle minacce Identificare i modelli di accesso
Individuare i dati a rischiComportamento dell'utente
Information Management & Data Governance
Use Case
Key driver:
– Risk e cost reduction
– Maggiore efficienza e usabilità dei dati critici aziendali
– Garantire la sicurezza delle informazioni
– Information governance and compliance
Key use case :
– Assessment, identification e discovery del contenuto dei dati
– Defensible disposition (messa in sicurezza dei dispositivi contenenti I dati sensibili)
– ROT Removal
– Identificazione e protezione dei dati sensibili
– Data inventory, pulizia, remediation e migration
– Miglioramento della governance, conformità e applicazione dei controlli
– Garantire monitoraggio continuo con reportistica adeguata all’interlocutore (tecnico o business)
Information Management & Data Governance
Drivers e Use Case
Information Management & Data Governance
Esempio Implementazione su piattaforma File Sharing – High Level Design
Information Management & Data Governance
Esempio Implementazione su piattaforma File Sharing - Technical Level
• Management Console
– Web-based GUI
– Central Query Engine
• Indexer
– Main Data Source
– Windows Service
• Collector
– Audit data collector
– File system crawler
• Highlights:
– Flexible deployment
– Query Performance
– Incremental Scan
– External Integration
File Servers
Collectors
Indexers
Self-service PortalManagement Console
CLASSIFY
LOCATE
SEARCHMINIMISE
PROTECT
MONITOR
Information Management & Data Governance
La Metodologia Sinergy
CLASSIFY
LOCATE
SEARCHMINIMISE
PROTECT
MONITOR
IM/DG Solutions
Metti sotto controllo e Gestisci l’accesso ai dati: come sono utilizzati e chi li accede
Advisory
Determina il livello di classificazione dei dati in termini di riservatezza, integrità, e disponibilità e di resilienza deisistemi di trattamento
IM/DG Solutions
Scopri dove sono i dati personali e sensibili e rendili visibili
IM/DG Solutions
Rendi I dati ricercabili secondo quanto definite nella fase di classificazione
Advisory, IM/DR, APT, CASB Solutions
Utilizza i report per controllare e tenere traccia di quanto succede
APT, CASB Solutions
Metti in protezione I dati e assegna le giuste policy di accesso
Information Management & Data Governance
La Metodologia Sinergy
CLASSIFY
LOCATE
SEARCHMINIMISE
PROTECT
MONITOR
IM/DG Solutions
Metti sotto controllo e Gestisci l’accesso ai dati: come sono utilizzati e chi li accede
Advisory
Determina il livello di classificazione dei dati in termini di riservatezza, integrità, e disponibilità e di resilienza deisistemi di trattamento
IM/DG Solutions
Scopri dove sono i dati personali e sensibili e rendili visibili
IM/DG Solutions
Rendi i dati ricercabili secondo quanto definite nella fase di classificazione
Advisory, IM/DR,
APT, CASB Solutions
Utilizza i report per controllare e tenere traccia di quanto succede
APT, CASB Solutions
Metti in protezione I dati e assegna le giuste policy di accesso
Information Management & Data Governance
La Metodologia Sinergy
CLASSIFY
LOCATE
SEARCHMINIMISE
PROTECT
MONITOR
Advisory
Necessario coinvolgimento delle varie unità di Business Process Owner Data Owner
Classificare i dati in termini di:• Riservatezza• Integrità• DisponibilitàClassificare i sistemi in termini di:• ResilienzaDefinire gli opportuni requisiti di security e compliance in termini di:• Accesso protetto e controllato ai
dati• Consistenza dei dati (completezza e
correttezza)• Accesso ai dati nei tempi e modi
previsti• Supporti di memorizzazione previsti
(es: Cartelle di rete, Cloud)
Information Management & Data Governance
La Metodologia Sinergy
CLASSIFY
LOCATE
SEARCHMINIMISE
PROTECT
MONITOR
IM/DG SolutionsVisualizzare i dati: File/Messaging&Collaboration/Cloud DB Backup
Classificare i dati Trovare contenuti PII TAG dei dati in base alle informazioni
contenute o ai proprietari delle stesse
Categorizzare i dati Physical location Data Owner File metadata File usage Custom Metadata
Attuare Reportistica Dashboard UI Custom reporting
Consolidare i dati Target repository conforme
Information Management & Data Governance
La Metodologia Sinergy
CLASSIFY
LOCATE
SEARCHMINIMISE
PROTECT
MONITOR IM/DG Solutions
Multiple Data Sources Index 600+ file type Ingest da 50+ source OCR
Subject Access Request Case Management Analisi approfondite Flusso di lavoro controllato Redazione Export
End User Search For user driven tagging Review automatic tag Review retention
Information Management & Data Governance
La Metodologia Sinergy
CLASSIFY
LOCATE
SEARCHMINIMISE
PROTECT
MONITOR
IM/DG Solutions
Classify/Re-Classify Conserva in base al contenuto Tag dei dati importanti e/o sensibili Segna (Mark) i «trivial data»
Take Action Pulire i dati obsoleti Pulire i dati orfani Spostamento dei dati tramite script Automatic tiering Spostare verso il cloud i dati meno
sensibili Spostare ad un compliant store
Retention Auto retention/scadenza automatica Controllo dell’utente (Data Owner)
Control Compliant ai sistemi contenti i dati Supporto alla crittografia e New read-
once write-many (WORM) Autorizzazioni di accesso
Information Management & Data Governance
La Metodologia Sinergy
CLASSIFY
LOCATE
SEARCHMINIMISE
PROTECT
MONITOR
Advisory, IM/DR,
APT, CASB Solutions
Breach Response Reazione con eventuale review
Data Access Audit R/W/D ACL change Dati accessibili ad utenti non
autorizzati (es. open share) Activity patterns Threat alerts (Avvisi di
minaccia)
Data Flow Journal Email & IM Supervisory ReviewData Subject Rights Reagire ai SAR (Samples of
Anonymised Records) Gestire le richieste di diritto
all’oblio (RTBF)Privacy by Design Valutazione dell'impatto Dimostrare la responsabilità
Information Management & Data Governance
La Metodologia Sinergy
Breach Detection & Reaction:
una strategia anti APT completa
per sconfiggere gli attacchi
avanzati
Roberto Banfi, Senior Consultant Technical
Leader Sinergy
In sintesi: APT non è (solo) malware oppure una singola attività ostile ma definisce una serie di azioni offensivedalle seguenti caratteristiche:
Target: mirati su obiettivi specifici, con una strategia d’attacco complessa, alti livelli di sofisticazione e adattabile alle difesa della vittima
Attori: criminali organizzati, entità governative, spie industriali, mercenari o gruppi con capacità equivalenti
Strumenti: sistemi di intrusione allo stato dell’arte: Malware avanzato ed «evasivo» in combinazione con Social Engineering ed elevata capacità di infiltrazione
Timing: Su intervalli di tempo anche molto lunghi (mesi o anni). L’intento è continuare l’attacco in modalità stealth fino al raggiungimento degli obiettivi prefissati
Advanced Persistent Threats
Caratterizzazione della minaccia
Gli APT possono utilizzaredapprima percorsi a minor resistenza usando strumenti e exploit semplici, graduando poi ilivelli di sofisticazione in relazioneai risultati ottenuti.
Alcuni APT possono adattare e personalizzare le proprie Tattiche, Tecniche e Procedure (TTP) per prevedere ed evadere i controlli di sicurezza e le pratiche di rispostaagli incidenti di sicurezza
Kill Chain
Advanced Persistent Threats
Comparazione sui modelli di attacco
1 – Intelligence Gathering
2 – Point of Entry
3 – C&C Server
4 – Lateral Movement
5 – Data of Interest
6 – External Server
Advanced Persistent Threats
Tipiche fasi dell’attacco
Intelligence Gathering
Ottenere informazioni sui target è diventato estremamente semplice (Facebook )
Point of Entry
Il target riceve una mail che una «buona reputazione». All’interno della mail c’è un file Office (xls,doc,ppt…) oppure un link web.
L’antispam e l’AV non possono riconoscere nulla di malevolo
I siti da cui vengono scaricate le componenti del malware non sono categorizzati e/o sono nuovi e/o dinamici
Advanced Persistent Threats
Perché sono efficaci
Advanced Persistent Threats: new malware trend
Cosa succede nel mondo
0
20
40
60
80
100
120
2014 2015 2016 2017 (to date)
• 98 new families in 2016• 16 new families in year to date – Jan to Jun 2017• Rate of new families appearing has begun to slow
Advanced Persistent Threats: Infections
Cosa succede nel mondo
0
10.000
20.000
30.000
40.000
50.000
60.000
70.000
80.000
90.000
Trend Line
• Infection numbers continue to trend upwards• Helped in no small part by May 2017 - WannaCry
Advanced Persistent Threats
Le soluzioni: Advanced Threat Protection, Sandboxing, Emulation and
Breach Detection
ATP Features
On premise or cloud solution
Virtualization, emulation and bare metal (anti sandbox evasion)
Threat intelligence, file reputation, domain reputation, C&C database
Network channel cover: SMTP, HTTP(S), CIFS, FTP….
Lateral movement identification
Endpoint Integration: Detection, Forensic, Remediation
Static & Dynamic code analysis
Alerting
Third party integration (SIEM, NGFW, IPS,…)
Easy to use
Advanced Persistent Threats
Le soluzioni: Advanced Threat Protection & Sandboxing
Esempio di Report di Ramsomware via eMail
Advanced Persistent Threats
Le soluzioni: Advanced Threat Protection & Sandboxing
Ramsonware: Drive by Download (via Mail)
Advanced Persistent Threats
Le soluzioni: Advanced Threat Protection & Sandboxing
Esempio di Report di Malware via eMail
Advanced Persistent Threats
Le soluzioni: Advanced Threat Protection & Sandboxing
TOP TEN country by bot population TOP TEN country by bot density
Advanced Persistent Threats
Le soluzioni: Advanced Threat Protection & Sandboxing
Malware via Office365
At least 57 percent of all Office 365 customers
received at least one phishing attempt that
contained the infected attachment.
https://www.scmagazine.com/microsoft-office-365-hit-with-massive-cerber-ransomware-attack-report/article/529295/
http://securityaffairs.co/wordpress/54403/cyber-crime/phishing-campaign-punycode.html
Advanced Persistent Threats
Le soluzioni: Advanced Threat Protection & Sandboxing
Malware via Office365
Advanced Persistent Threats
Le soluzioni: Advanced Threat Protection & Sandboxing
Malware via Office365
Advanced Persistent Threats
Attack Report: Excel Phishing Attack that Bypasses Office 365
https://www.avanan.com/resources/office-365-misses-excel-phishing-attack
La sicurezza aziendale dei servizi in
Cloud: dai Cloud Corporate allo
shadow IT, la risposta dei CASB
Roberto Banfi, Senior Consultant Technical
Leader Sinergy
Permette di «vedere» tutte le applicazioni cloud private usate in azienda
Permette di «governare» un servizio Cloud corporate come, O365, Google, Saleforce, ecc
Controlla le attività degli utenti
Compliance
DLP
Investigazione ed incidenti
Minacce
Cloud Access Security Broker (CASB)
Che problemi risolve
Utilizzo di applicazioni cloud private
One shot free risk assessment con vendor di riferimento
Servono i logs di FW/PROXY del cliente
Può essere un servizio continuativo (costo per utente)
Il report è molto interessante
Cloud Access Security Broker (CASB)
Cloud governance: Shadow IT
CLASSIFY
LOCATE
SEARCHMINIMISE
PROTECT
MONITOR
Information Management & Data Governance
La Metodologia Sinergy
CLASSIFY
LOCATE
SEARCHMINIMISE
PROTECT
MONITOR
IM/DG Solutions
Metti sotto controllo e Gestisci l’accesso ai dati: come sono utilizzati e chi li accede
Advisory
Determina il livello di classificazione dei dati in termini di riservatezza, integrità, e disponibilità e di resilienza deisistemi di trattamento
IM/DG Solutions
Scopri dove sono i dati personali e sensibili e rendili visibili
IM/DG Solutions
Rendi I dati ricercabili secondo quanto definite nela fase di classificazione
Advisory, IM/DR, APT, CASB Solutions
Utilizza i report per controllare e tenere traccia di quanto succede
APT, CASB Solutions
Metti in protezione i dati e assegna le giuste policy di accesso
Information Management & Data Governance
La Metodologia Sinergy
CLASSIFY
LOCATE
SEARCHMINIMISE
PROTECT
MONITOR
IM/DG Solutions
Metti sotto controllo e Gestisci l’accesso ai dati: come sono utilizzati e chi li accede
Advisory
Determina il livello di classificazione dei dati in termini di riservatezza, integrità, e disponibilità e di resilienza deisistemi di trattamento
IM/DG Solutions
Scopri dove sono i dati personali e sensibili e rendili visibili
IM/DG Solutions
Rendi I dati ricercabili secondo quanto definite nela fase di classificazione
Advisory, IM/DR, APT, CASB Solutions
Utilizza i report per controllare e tenere traccia di quanto succede
APT, CASB Solutions
Metti in protezione i dati e assegna le giuste policy di accesso
Information Management & Data Governance
La Metodologia Sinergy
CLASSIFY
LOCATE
SEARCHMINIMISE
PROTECT
MONITOR
APT, CASB Solutions
Breach Detection & Response Reazione e/o blocco
Deep Content Inspection
Evasive technique identification
Interact with context Third party system Multi channel support
0-DAY identification
C&C covering
Information Management & Data Governance
La Metodologia Sinergy